а кто что может посоветовать для прокси (squid на линухе)?
рассматриваю drweb, касперского, nod32, может быть авиру.
тут помимо отлавливания вредных exe-файлов хотелось бы скрипты со всякой гадостью резать.
Printable View
а кто что может посоветовать для прокси (squid на линухе)?
рассматриваю drweb, касперского, nod32, может быть авиру.
тут помимо отлавливания вредных exe-файлов хотелось бы скрипты со всякой гадостью резать.
Для squid-а, с применением фильтрации через icap есть решения у DrWeb, ClamAV,
(эти варианты я еще не пробовал) Symantec, VBA32, Антивирус Касперского для Proxy Server, InterScan Web Security Suite от Trend Micro.
О существовании таких решений у других вендоров не слышал.
[SIZE="1"][COLOR="Gray"]Вообще-то это тема для отдельного топика[/COLOR][/SIZE]
список явно неполон ;)
havp поддерживает (соответственно можно использовать со squid):
clamav
kaspersky
trend micro
avg
f-prot
nod32
sophos
avast!
arcavir
drweb
кроме того, у большинства производителей (кроме упомянутых у [b]Kuzz[/b] навскидку есть ещё nod32, avira) есть свои решения, обычно это icap-сервер.
так что вопрос не "что есть", а "что выбрать". специфика фильтрации на прокси:
- тут нужно простое сканирование. всякие поведенческие анализы ничем помочь не могут;
- нужно сканировать не только файлы с сигнатурой MZ, но и скрипты (в первую очередь js), желательно находить эксплойты и в html, css, jpeg, ...
- жёсткие требования к актуальности баз.
[QUOTE=edo;239518]список явно неполон ;)
кроме того, у большинства производителей (кроме упомянутых у [b]Kuzz[/b] навскидку есть ещё nod32, avira) есть свои решения, обычно это icap-сервер.[/QUOTE]
Именно по этому я и написал, что [B]я[/B] не слышал.
[QUOTE=edo;239518]
так что вопрос не "что есть", а "что выбрать". специфика фильтрации на прокси:
- тут нужно простое сканирование. всякие поведенческие анализы ничем помочь не могут;
- нужно сканировать не только файлы с сигнатурой MZ, но и скрипты (в первую очередь js), желательно находить эксплойты и в html, css, jpeg, ...
- жёсткие требования к актуальности баз.[/QUOTE]
Это один из самых сложных вопросов, т.к. однозначно ответить что антивирус А лучше чем Б тяжело.
Сканирование не только исполняемых файлов это скорее настроечная опция в самом икап-сервере. (К примеру, и клам и др.веб их проверяют, если такая проверка включена)
Жесткие требования к актуальности баз = высокая скорость реакции на новые семплы. [URL="http://virusinfo.info/index.php?page=tests"]На странице тестов[/URL] можно посмотреть графики, которые дают примерное представление о скорости реакции.
А компы в сети, я так понимаю, у Вас виндовые? Если так, то единственное зачем имеет смысл ставить на сервак антивирус для проверки всего трафика, то только для подстраховки. Имеет ли смысл платить большие деньги за это?
[quote=edo;238907]...рассматриваю drweb, касперского, nod32, может быть авиру.
тут помимо отлавливания вредных exe-файлов хотелось бы скрипты со всякой гадостью резать.[/quote]-ну, это всё коммерческие решения... некоторые очень даже удачные, но ведь и денег же стоят немалых :)
-а как насчёт альтернативной связки Squid+HAVP (HTTP Antivirus Proxy) или такой вариант в принципе не рассматривается?..
[quote=Alex Plutoff;239762]-а как насчёт альтернативной связки Squid+HAVP (HTTP Antivirus Proxy) или такой вариант в принципе не рассматривается?..[/quote]
так я выше написал - havp поддерживает далеко не только clamav
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[quote=Синауридзе Александр;239662]А компы в сети, я так понимаю, у Вас виндовые? Если так, то единственное зачем имеет смысл ставить на сервак антивирус для проверки всего трафика, то только для подстраховки. Имеет ли смысл платить большие деньги за это?[/quote] деньги не такие уж и большие. существенно меньше, чем держать антивирус на каждой рабочей станции.
по моим ощущениям web - это основной источник заражения. почту я проверяю давно, флешки и прочие сменные носители далеко не все пользователи используют.
Еще в качестве одного из условий обычно исходят из того, что на прокси стоит антивирус от иного вендора нежели на компах.
Что пропустит один - поймает другой.
[QUOTE=Kuzz;239775]Еще в качестве одного из условий обычно исходят из того, что на прокси стоит антивирус от иного вендора нежели на компах.[/QUOTE]
Это условие обязательное.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[QUOTE=edo;239769]деньги не такие уж и большие. существенно меньше, чем держать антивирус на каждой рабочей станции.[/QUOTE]
А какой антивирус стоит на рабочих станциях?
ещё раз - не хочется ставить (покупать) на все компьютеры антивирус. в общем-то неплохо живём и без проверки http/ftp трафика - но если можно немного заткнуть дыру - то почему бы и нет.
к слову - я размышляю над простым запретом "обычным" пользователям скачивать exe-файлы. это обломает большую часть дропперов.
[QUOTE=edo;239865]ещё раз - не хочется ставить (покупать) на все компьютеры антивирус.[/QUOTE]
Если на машинах стоит лицензионое ПО, то и покупка антивируса дело недорогое.
[QUOTE=edo;239865]в общем-то неплохо живём и без проверки http/ftp трафика - но если можно немного заткнуть дыру - то почему бы и нет.[/QUOTE]
Используйте ClamAV.
[QUOTE=edo;239865]к слову - я размышляю над простым запретом "обычным" пользователям скачивать exe-файлы.[/QUOTE]
Делается в Squid достаточно просто.
Пример:
[QUOTE]acl bigfiles url_regex -i "/etc/squid/conf/bigfile.txt"[/QUOTE]
[QUOTE=edo;239865]это обломает большую часть дропперов.[/QUOTE]
Ошибочное суждение.
[quote=Синауридзе Александр;239878]Используйте ClamAV.[/quote] вы серьёзно? ;)
для почты и производительности clamav хватает, и на почтовые эпидемии он реагрует достаточно оперативно. для http же всё по-другому - тормоз clamav достаточно изрядный, а качество баз так себе.
к слову - для почты я сделал фильтрацию по потенциально-опасному контенту (exe, js и подобным нечего делать в письмах). до clamav теоретически могут доходить только вирусы в архивах - но и они не доходят, как-то сошла на нет популярность вирусов "разархивируй и запусти"
[quote]Делается в Squid достаточно просто.[/quote] не, так не пойдёт. url и содержимое файла связаны мало. в общем достаточно по первым двум байтам идентифицировать exe-файлы - но afaik squid встроенных средств для этого не имеет. нужно или ставить в цепочку фильтрующий прокси или заводить icap-сервер.
[quote]Ошибочное суждение.[/quote] аргументируйте.
я со своей стороны могу сказать - достаточно давно ставил для интереса спутниковую рыбалку с фильтром на мелкие exe-файлы. валилось очень много всего, значительная часть определялась антивирусами. притом через несколько дней в той же коллекции антивирусы находили ещё что-нибудь.
[QUOTE=edo;239901]
не, так не пойдёт. url и содержимое файла связаны мало. в общем достаточно по первым двум байтам идентифицировать exe-файлы - но afaik squid встроенных средств для этого не имеет.[/QUOTE]
Mime-type?
[QUOTE]acl NoLoad req_mime_type application/x-ms-dos-executable
http_access deny NoLoad[/QUOTE]
[QUOTE=edo;239901]аргументируйте.[/QUOTE]
Не далее как вчера (учитывая время написания поста) я упорно боролся с дропперами с расширением *.gif
Да и частенько их вижу.
[quote=Kuzz;239902]Mime-type?[/quote] а чем это принципиально отличается от url? какой отдаст нам сервер - такой mime-type мы и увидим
[quote]Не далее как вчера (учитывая время написания поста) я упорно боролся с дропперами с расширением *.gif
Да и частенько их вижу.[/quote] вот я про то и говорю - зачем привязываться к расширению. первые два байта "MZ" - пользователю не доставляем, делов-то.
или там "GIF89a" было? ;)
Ваше суждение о том, что поставив антивирус на сервер можно сэкономить на покупке антивируса для рабочих станций - ошибочное.
ну так аргументируйте ;)