| 1.1, leon55 (?), 13:33, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хорошая статейка. Правда, от всего не защитит, но, как говорится, при доп. защите вполне покатит :)
Автору респект і увага.
| | |
| 1.2, grobik (?), 14:04, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Чего только ни придумают, чтобы не ставить антивирусы на клиентские машины.
| | |
| |
| 2.8, ЩекнИтрч (?), 15:07, 26/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
Ага. Надо ваще из офиса охрану снять, а клиентам - каски выдать и перцовые баллончики.
Ты об этом?
| | |
| |
| 3.12, grobik (?), 15:46, 26/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
Я о том, что такой подход перекроет только часть возможных каналов распространения вирусов. Для полноценной защиты нужен локальный антивирусный монитор. А при наличии такого монитора прокси с антивирусной проверкой не нужен. Или вот, начнут завтра вирусы распространяться по https, и что тогда?
| | |
| |
| 4.16, Protector (??), 20:51, 26/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >Я о том, что такой подход перекроет только часть возможных каналов распространения
>вирусов. Для полноценной защиты нужен локальный антивирусный монитор. А при наличии
>такого монитора прокси с антивирусной проверкой не нужен. Или вот, начнут
>завтра вирусы распространяться по https, и что тогда?
Совершенно верно. Перекроет только часть. Но кто говорит о том чтобы не ставить антивирусные мониторы на клиентские станции?
Они естественно нужны.
И при таком подходходе, когда контент проверяется в двух местах - на прокси, потом на станции мы достигаем одного из наиболее важных аспектов безопасности - эшелонированность обороны.
| | |
| |
| 5.21, pavlinux (??), 00:16, 27/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
 > эшелонированность обороны.
Хе....
А можно у всех:
1. выдрать USB/CD/DVD/BD/HD/FLOPPY/COM/LPT и т.п. оставить монитор, клаву(бухалтерам), мышь(мэнэджерам).
Для нужд перезаписи есть anykey_щики, Которые видут журнал, кто и что переписывал, за ними ведётся журнал на сервере, что они переписывали. Да бы знать кого иметь.
2. пароли на BIOS.
3. свой SMTP/POP сервера. ПОЛНЫЙ REJECT && DENY на MAIL.RU и подобные
4. Сервер в сейф.
5. Локалку на оптику. Wifi в сортир.
6. Кому нужно ICQ, Jabber, и вообще полный интернет, загнать в DMZ на бездисковых машинах с папкой /home/user, на сервере запущенном в QEMU в режиме shapshot, для документов.
Продолжать?!
| | |
| |
| |
| 7.26, ЩекнИтрч (?), 12:25, 27/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
Работатет - супер!!!
Это просто выходит дороже в небольшой инсталляции.
Но идея тонкого клиента - рулит.
Я сам был скептиком, но после развертывания первой системы с фермой в сейфе и терминалами у юзеров - в полном восторге от резульата!
| | |
|
|
|
|
|
|
| 1.3, Оммм (?), 14:10, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Лишнее сканировать ни к чему =) джпеги - вопрос открытый.
хочу добавить, что в quicktime (.mov) и .wmv были найдены уязвимости, так что не советую игнорировать эти расшиерния !
| | |
| 1.4, vadiml (?), 14:36, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Чего только ни придумают, чтобы не ставить антивирусы на клиентские машины.
чего только не придумают, чтоб не ставить линукс на клиентские машины
| | |
| 1.11, razor (??), 15:25, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
статью не читал
у мя хавп + сквид давненько успешно работают, а вот самс я б не рекомендовал. lightsquid красивше
| | |
| |
| |
| 3.23, lightsquid (?), 01:12, 27/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
 ну а кто мешает благородному дону привести логины к нужному виду
дописав пару строчек в ip2name :)
для чего собственно ip2name и делался :)
а вообще то имя с пробелом в логе - это ошибка сквида
т.к. по определению в логе записи разделены пробелом.
| | |
|
|
| 1.13, leon55 (?), 16:29, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я считаю, что установка фильтровщика вирусов на сквиде никоим образом не означает отказ в антивирусном ПО на клиентских машинах. Пусть будет дополнительная защита. Это разве плохо?
| | |
| 1.17, Аноним (17), 21:22, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Тестовая эксплуатация - 2е недели.
1/4 траффика компании.
Результат - 0.
А оно вообще работает?
| | |
| |
| 2.39, Дмитрий Ю. Карпов (?), 10:10, 29/10/2007 [^] [^^] [^^^] [ответить]
| +/– | |
> 1/4 траффика компании.
Что произошло с четвертью трафика компании - это экономия трафика, приращение трафика или что?
| | |
| |
| 3.41, pavlinux (??), 00:41, 21/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>> 1/4 траффика компании.
>
>Что произошло с четвертью трафика компании - это экономия трафика, приращение трафика
>или что?
Это, видимо, та часть, которая проверялась, из всего трафика компании....
Ну что сказать, в остальных 3/4 они-то, вирусы, и проскочили (закон Мерфи) :)
| | |
|
|
| 1.18, dvg_lab (??), 21:30, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
статью не читал, но у меня подобная конфигурация уже месяца 4 крутится, вирусы частенько попадаются причом на вполне уважаемых сайтах. антивирь на клиентах стоит есс-но. http не единственный канал распространения вирусов, это раз, и два то что не все вирусы отлавливаются бывают проскакивают.
| | |
| 1.20, Аноним (20), 00:04, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если например учесть что вирус скачал юзверь с сайта на который ходит большинство юзверей компании но потом его оттуда быстро удалили. а вирь в кэше в итоге еще половина заразится. а здесь это исключается на 50 процентов.
так что антивирь на прокси полезен и еще как.
| | |
| 1.24, Аноним (20), 01:26, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хмм... у меня нормально работает и один squid (аутентификация используется та же - ntlm через winbind), HAVP - парентом. Связка работает нормально, вирусы (как правило эксплойты и троян-даунлоадеры) - ловит. Единствено что на Фряхе не удается задействовать mandatory-locks, поэтому странички юзверь получает с некоторой задержкой.
| | |
| 1.29, Аноним (20), 14:14, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
пасибо за отзывы. связка отлично работает без вмешательств. иногда слегка косячит sams - время от времени не сбрасывает счетчики трафика пользователей. но это легко лечится.
в общем очень доволен получившимся конфигом.
>Хмм... у меня нормально работает и один squid (аутентификация используется та >же - ntlm через winbind), HAVP - парентом.
для хавпа в качестве парент прокси используется тот же сквид?
говорят, сам не проверял, что это была проблема squid и что ее исправили в след.релизе.
дополнительные мысли и еще кое что можно найти на моем блоге:
http://butch.blog.ru/
| | |
| |
| 2.36, Аноним (-), 15:40, 28/10/2007 [^] [^^] [^^^] [ответить]
| +/– | |
>А delay_pools работают в данной связке или нет?
пулы отлично функиционируют
>Как влияет проверка на вирусы на прокси сервере на скорость работы клиентов?
вообще гвооря каскад из трех проксей сказывается на скорости, но это не так сильно заметно.
проверка на вирусы не так сильно ухудшает положение, просто потмоу что проверяется только первый маленький кусочек получаемых файлов, при этом проверка проходит еще в процессе скачивания
| | |
| |
| 3.38, Антон (??), 09:56, 29/10/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >>А delay_pools работают в данной связке или нет?
>
>Нет
прошу не вносить неясность в обсуждение. в данном конфиге пулы отлично функционируют.
| | |
|
|
| 1.34, mk (?), 00:09, 28/10/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Как вариант squid + drweb-icapd,
на сколько мне известно, delay_pools одновременно с icap-клиентом не работают.
На скорость проверка практически не влияет.
| | |
|
