В статье (http://www.opennet.me/base/net/squid_antivir_proxy.txt.html) представлено обобщение опыта настройки в Gentoo Linux прокси сервера Squid с антивирусной проверкой трафика ( havp + clamav) , NTLM авторизацией пользователей в домене win2000 и контролем трафика средствами Sams.
URL: http://www.opennet.me/base/net/squid_antivir_proxy.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=12542
Хорошая статейка. Правда, от всего не защитит, но, как говорится, при доп. защите вполне покатит :)
Автору респект і увага.
Чего только ни придумают, чтобы не ставить антивирусы на клиентские машины.
Ага. Надо ваще из офиса охрану снять, а клиентам - каски выдать и перцовые баллончики.
Ты об этом?
Я о том, что такой подход перекроет только часть возможных каналов распространения вирусов. Для полноценной защиты нужен локальный антивирусный монитор. А при наличии такого монитора прокси с антивирусной проверкой не нужен. Или вот, начнут завтра вирусы распространяться по https, и что тогда?
>Я о том, что такой подход перекроет только часть возможных каналов распространения
>вирусов. Для полноценной защиты нужен локальный антивирусный монитор. А при наличии
>такого монитора прокси с антивирусной проверкой не нужен. Или вот, начнут
>завтра вирусы распространяться по https, и что тогда?Совершенно верно. Перекроет только часть. Но кто говорит о том чтобы не ставить антивирусные мониторы на клиентские станции?
Они естественно нужны.
И при таком подходходе, когда контент проверяется в двух местах - на прокси, потом на станции мы достигаем одного из наиболее важных аспектов безопасности - эшелонированность обороны.
> эшелонированность обороны.Хе....
А можно у всех:1. выдрать USB/CD/DVD/BD/HD/FLOPPY/COM/LPT и т.п. оставить монитор, клаву(бухалтерам), мышь(мэнэджерам).
Для нужд перезаписи есть anykey_щики, Которые видут журнал, кто и что переписывал, за ними ведётся журнал на сервере, что они переписывали. Да бы знать кого иметь.
2. пароли на BIOS.
3. свой SMTP/POP сервера. ПОЛНЫЙ REJECT && DENY на MAIL.RU и подобные
4. Сервер в сейф.
5. Локалку на оптику. Wifi в сортир.
6. Кому нужно ICQ, Jabber, и вообще полный интернет, загнать в DMZ на бездисковых машинах с папкой /home/user, на сервере запущенном в QEMU в режиме shapshot, для документов.Продолжать?!
вы - теоретик.
Работатет - супер!!!
Это просто выходит дороже в небольшой инсталляции.
Но идея тонкого клиента - рулит.
Я сам был скептиком, но после развертывания первой системы с фермой в сейфе и терминалами у юзеров - в полном восторге от резульата!
А это уже надо считать соотношение (ВАЖНОСТЬ ДАННЫХ)/ЦЕНУ
Многие смеются, но сдувание феном фишек с матерей или заливание фишек эпоксидкой, что круче, сильно озадачивает человека in the middle :)
Тырить файлы можно только с фермы, а где ферма - не знает никто :)
А выстроить цепочку криптозащиты типа:
Ключ от ключа для ключа с помощью которого достанем ключ которым и откроем.
Где последний ключ должен находиться у того, чья эта информация.
И в обратном направлении: для доступа в здание есть охрана, в офис есть ключ
(ОДИН, желательно сдавать при выходе в опечатанной коробочке, под роспись),
в кабинет - личный ключ (вас в кабинете, ну скажем двое), и наконец от своего сейфа, только у Вас.
Достаточно ключей-таблеток на всех дверях с логом посещений и открывания некоторых дверей дядей Васей механическим ключом по заявке в бумажный журнал.
От части, но в основном реализатор имеенно так заморочек.
>Лишнее сканировать ни к чему =) джпеги - вопрос открытый.хочу добавить, что в quicktime (.mov) и .wmv были найдены уязвимости, так что не советую игнорировать эти расшиерния !
> Чего только ни придумают, чтобы не ставить антивирусы на клиентские машины.чего только не придумают, чтоб не ставить линукс на клиентские машины
товарищу уважение и почЁт...
статью не читал
у мя хавп + сквид давненько успешно работают, а вот самс я б не рекомендовал. lightsquid красивше
до первого логина с пробелом:)
Мсье, редкий извращенец?
ну а кто мешает благородному дону привести логины к нужному виду
дописав пару строчек в ip2name :)
для чего собственно ip2name и делался :)а вообще то имя с пробелом в логе - это ошибка сквида
т.к. по определению в логе записи разделены пробелом.
Я считаю, что установка фильтровщика вирусов на сквиде никоим образом не означает отказ в антивирусном ПО на клиентских машинах. Пусть будет дополнительная защита. Это разве плохо?
Хе... Я тоже самое почти год уже юзаю, только без LDAP. Автору респект.
Тестовая эксплуатация - 2е недели.
1/4 траффика компании.
Результат - 0.А оно вообще работает?
> 1/4 траффика компании.Что произошло с четвертью трафика компании - это экономия трафика, приращение трафика или что?
>> 1/4 траффика компании.
>
>Что произошло с четвертью трафика компании - это экономия трафика, приращение трафика
>или что?Это, видимо, та часть, которая проверялась, из всего трафика компании....
Ну что сказать, в остальных 3/4 они-то, вирусы, и проскочили (закон Мерфи) :)
статью не читал, но у меня подобная конфигурация уже месяца 4 крутится, вирусы частенько попадаются причом на вполне уважаемых сайтах. антивирь на клиентах стоит есс-но. http не единственный канал распространения вирусов, это раз, и два то что не все вирусы отлавливаются бывают проскакивают.
Если например учесть что вирус скачал юзверь с сайта на который ходит большинство юзверей компании но потом его оттуда быстро удалили. а вирь в кэше в итоге еще половина заразится. а здесь это исключается на 50 процентов.
так что антивирь на прокси полезен и еще как.
Хмм... у меня нормально работает и один squid (аутентификация используется та же - ntlm через winbind), HAVP - парентом. Связка работает нормально, вирусы (как правило эксплойты и троян-даунлоадеры) - ловит. Единствено что на Фряхе не удается задействовать mandatory-locks, поэтому странички юзверь получает с некоторой задержкой.
пасибо за отзывы. связка отлично работает без вмешательств. иногда слегка косячит sams - время от времени не сбрасывает счетчики трафика пользователей. но это легко лечится.
в общем очень доволен получившимся конфигом.>Хмм... у меня нормально работает и один squid (аутентификация используется та >же - ntlm через winbind), HAVP - парентом.
для хавпа в качестве парент прокси используется тот же сквид?
говорят, сам не проверял, что это была проблема squid и что ее исправили в след.релизе.дополнительные мысли и еще кое что можно найти на моем блоге:
http://butch.blog.ru/
А delay_pools работают в данной связке или нет?
>А delay_pools работают в данной связке или нет?пулы отлично функиционируют
>Как влияет проверка на вирусы на прокси сервере на скорость работы клиентов?
вообще гвооря каскад из трех проксей сказывается на скорости, но это не так сильно заметно.
проверка на вирусы не так сильно ухудшает положение, просто потмоу что проверяется только первый маленький кусочек получаемых файлов, при этом проверка проходит еще в процессе скачивания
>А delay_pools работают в данной связке или нет?Нет
>>А delay_pools работают в данной связке или нет?
>
>Нетпрошу не вносить неясность в обсуждение. в данном конфиге пулы отлично функционируют.
Как влияет проверка на вирусы на прокси сервере на скорость работы клиентов?
Как вариант squid + drweb-icapd,
на сколько мне известно, delay_pools одновременно с icap-клиентом не работают.
На скорость проверка практически не влияет.