Показано с 1 по 16 из 16.

Антивирус для Squid

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    13
    Вес репутации
    32

    Антивирус для Squid

    а кто что может посоветовать для прокси (squid на линухе)?

    рассматриваю drweb, касперского, nod32, может быть авиру.
    тут помимо отлавливания вредных exe-файлов хотелось бы скрипты со всякой гадостью резать.

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Для squid-а, с применением фильтрации через icap есть решения у DrWeb, ClamAV,
    (эти варианты я еще не пробовал) Symantec, VBA32, Антивирус Касперского для Proxy Server, InterScan Web Security Suite от Trend Micro.
    О существовании таких решений у других вендоров не слышал.

    Вообще-то это тема для отдельного топика
    Последний раз редактировалось Kuzz; 10.06.2008 в 12:49.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    13
    Вес репутации
    32
    список явно неполон

    havp поддерживает (соответственно можно использовать со squid):
    clamav
    kaspersky
    trend micro
    avg
    f-prot
    nod32
    sophos
    avast!
    arcavir
    drweb

    кроме того, у большинства производителей (кроме упомянутых у Kuzz навскидку есть ещё nod32, avira) есть свои решения, обычно это icap-сервер.

    так что вопрос не "что есть", а "что выбрать". специфика фильтрации на прокси:
    - тут нужно простое сканирование. всякие поведенческие анализы ничем помочь не могут;
    - нужно сканировать не только файлы с сигнатурой MZ, но и скрипты (в первую очередь js), желательно находить эксплойты и в html, css, jpeg, ...
    - жёсткие требования к актуальности баз.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от edo Посмотреть сообщение
    список явно неполон
    кроме того, у большинства производителей (кроме упомянутых у Kuzz навскидку есть ещё nod32, avira) есть свои решения, обычно это icap-сервер.
    Именно по этому я и написал, что я не слышал.
    Цитата Сообщение от edo Посмотреть сообщение
    так что вопрос не "что есть", а "что выбрать". специфика фильтрации на прокси:
    - тут нужно простое сканирование. всякие поведенческие анализы ничем помочь не могут;
    - нужно сканировать не только файлы с сигнатурой MZ, но и скрипты (в первую очередь js), желательно находить эксплойты и в html, css, jpeg, ...
    - жёсткие требования к актуальности баз.
    Это один из самых сложных вопросов, т.к. однозначно ответить что антивирус А лучше чем Б тяжело.

    Сканирование не только исполняемых файлов это скорее настроечная опция в самом икап-сервере. (К примеру, и клам и др.веб их проверяют, если такая проверка включена)
    Жесткие требования к актуальности баз = высокая скорость реакции на новые семплы. На странице тестов можно посмотреть графики, которые дают примерное представление о скорости реакции.
    The worst foe lies within the self...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    А компы в сети, я так понимаю, у Вас виндовые? Если так, то единственное зачем имеет смысл ставить на сервак антивирус для проверки всего трафика, то только для подстраховки. Имеет ли смысл платить большие деньги за это?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    932
    Цитата Сообщение от edo Посмотреть сообщение
    ...рассматриваю drweb, касперского, nod32, может быть авиру.
    тут помимо отлавливания вредных exe-файлов хотелось бы скрипты со всякой гадостью резать.
    -ну, это всё коммерческие решения... некоторые очень даже удачные, но ведь и денег же стоят немалых
    -а как насчёт альтернативной связки Squid+HAVP (HTTP Antivirus Proxy) или такой вариант в принципе не рассматривается?..
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  8. #7
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Alex Plutoff Посмотреть сообщение
    -а как насчёт альтернативной связки Squid+HAVP (HTTP Antivirus Proxy) или такой вариант в принципе не рассматривается?..
    так я выше написал - havp поддерживает далеко не только clamav

    Добавлено через 5 минут

    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    А компы в сети, я так понимаю, у Вас виндовые? Если так, то единственное зачем имеет смысл ставить на сервак антивирус для проверки всего трафика, то только для подстраховки. Имеет ли смысл платить большие деньги за это?
    деньги не такие уж и большие. существенно меньше, чем держать антивирус на каждой рабочей станции.

    по моим ощущениям web - это основной источник заражения. почту я проверяю давно, флешки и прочие сменные носители далеко не все пользователи используют.
    Последний раз редактировалось edo; 11.06.2008 в 21:35. Причина: Добавлено

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Еще в качестве одного из условий обычно исходят из того, что на прокси стоит антивирус от иного вендора нежели на компах.
    Что пропустит один - поймает другой.
    The worst foe lies within the self...

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Еще в качестве одного из условий обычно исходят из того, что на прокси стоит антивирус от иного вендора нежели на компах.
    Это условие обязательное.

    Добавлено через 3 минуты

    Цитата Сообщение от edo Посмотреть сообщение
    деньги не такие уж и большие. существенно меньше, чем держать антивирус на каждой рабочей станции.
    А какой антивирус стоит на рабочих станциях?
    Последний раз редактировалось Синауридзе Александр; 11.06.2008 в 22:18. Причина: Добавлено

  11. #10
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    13
    Вес репутации
    32
    ещё раз - не хочется ставить (покупать) на все компьютеры антивирус. в общем-то неплохо живём и без проверки http/ftp трафика - но если можно немного заткнуть дыру - то почему бы и нет.

    к слову - я размышляю над простым запретом "обычным" пользователям скачивать exe-файлы. это обломает большую часть дропперов.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Цитата Сообщение от edo Посмотреть сообщение
    ещё раз - не хочется ставить (покупать) на все компьютеры антивирус.
    Если на машинах стоит лицензионое ПО, то и покупка антивируса дело недорогое.
    Цитата Сообщение от edo Посмотреть сообщение
    в общем-то неплохо живём и без проверки http/ftp трафика - но если можно немного заткнуть дыру - то почему бы и нет.
    Используйте ClamAV.
    Цитата Сообщение от edo Посмотреть сообщение
    к слову - я размышляю над простым запретом "обычным" пользователям скачивать exe-файлы.
    Делается в Squid достаточно просто.

    Пример:

    acl bigfiles url_regex -i "/etc/squid/conf/bigfile.txt"
    Цитата Сообщение от edo Посмотреть сообщение
    это обломает большую часть дропперов.
    Ошибочное суждение.

  13. #12
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Используйте ClamAV.
    вы серьёзно?
    для почты и производительности clamav хватает, и на почтовые эпидемии он реагрует достаточно оперативно. для http же всё по-другому - тормоз clamav достаточно изрядный, а качество баз так себе.

    к слову - для почты я сделал фильтрацию по потенциально-опасному контенту (exe, js и подобным нечего делать в письмах). до clamav теоретически могут доходить только вирусы в архивах - но и они не доходят, как-то сошла на нет популярность вирусов "разархивируй и запусти"

    Делается в Squid достаточно просто.
    не, так не пойдёт. url и содержимое файла связаны мало. в общем достаточно по первым двум байтам идентифицировать exe-файлы - но afaik squid встроенных средств для этого не имеет. нужно или ставить в цепочку фильтрующий прокси или заводить icap-сервер.


    Ошибочное суждение.
    аргументируйте.
    я со своей стороны могу сказать - достаточно давно ставил для интереса спутниковую рыбалку с фильтром на мелкие exe-файлы. валилось очень много всего, значительная часть определялась антивирусами. притом через несколько дней в той же коллекции антивирусы находили ещё что-нибудь.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от edo Посмотреть сообщение
    не, так не пойдёт. url и содержимое файла связаны мало. в общем достаточно по первым двум байтам идентифицировать exe-файлы - но afaik squid встроенных средств для этого не имеет.
    Mime-type?
    acl NoLoad req_mime_type application/x-ms-dos-executable
    http_access deny NoLoad
    Цитата Сообщение от edo Посмотреть сообщение
    аргументируйте.
    Не далее как вчера (учитывая время написания поста) я упорно боролся с дропперами с расширением *.gif
    Да и частенько их вижу.
    The worst foe lies within the self...

  15. #14
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    13
    Вес репутации
    32
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Mime-type?
    а чем это принципиально отличается от url? какой отдаст нам сервер - такой mime-type мы и увидим


    Не далее как вчера (учитывая время написания поста) я упорно боролся с дропперами с расширением *.gif
    Да и частенько их вижу.
    вот я про то и говорю - зачем привязываться к расширению. первые два байта "MZ" - пользователю не доставляем, делов-то.
    или там "GIF89a" было?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1795
    Ваше суждение о том, что поставив антивирус на сервер можно сэкономить на покупке антивируса для рабочих станций - ошибочное.

  17. #16
    Junior Member Репутация
    Регистрация
    07.06.2008
    Сообщений
    13
    Вес репутации
    32
    ну так аргументируйте

Похожие темы

  1. Squid 3.1.1 готов к производству
    От Kuzz в разделе Linux
    Ответов: 1
    Последнее сообщение: 05.08.2010, 12:58
  2. HAVP+Squid
    От valho в разделе Linux
    Ответов: 1
    Последнее сообщение: 14.12.2008, 05:25
  3. Squid 3.0 STABLE1
    От Синауридзе Александр в разделе Linux
    Ответов: 6
    Последнее сообщение: 22.02.2008, 09:47
  4. Squid 2.6 STABLE17
    От Синауридзе Александр в разделе Linux
    Ответов: 0
    Последнее сообщение: 05.12.2007, 21:25
  5. Несколько уязвимостей в Squid
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 16.01.2007, 17:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00652 seconds with 21 queries