и снова выбор антивируса

Для любителей просто поболтать

и снова выбор антивируса

Сообщение Стогов Кирилл » 13 мар 2008, 23:58

Всем добрый день.
Решил написать в Флейм, ибо тема эта не имеет границ, но надеюсь почерпнуть информацию.

Имеется небольшая но отнюдь не бедная фирма.
Сервисы Novell, клиенты Win, будет пара Mac.
Решили таки менять старую добрую NW6 и купили NOWS + отдельно BM3.9

В финале получим два сервера ESX и на них необходимое кол-во виртуальных серверов: OES2Lin файлы и печать, OES2Lin GW, NW65 BM, некий антивирус + кое-что еще. Все это тестируется, беда кстати у Новел с GW, который просто так не поставить на SLES10, лень им для закачки обновить свой незабвенный gw700*
Сеть layer2 с hp и cisco 3560g (PVLAN) и пиксом на границе.

Теперь про самое больное.
Пользовались мы KAV Business Optimal, больше не будем и вот почему:
- саппорт отпад, все решения приходилось искать по форумам.
- требует слишком много внимания
- вирусы пропускает, как впрочем и любой другой антивирус
- СПАМ фильтр, плагин к outlook это песня.
- последней каплей стал KAV6, если раньше (KAV5) можно было ставить агентов в сети более менее нормально, то в 6-ке уперлись в домен или хотя бы рабочую группу, ну нет у нас вин сети, если будет то средствами новел. Каспер этот глюк признал, но мне легче от этого не стало.

Встал вопрос покупки нового антивируса, я акцентирую внимание на следующих моментах, понятно что централизованная консоль и прочее должно быть в любом антивирусе корпоративного уровня:
- работа без "вин" сети. Без доменов и раб групп
- поставил и забыл
- желательна возможность установки сервера на Linux
- адекватный саппорт
- комплексное решение.

Что я вижу под комплексным решением для данного предприятия:
-Защита PC: СПАМ, вирусы, HTTP
-Защита серверов: пока достаточно командной строки, но чтобы Lin и NW
-Пограничный шлюз, самое больное место, хочу воткнуть его между BM и пиксом.

Изучаю Symantec (накручено), trendmicro, cisco asa, drweb,mcafee.

drweb: просто, сервер управления м.б. на lin, очень понравился антиспам, напрочь отсутствует контроль http у клиента. Пограничный шлюз как-то все коряво описано, вот вам кубики, SDK и вперед.
Да и шлюз неполноценный, нужен ICAP, как и у каспера

mcafee: надо тестировать, пограничный шлюз есть, но только appliance. А для тестирования тем не менее доступен образ VM.

trendmicro: VirusWall, вроде все подходит, но опять же надо тестировать.

cisco asa: если в простой версии то пикс . Но есть и интересные платы расширения, а вблизи оказалось, что плата - это x86 с trendmicro viruswall на борту.

Собственно, поделитесь, у кого как организовано.

Спасибо всем, кто дочитал.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Сообщение Timur Kazimirov » 14 мар 2008, 05:07

TM VirusWall неплохая штука, но ресурсов в зависимости от размера сети может кушать немало. Поэтому потестируйте обязательно.
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Мещеряков Андрей » 14 мар 2008, 09:21

А eTrust пробовали?
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение Владимир Горяев » 14 мар 2008, 10:29

Мещеряков Андрей писал(а):А eTrust пробовали?
Точнее eTrust ITM http://www.ca.com/ru/
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение v13 » 14 мар 2008, 15:07

Использую mcafee.

Чем нравится.
Работает стабильно проблем с падением серверов или рабочих станций по его вине не было. Ловит хорошо, за несколько лет пропустило вирусов раза 3, в базу их затем добавляли довольно быстро.

Чем не нравится.
Система централизованного управления какаято бестолковая,
плюнул на неё, обновляю через zenworks.
Не нравится различие в обновлениях linux/windows/netware.
Здоровые базы если обновлять с нуля.
Невозможно обновлять базы на netware инкрементально.

Короче по 10 бальной шкале дал бы 8.

Антиспам не использую - вроде железка есть, но не думаю что стал бы её ставить. Смотрю в сторону eSafe в этом плане.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Лично я предпочитаю DRWEB.

Сообщение Boris Morozov » 15 мар 2008, 02:03

Может рюшечек у него и поменьше, чем у других, но лично я считаю это достоинством. При минимальном приложении умственных способностей прекрасно настраивается обновление на сервере и на станциях, работает незаметно, не тормозит. Понятно, где что лежит, если поломается, то починить эелементарно.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Сообщение Музалёв Николай » 17 мар 2008, 14:05

Доктор ВЭБ хорошЪ, но не закрывет всё, что просит колега...
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3027
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Стогов Кирилл » 17 мар 2008, 16:05

Мне самому drweb понравился.
Я думаю о том, что может быть drweb на PC, а trendmicro на шлюз.
Не знаю. Все таки непонятно, почему у drweb нету контроля http для PC.

А ведь есть еще ICQ и подобные. Правда у нас все это поверх http.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Сообщение Мещеряков Андрей » 17 мар 2008, 18:16

Не совсем понятно, зачем щитить НВ сервера. Раз.
Сергей Дубров года два-три (если не четыре) писал тут о хардовом девайсе Д-линка как раз на тему потоковой вильтрации Веб по теме вирусов... Может в этом и счастье?
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение v13 » 17 мар 2008, 21:17

Хардовых девайсов как грязи.
Тока от d-linka я бы выбрал в последнюю очередь ;-)
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

По поводу контроля HTTP трафика.

Сообщение Boris Morozov » 17 мар 2008, 23:48

На форуме читал, и вообщем-то согласен, что типа антивирусный контроль http трафика это рекламное разводилово. Все равно тот же https не проконтролируешь и многие другие случаи тоже. А это расслабляет. На самом деле, браузер (прокся) должен положить страничку в кеш и вот там то его должен грохнуть антивирус. Так делают опера и файрфокс. А вот IE сначала гадит, а потом сохраняет в кеш. Это одна из причин, почему мы блокируем IE и всем рекомендуем пользоваться мозиллой. И еще у DRWEB есть DRWEB386, который можно запустить, загрузившись с компакта типа MINI PE и пристреливать руткиты, что я недавно с успехом проделывал на убитой тачке клиента, на которой винда уже не грузилась ни в каком режиме. А после лечения все чудесно заработало.
Boris Morozov
 
Сообщения: 1333
Зарегистрирован: 05 июн 2002, 22:24
Откуда: Минск

Сообщение Стогов Кирилл » 18 мар 2008, 10:44

По сути, в одной теме я немного смешал средства антивирусной защиты и средства UTM.

Если с антивирусами все понятно, есть определенные возможности, преимущества, недостатки, стоимость владения и т.п., то с UTM немного сложнее, ибо новее.

Я начинал с поиска средств защиты шлюза и клиентов сети с учетом требований единого управления для шлюза, серверов и клиентов и понял, что не стоит.

Средства защиты шлюза в Российских умах (Каспер, drweb) выглядит достаточно однобоко, это контроль вирусов в почте + контроль http для некоторых прокси серверов.

Ремарка: Всеми любимый Крейг Джонсон пару лет назад на форумах говорил, что контролировать контент http на вирусы очень накладно и смысла не имеет, а кэш проверять тоже плохо , и все упиралось в то, что весь антивирусный контроль ложился на клиента. Сейчас затих.

Ремарка: Novell вступил в ассоциацию (или как оно там называется) ICAP, однако поддержки ICAP в BM скорее всего не будет, как не будет и самого BM 4. Вместо него access manager должен набрать функционал где-то через год. Короче, посмотрим через год.


В итоге, для защиты клиентов и серверов буду ставить что понравится, пока две кандидатуры: drweb и trendmicro, а с UTM hardware appliance или VM appliance разбираюсь отдельно.

Посмотрел Zyxel, может оно и ничего, но на оф. сайте просто беда. Про новые девайсы ничего нет, бардак короче, сразу представляется их саппорт.

Тут вдруг вспомнил про Astaro. Все наверное слышали, но мало кто пользовался. А у них ведь все заточено и для eDir. И до недавнего времени поставлялся Novell Security Manager powered by Astaro 6.
Изучаю документацию, красота, осталось все это проверить. Кстати многие как выяснилось в своих девайсах используют движок Каспера или даже два движка. У astaro это каспер и klamav.
Почитал обзор pcmag (вроде), красота померкла. Стоимость владения великовата. Надо детально с лицензированием разбираться.

Пока из того что смотрел (НЕ ТЕСТИРОВАЛ), импонирует trendmicro и astaro.

Я не рассматриваю здесь другие, но отнюдь не второстепенные, возможности UTM. Понятно также, что маркетингу надо двигать продажи а нам отделить функционал от рекламной шелухи.
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Сообщение Иван Левшин aka Ivan L. » 18 мар 2008, 10:49

"Проактивные" решения - какашко с очень низкой эффективностью. Выглядит красиво, работает отвратительно. В подконтрольных инсталляциях убиваю в первую очередь - что мегафайрволлы типа Agnitum или Windows Firewall, что "потоковые" антивирусы. Чаще всего еще и обратный эффект дают - у меня, например, был случай, когда машина была заражена и дико флудила просто из-за того, что девочка не понимала, что делает, когда нажимает кнопалку "Да, разрешить".
Иван Левшин aka Ivan L.
 
Сообщения: 2417
Зарегистрирован: 05 июн 2002, 18:36
Откуда: Новомосковск, Тул. обл.

Сообщение Timur Kazimirov » 18 мар 2008, 11:04

Ну могу свои несколько копеек по поводу TM внести, поскольку пользуем ряд их продуктов не первый год.
OfficeScan для PC и виндовых серверов. Плюсы не расписываю. Из недостатков - консоль работает только под IE, что начинает постепенно бесить :) Второй недостаток - довольно жирный клиент, поэтому на относительно слабых машинах значительно притормаживает. Третий недостаток - в 8-й версии выкинута поддержка 9x, то есть машины с виндой 98 останутся неприкрытыми (как выход - ставить 7-ю версию).
Server Protect для нетвари и линукса (для винды SP сейчас не нужен - заменяется OfficeScan'ом). Из плюсов - практически не грузит серваки, да и в сбоях замечен не был. Из недостатков - требуется виндовая машина для Information Server и отсутствие вебовской консоли, что очень странно...
Timur Kazimirov
 
Сообщения: 1153
Зарегистрирован: 10 фев 2004, 09:56
Откуда: Южно-Сахалинск

Сообщение Стогов Кирилл » 18 мар 2008, 11:41

[quote="Иван Левшин aka Ivan L."]

А некуда не деться.
Возьмем ту же cisco, я использую pix. Но этого в 2008 году уже не хватает. Сама cisco это признала и уже как год продает asa, а pix скоро умрет, совсем умрет.
А asa в полной комплектации, это как раз из серии мега.

P.S. Уже звонили из mcafee, кстати неплохо говорят по русски. Обещали звонить, пока не выберу mcafee
:D
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron