Показано с 1 по 7 из 7.

потоковое сканирование (Kaspersky SafeStream) на вирусы на шлюзе ZYXEL - имеет смысл?

  1. #1
    Junior Member Репутация
    Регистрация
    26.01.2012
    Сообщений
    12
    Вес репутации
    45

    потоковое сканирование (Kaspersky SafeStream) на вирусы на шлюзе ZYXEL - имеет смысл?

    Здравствуйте!


    Стоит вопрос о приобретении ZYXEL ZyWALL USG 50 для (не только) повышения антивирусной защиты путем потокового сканирования на этом шлюзе (на конечных точках стоит TrendMicro и иногда что-то пропускает). В описании девайса это называется "Потоковый антивирус Касперского с поддержкой протоколов HTTP/SMTP/POP3/IMAP4/FTP". Для этого надо приобретать отдельную лицензию на обновление - E-iCard Kaspersky AV ZyWALL USG 50 , стоимостью 5000р в год. Анонс решения + краткое описание технологии
    Вопросы:
    1. Как происходит сканирование? Если я, например, качаю вирус, на шлюзе он же проходит в виде нескольких пакетов - как шлюз их "склеивает", чтобы сравнить сигнатуры? Или он по кускам определяет? Тогда как качество обеспечивается, за счет чего?
    2. Анонсы эти прошли лет 5 назад, потом все как-то стихло, но в продаже есть - кто-то использует?
    3. Основной: есть ли польза от этой защиты?
    Реальных отзывов в сети не нашел...


    Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    26.01.2012
    Сообщений
    12
    Вес репутации
    45
    Форумчане, высказывайтесь!
    В процессе поисков понял, что гуглить надо было по "UTM"
    Есть статья о ZyWall 35 UTM и о ZyWALL 70W UTM EE, кратко имеем:
    1. Про сигнатуры тут их одновременное количество ограничено, "набор форумируется ЛК на основе статистических данных..."
    2. Псевдо-тест антивирусной проверки описан тут и тут ближе к концу
    Т.к. статьи только косвенно связаны с девайсом, который хочу я, задал вопросы ТП Zyxel, выяснились отличия, т.е. устранены минусы рассмотренных устройств (если верить на слово):
    -поддерживается не только zip, но и rar
    -поддерживается IMAP
    -если в настройках указать сканировать http, то устройство будет искать во всех файлах по стандартным портам (80, 8080, 312
    -Turbo Card не актуально, ускоритель уже встроен в USG 50

    Итак, прошу высказать мнения о целесообразности такого сканирования на шлюзе. Не стесняйтесь!

  4. #3
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    202
    Отвечу по сути вопросов.

    1. Как происходит сканирование? Если я, например, качаю вирус, на шлюзе он же проходит в виде нескольких пакетов - как шлюз их "склеивает", чтобы сравнить сигнатуры? Или он по кускам определяет? Тогда как качество обеспечивается, за счет чего?
    Насколько я знаю проверка происходит кусками. Передается часть, проверяется, отдается дальше и т.д. Это кстати очень хорошо заметно при скачивании файла из инета с обычным антивирусом на машине, у которого есть компонент веб-антивирус (проверка HTTP трафика). Если не резать на куски, то получится ситуация, когда вы качаете файл на ПК за шлюзом, время идет, а прогресс бар стоит на нуле. Потом же вы резко получите 100%, но юзер скорее всего уже нажмет "Отменить", подумав о глюке, и будет кликать еще раз. Неюзабально это все.

    3. Основной: есть ли польза от этой защиты?
    Есть плюсы это точно. Большая часть атак ищет с веба по статистике, подавляющая часть. Веб-антивирус срежет уже на шлюзе очень большой % известных атак, разгрузив от необходимости делать ту же самую работу на вашем ПК. Эффект становится интереснее при наличии в сетке нескольких машин (если на шлюзе кэшируется трафик).

    2. Анонсы эти прошли лет 5 назад, потом все как-то стихло, но в продаже есть - кто-то использует?
    Это легко объяснить, так как шлюзовой антивирус в настоящее время неполноценный. Нельзя на шлюзе держать трафик долго, будут лаги в передаче трафика. Поэтому там обычно используется минимальная проверка, чтобы так сказать "пройтись по верхам". Кроме того, там нет пока таких модных вещей как репутационные фильтры, поведенческий анализ (эмуляция запуска файла в изолированной среде), песочница, HIPS и т.п. Все это может быть реализованно только на конечном ПК увы.

    Именно по этому сейчас нет особой целесообразности использовать такой антивирус на уровне шлюза, если нормальная защита есть на уровне конечных точек. Так что мода как бы прошла Сейчас веб-антивирус ставят и используют в компаниях, он режет большой % атак, как я уже сказал, но больше используется уже для построения многоуровневой защиты.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    26.01.2012
    Сообщений
    12
    Вес репутации
    45
    Ilya Shabanov, спасибо, тема актуальна!
    По сути, вопрос и идет о целесообразности многоуровневой (и многовендорной) защиты в таком виде. Хочется подстраховать TrendMicro, ибо вопрос возник после того, как пользователь заразился Trojan-Ransom.Win32.Rector.dt, который был в базе Касперского, но благополучно пропустился TrendMicro Worry-Free BSS. Но и в этом TrendMicro, насколько я понимаю, нет модных вещей о которых Вы пишете. Вот и вопрос - усилит ли Касперский на шлюзе защиту или такой относительно простой метод как потоковое сканирование мой TrendMicro и так обеспечивает и я зря выброшу деньги?

  7. #5
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    202
    По сути, вопрос и идет о целесообразности многоуровневой (и многовендорной) защиты в таком виде. Хочется подстраховать TrendMicro
    Да, получается такой здравый многоуровневый мультивендорный подход, это правильно на самом деле. Есть используете корп. продукты, то в Trend Micro OfficeScan начиная с версии 10 (сейчас в бете уже 11.0) используется подход SPN. Если говорить кратко, это облачные репутационные технологии для файлов, URL, почты. Проблема только в том, что это по старинке никто не использует толком

    Для более надежной защиты с Trend Micro на рабочих станциях действительно стоит на шлюз поставить того же Касперского, будет точно надежнее.

    Но если нужно сэкономить деньги и компания небольшая, то можно рассмотреть вариант покупки нового Kaspersky Endpoint Protection 8.0, долгожданная версия, там очень много вкусностей. Самое прикольное - это возможность использования принципиального иного подхода - работы по белым спискам. Есть там и всякие доп. фичи интересные типа контроля подключения внешних устройств, например.

    Вот обзор этого продукта
    http://www.anti-malware.ru/reviews/K...int_Security_8
    http://www.anti-malware.ru/reviews/K...ecurity_Center
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    26.01.2012
    Сообщений
    12
    Вес репутации
    45
    Ilya Shabanov, спасибо!
    Используется не OfficeScan, а Worry-Free™ Business Security Services, а в нем уже используется подход SPN (и другие "Smart"-фичи), они все активизированы у меня.
    Эти обзоры Kaspersky Endpoint Protection как раз только что читал, многое оч. понравилось, но используется Worry-Free™ Business Security Services из-за отсутствия локального сервера в пользу "облачного" (компания небольшая).
    Подобный вкусный функционал белых списков и контроля устройств есть у Symantec Endpoint Protection (обзор1, обзор2 ) и можно надеяться (сам не проверял), что он есть и в Symantec Endpoint Protection.cloud - привлекательном мне "облачном" варианте. Но Trend Micro уже куплен. Хотя Kaspersky тоже продается в модели SaaS, но консоль управления хостится у партнеров, в отличии от Symantec и Trend Micro, что не нравится... Но это я уже оффтоплю, да?...
    По теме Ваш совет понятен, считаем, что Kaspersky на шлюзе усилит защиту, думаю, купим. Спасибо!

  10. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Ilya Shabanov
    Регистрация
    29.03.2007
    Сообщений
    1,248
    Вес репутации
    202
    evggve, тогда да, согласен. Раз лицензия на Trend Micro Worry-Free куплена и его облачный вариант используется и функционально его пока достаточно, то имеет смысл купить на шлюз как раз Каспера, как решение от другого вендора. В перспективе при желании можно будет подумать над заменой Trend Micro на облачный вариант от того же Symantec, как вариант.
    VirusInfo.info & Anti-Malware.ru | Мой блог |

  11. Это понравилось:


Похожие темы

  1. Защита от прослушивания сетевого трафика на шлюзе
    От pyffy в разделе Общая сетевая безопасность
    Ответов: 7
    Последнее сообщение: 08.01.2010, 21:12
  2. Проверка URL'ов, есть ли смысл?
    От DVi в разделе Антивирусы
    Ответов: 204
    Последнее сообщение: 14.09.2008, 00:20
  3. Как открыть порты 25 и 110 на шлюзе
    От NikolayFirsov в разделе Windows для опытных пользователей
    Ответов: 2
    Последнее сообщение: 07.08.2008, 20:41
  4. Смысл пароля на настройки антивируса.
    От Quazar в разделе Антивирусы
    Ответов: 9
    Последнее сообщение: 16.04.2008, 19:01
  5. Ответов: 2
    Последнее сообщение: 22.12.2007, 10:35

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01004 seconds with 19 queries