URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 2791
[ Назад ]

Исходное сообщение
"antivir for squid"

Отправлено alexvs , 24-Дек-04 00:34 
Народ, у кого есть опыт проверки трафика через squid с помощью каких-либо антивирусных пакетов (типа drweb)? Поделитесь, пожалуйста, впечатлениями, опытом, конфигами... Желательно что б это был бесплатный антивирь, а если платный, то с доступным лекарством.

Содержание

Сообщения в этом обсуждении
"antivir for squid"
Отправлено adm , 25-Дек-04 01:07 
Не у ж то ни у кого нет опыта спаривания squid'a с каким-либо антивирусом? Вот и себе б такое хозяйство завести, но что лучше выбрать (какой антивирус)?



"antivir for squid"
Отправлено Moralez , 25-Дек-04 12:41 
ну, если trend micro воровать неохота, то однозначно clamav. пару месяцев назад на опеннет была новость на эту тему "клам+сквид

"antivir for squid"
Отправлено alexvs , 25-Дек-04 13:10 
>ну, если trend micro воровать неохота, то однозначно clamav. пару месяцев назад
>на опеннет была новость на эту тему "клам+сквид

Меня больше интересуют советы людей, которые реально использубт связку squid и antivir. По обсуждению этой статьи я так понял что из того что там описано ничего путного не выйдет. У кого работает сабж отзавитесь, пожалуйста.


"antivir for squid"
Отправлено as , 27-Дек-04 03:57 
>>ну, если trend micro воровать неохота, то однозначно clamav. пару месяцев назад
>>на опеннет была новость на эту тему "клам+сквид
>
>Меня больше интересуют советы людей, которые реально использубт связку squid и antivir.
>По обсуждению этой статьи я так понял что из того что
>там описано ничего путного не выйдет. У кого работает сабж отзавитесь,
>пожалуйста.

Ну и как ты себе это представляешь? ИМХО сканить весь трафик на лету жуткий гимор, например, качаешь файл метров в 200, следовательно сквид должен энтот файл засосать и отдать антивирю на предмет проверки, антивирь его должен разжать и просканить (а если одновременно несколько файлов :-0). Дык браузер за это время по таймауту вылетит, короче ляжет все. И, ИМХО, всяческие там тренд микры для шлюзов и прочее это высасывание денег, прикрытое громкими фразами и более ничего, опять же ИМХО.



"antivir for squid"
Отправлено Moralez , 27-Дек-04 17:56 
в рекламной макулатуре написано, что linux-версия проверяет через специально написанный модуль, то есть из кёрнельспейса. звучит очень серьёзно. откуда такое "высасывание денег, прикрытое громкими фразами и более ничего" мнение? на чём основано?

"antivir for squid"
Отправлено as , 28-Дек-04 03:46 
>в рекламной макулатуре написано, что linux-версия проверяет через специально написанный модуль, то
>есть из кёрнельспейса.

а он че ресурсы не будет жрать совсем? ню-ню

звучит очень серьёзно. откуда такое "высасывание денег, прикрытое
>громкими фразами и более ничего" мнение? на чём основано?

вот в том-то и дело "звучит", а на практике ?
Вот если размер проверяемых объектов ограничивать (см. след. пост) возможно ворочаться будет, ну а если клиентов куча?


"antivir for squid"
Отправлено Alex , 27-Янв-05 12:28 
>Меня больше интересуют советы людей, которые реально использубт связку squid и antivir.
>По обсуждению этой статьи я так понял что из того что
>там описано ничего путного не выйдет. У кого работает сабж отзавитесь,
>пожалуйста.


Не знаю насколько это тебе подойдёт. У меня уже 2 года работает связка из двух компов. На одном Squid, на другом Kerio Winroute Firewall + McAfee Antivirus. Kerio умеет проверять трафик на вирусы, но прокси он по сравнению со сквидом - никакой (особенно в плане acl). Схема построена так: Kerio прописан парентом для Squid и наоборот. В конфиге Squid указано что пользователь Kerio всегда ходит директом, а остальные - через parent proxy. В результате и снаружи, и из LAN  виден только Squid.


"antivir for squid"
Отправлено dimao , 27-Дек-04 16:34 
День добрый, есть небольшой опыт. Я пробую SquidClamAV_Redirector.
Сеть порядка 80 машин, дневной трафик ~ 1Гб. Написан на питоне, требует установки модуля для питона, для взаимодействия с ClamAV. Сам редиректор написан немного кривовато (оставляет незакрытые файлы). Половина этих выходных была потрачена на изучение питона - и в результате получился более менее приличный редиректор.
Что касается впечатлений от работы: если проверять весь трафик - требует много ресурсов. У меня прокся стоит на РIII 500/256, и сквид захотел иметь 50 редиректоров, чтобы все проверить. :-) Но это можно обойти, т.к. все достаточно гибко настроивается. Можно задать список расширений которые будут проверяться, максимальный размер файла, mimetypes. После таких настроек все нормально отрабатывается и проверяется. Но кочнено есть и глюки: различные ошибки при скачивании(когда какая то программа сама себе, что то качает). Апдейты, и т.д.
Сейчас есть мысли переписать редиректор, чтобы отказаться от использования  специальной библиотеки для доступа к антивирусу. А соединяться с ним через tcp сокет. И еще кое что там подправить.
Если будет редиректор работающий через сокет, то уже все равно к какому антивирусу подключаться. Там только дописать протокол взаимодействия все.
Пока только 2 дня пробовал эту связку, общее впечатление - лучше, чем если бы её не было. А возникающие при этом глюки можно решить.

"antivir for squid"
Отправлено Dark_Wolf , 22-Янв-05 14:28 
Esli chto nibud' reshish podelis' plz

"antivir for squid"
Отправлено Junior , 26-Янв-05 07:24 
>День добрый, есть небольшой опыт. Я пробую SquidClamAV_Redirector.
>Сеть порядка 80 машин, дневной трафик ~ 1Гб. Написан на питоне, требует
>установки модуля для питона, для взаимодействия с ClamAV. Сам редиректор написан
>немного кривовато (оставляет незакрытые файлы). Половина этих выходных была потрачена на
>изучение питона - и в результате получился более менее приличный редиректор.
>
>Что касается впечатлений от работы: если проверять весь трафик - требует много
>ресурсов. У меня прокся стоит на РIII 500/256, и сквид захотел
>иметь 50 редиректоров, чтобы все проверить. :-) Но это можно обойти,
>т.к. все достаточно гибко настроивается. Можно задать список расширений которые будут
>проверяться, максимальный размер файла, mimetypes. После таких настроек все нормально отрабатывается
>и проверяется. Но кочнено есть и глюки: различные ошибки при скачивании(когда
>какая то программа сама себе, что то качает). Апдейты, и т.д.
>
> Сейчас есть мысли переписать редиректор, чтобы отказаться от использования  специальной
>библиотеки для доступа к антивирусу. А соединяться с ним через tcp
>сокет. И еще кое что там подправить.
>Если будет редиректор работающий через сокет, то уже все равно к какому
>антивирусу подключаться. Там только дописать протокол взаимодействия все.
>Пока только 2 дня пробовал эту связку, общее впечатление - лучше, чем
>если бы её не было. А возникающие при этом глюки можно
>решить.


ИМХО ерунда всё это. Согласен с as-ом - вылеты по тайм-ауту программ для скачки и броузеров вещь вполне реальная и очевидная. Я пробовал использовать как clamav, так и drweb. Впечатления самые удручающие.
Как бы не рекламировали drweb с его "вкусностями" на сайте разработчика - даже при небольшой нагрузке и не используя тотальную "скачку файлов" из инета он загибался довольно скоро. Если кто-то пытался бы ставить задания для скачивания в очередь на ночь (как обычно делается, если не хочется днём занимать канал) то получал множество html-файликов что производится проверка на вирусы и т.д. вместо самих проверенных файлов.
Страницы грузятся ОЧЕНЬ-ОЧЕНЬ медленно, т.к. антивирус пытается проверить её всю, а значит и закачать требуется её ВСЮ. А если она динамически обновляемая? А если там куча флеш-анимации как на задр...ном яндексе и любом поисковике?
Одним словом моё мнение - рано ещё такие связки ставить и вообще не придуман реальный механизм проверки не ставящий канал раком. Ну скажите, какой мне толк от того, что 300-400 Мб файл образа проверится и скажут - он заразный - если я его должен залить себе, проверить, израсходовать трафик? Короче пока такие поделки в сад.
Для желающих - поставьте на рабочие станции Drweb-spider и пусть сканирует
пользовательский трафик.


"antivir for squid"
Отправлено dimao , 26-Янв-05 13:49 
>Одним словом моё мнение - рано ещё такие связки ставить и вообще
>не придуман реальный механизм проверки не ставящий канал раком. Ну скажите,
>какой мне толк от того, что 300-400 Мб файл образа проверится
>и скажут - он заразный - если я его должен залить
>себе, проверить, израсходовать трафик? Короче пока такие поделки в сад.
>Для желающих - поставьте на рабочие станции Drweb-spider и пусть сканирует
>пользовательский трафик.

Зачем так категорически, вы же сами определяете критерии для проверки. Приведу цифры за вчерашний день. Используется переписанный SquidClamAV 1.6.1.
Настройки: проверять файлы < 1Mb, след. типов .exe .zip .rar .ar .com .bzip .gz .js .class .jar .html .htm .wb .doc .xls .bat .dll .msi .vbs .vbe .jse .wsh .sct .hta .mp3, text/html text/plain text/css application/x-httpd-php application/x-httpd-php4 application/x-httpd-php3 application/x-java-archive application/x-java-vm application/x-javascript application/x-msi.
Количество клиентов 58, общий трафик за день 630Мб.
На вирусы проверено 69Мб (11975 объектов).
найдено 3 трояна.
В принципе это приемлемый вариант. Зачем проверять очень большие файлы? Пусть это делает антивирус на локальной машине.
А таймауты определяются по скорости доступа к этому файлу, рассмотрим
очень плохой вариант скорость 3кБайт/c - для скачивания 1Мб требуется
333с ~ 5 мин. Да браузер скорее всего отвалится, какой там у него таймаут, минуты 2 наверно. Если все так плохо можно размер уменьшить до 300к, большинство троянов я думаю меньше 300к. И тут мы уже впишемся в таймаут,
и все будет работать. Но это плохой вариант, а фактически все бегает значительно быстрее.
Конечно вводя ограничения мы снижаем процент обнаружения вирусов, но даже при проверке всего трафика нельзя быть уверереным в сто процентном обнаружении, т.к. новые вирусы не так быстро попадают в антивирусные базы.
Я считаю что это вполне рабочее решение, но пока не сильно обкатанное.
Из недостатков - иногда падают редиректоры, т.е. требуется более внимательно оттестировать приложение.


"antivir for squid"
Отправлено Junior , 26-Янв-05 15:14 
>А таймауты определяются по скорости доступа к этому файлу, рассмотрим
>очень плохой вариант скорость 3кБайт/c - для скачивания 1Мб требуется
>333с ~ 5 мин. Да браузер скорее всего отвалится, какой там у
>него таймаут, минуты 2 наверно. Если все так плохо можно размер
>уменьшить до 300к, большинство троянов я думаю меньше 300к. И тут
>мы уже впишемся в таймаут,
>и все будет работать. Но это плохой вариант, а фактически все бегает
>значительно быстрее.

А как насчёт сайтов, которые не дают получить размер файла, которые
дают скачивать ТОЛЬКО браузером? К сожалению таких становится всё больше, многие так обкатывают недавно скопированные чужие скрипты по граничению. Этакие начинающие вэб-мастера :)) Запретить к таким ходить я не могу, да и права не имею, а выход с установкой проверки на на вирусы на рабочую станцию однозначно приводит к тому, что смысл проверки (выборочно) на сервере теряет всякий смысл. Раз у меня всё-равно проверит, то зачем это делать ещё и там? Для общего развития (установка, настройка, работа) это конечно полезно и интересно, но вот для практического, имхо, пока рановато :)
Не обижайтесь, но я должен быть уверен, что когда я уезжаю в отпуск или командировку, ничего не отвалится, не заглючит, не упадёт.
Конечно от этого не застраховано ниодно приложение или демон, но ставить заведомую бэту (пусть даже анонсированную как релиз) на продакшн-сервер у меня просто рука не поднимется. Меня просто обязаны будут уволить за такое головотяпство :)

>Конечно вводя ограничения мы снижаем процент обнаружения вирусов, но даже при проверке
>всего трафика нельзя быть уверереным в сто процентном обнаружении, т.к. новые
>вирусы не так быстро попадают в антивирусные базы.
>Я считаю что это вполне рабочее решение, но пока не сильно обкатанное.
>
>Из недостатков - иногда падают редиректоры, т.е. требуется более внимательно оттестировать приложение.
>



"antivir for squid"
Отправлено dimao , 26-Янв-05 16:47 
>А как насчёт сайтов, которые не дают получить размер файла, которые
>дают скачивать ТОЛЬКО браузером? К сожалению таких становится всё больше, многие так
>обкатывают недавно скопированные чужие скрипты по граничению. Этакие начинающие вэб-мастера :))
>Запретить к таким ходить я не могу, да и права не
>имею, а выход с установкой проверки на на вирусы на рабочую
>станцию однозначно приводит к тому, что смысл проверки (выборочно) на сервере
>теряет всякий смысл. Раз у меня всё-равно проверит, то зачем это

Согласен, что на серьезный сервер это ставить рановато. И вы правы в том, что видите использование такой связки более опасным (в плане надежности), чем её отсутствие для критичных серверов. У меня менее критичный сервер, и я могу позволить себе проводить различные эксперименты. Хотя, если сказать честно, то перед новогодними праздниками я откючил эту связку и недавно опять включил. Почему я вижу смысл использования -  внутри компании на локальных машинах и серверах используется Symantec Corporate Edition. Как оказалось многие трояны с ним абсолютно спокойно живут. Используя на прокси сервере другой антивирус ClamAV возрастает вероятность блокирования вирусов. И второй аспект: в идеале на рабочих местах стоят антивирусы которые постоянно обновляются и т.д., на практике получается, что на нескольких машинах антивирус по каким либо причинам или не работает, или не обновляется и у такой машины возрастает риск заразиться, а использование антивируса на прокси защищает их от заражения, или в худшем случае показывает, что на машине уже есть вирус.

>делать ещё и там? Для общего развития (установка, настройка, работа) это
>конечно полезно и интересно, но вот для практического, имхо, пока рановато
>:)
А почему "рановато"? Нет уверенности в надежности, криво написано, не устраивает по каким либо критериям.... Но ведь эту работу тоже надо делать, тестировать, исправлять ошибки, добавлять функции. Меня это интересует - я делаю.
Будем рассматривать этот конкретный случай: я скачал дистрибутив, поставил, убедился в глючности. Было 2 варианта подождать когда они что то новое сделают, или самому подправить. И когда я стал разбираться, что там понаписано, мне стало страшно, что я запускал эту хрень у себя на сервере.
Теперь я уже точно не хочу ждать новых версий, а проще самому написать.
А дальше остается вопрос в том, доверяю ли я своему коду и могу ли запускать его на своем сервере.:-)
В принципе я не пытаюсь кого то убедить что эту связку надо использовать, что она эффективна... В каждой организации свои обстоятельства и свой человек который компетентен принимать решения об использовании какой то технологии. Для моей ситуации я пока вижу смысл использования связки, когда я пойму что она не эффективна, ненадежна то спокойно откажусь от её использования.


"antivir for squid"
Отправлено Junior , 27-Янв-05 08:22 
>Согласен, что на серьезный сервер это ставить рановато. И вы правы в
>том, что видите использование такой связки более опасным (в плане надежности),
>чем её отсутствие для критичных серверов. У меня менее критичный сервер,
>и я могу позволить себе проводить различные эксперименты. Хотя, если сказать
>честно, то перед новогодними праздниками я откючил эту связку и недавно
>опять включил. Почему я вижу смысл использования -  внутри компании
>на локальных машинах и серверах используется Symantec Corporate Edition. Как оказалось
>многие трояны с ним абсолютно спокойно живут. Используя на прокси сервере
>другой антивирус ClamAV возрастает вероятность блокирования вирусов. И второй аспект: в
>идеале на рабочих местах стоят антивирусы которые постоянно обновляются и т.д.,
>на практике получается, что на нескольких машинах антивирус по каким либо
>причинам или не работает, или не обновляется и у такой машины
>возрастает риск заразиться, а использование антивируса на прокси защищает их от
>заражения, или в худшем случае показывает, что на машине уже есть
>вирус.
>А почему "рановато"? Нет уверенности в надежности, криво написано, не устраивает по
>каким либо критериям.... Но ведь эту работу тоже надо делать, тестировать,
>исправлять ошибки, добавлять функции. Меня это интересует - я делаю.
>Будем рассматривать этот конкретный случай: я скачал дистрибутив, поставил, убедился в глючности.
>Было 2 варианта подождать когда они что то новое сделают, или
>самому подправить. И когда я стал разбираться, что там понаписано, мне
>стало страшно, что я запускал эту хрень у себя на сервере.
>
>Теперь я уже точно не хочу ждать новых версий, а проще самому
>написать.
>А дальше остается вопрос в том, доверяю ли я своему коду и
>могу ли запускать его на своем сервере.:-)
>В принципе я не пытаюсь кого то убедить что эту связку надо
>использовать, что она эффективна... В каждой организации свои обстоятельства и свой
>человек который компетентен принимать решения об использовании какой то технологии. Для
>моей ситуации я пока вижу смысл использования связки, когда я пойму
>что она не эффективна, ненадежна то спокойно откажусь от её использования.
>

В принципе Вы сами ответили на свои вопросы :) Надёжность и стабильность работы. Это, априори, наиболее важная причина, по которой я не использую ещё подобных связок. Для примера скажу, что даже просто (в некотором смысле) редиректор Rejik, на прдакшн-сервер в организации я поставил только после года тестирования на вспомогательном сервре. Не потому, что он не надёже (он, к счастью, ни разу не подвёл и не отвалился), а потому, что нужна была наработка статистики его работы в системе, поведение его под нагрузкой, качество работы, какие особенности могут "вылезти" при его использовании и т.д. Теперь я за это не беспокоюсь. А в случае со связкой squid+drweb, например, сразу полезли ранее указанные мной глюки. Более того, Вы сравнивали код бэта-версии с релизом? :)) Сколько бэта пролежала на сайте разработчика? Связку clamav+squid я попробовал только вскользь, впечатления оказались те же, но грело душу то, что он хоть бесплатный :)
К тому же я использую сейчас как редиректор rejik и менять его на viralator (как рекомендует документация) считаю абсолютно нецелесообразным :) Функциональность rejik-а себя доказала, искать лучшего не хочется пока, заниматьсясобственными разработками нет времени, остаётся ожидать улучшения в этом вопросе. Хотя и не возлагаю надежд на эту разработку :) На данном этапе контроль приходящего трафика осуществляется на стороне клиента, периодичность обновления антивирусных баз настроена на ежечасное обновление, чтобы обезопасить сам сервер от возможного исполнения вредоносного кода - настроен grsecurity. Хотя согласен, что разработка - дело интересное и увлекательное, буду рад ознакомиться с Вашими наработками :) Но моё отношение к использованию я уже описал :)

Удачного дня.