IPB

Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> Проверка работоспособности антивируса для ISA
kazak80
post 17.09.2008 17:41
Post #1


Newbie
*

Group: Members
Posts: 5
Joined: 17.09.2008




Добрый день.
С целью ознакомления с шлюзовым решением для ISA скачал триальную версию
Kaspersky Anti-Virus for Microsoft ISA Server 2004/2006 Standard Edition Version: 5.6.

В качестве стенда использую:
1 Сервер MS ISA 2004 SE.
2 Сервер с FTP File Zilla
3 Ноутбук с WinXP и ftp-клиентом

Антивирус без проблем установил на ISA 2004.
Далее опубликовал на ISA FTP-сервер

Тестирую шлюз посредством скачивания файлов eicar.com, eicar.zip и т.д. с FTP на ноут и обратно.
При этом файлы копируются с ненулевым размером и в логах
(C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus for ISA Server\Logs) - пусто.

Подскажите в чем может быть дело?
Go to the top of the page
 
+Quote Post
Natalia Pasynkov...
post 18.09.2008 18:41
Post #2


Tech expert
**************

Group: KL Russia
Posts: 6406
Joined: 8.02.2006
From: Москва




QUOTE(kazak80 @ 17.09.2008 17:41) *
Добрый день.
С целью ознакомления с шлюзовым решением для ISA скачал триальную версию
Kaspersky Anti-Virus for Microsoft ISA Server 2004/2006 Standard Edition Version: 5.6.

В качестве стенда использую:
1 Сервер MS ISA 2004 SE.
2 Сервер с FTP File Zilla
3 Ноутбук с WinXP и ftp-клиентом

Антивирус без проблем установил на ISA 2004.
Далее опубликовал на ISA FTP-сервер

Тестирую шлюз посредством скачивания файлов eicar.com, eicar.zip и т.д. с FTP на ноут и обратно.
При этом файлы копируются с ненулевым размером и в логах
(C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus for ISA Server\Logs) - пусто.

Подскажите в чем может быть дело?

Здравствуйте.

Приветствую на форуме!

Текущая версия проверяет только то, что закачивается с внешнего ftp сервера.
Вот отсюда скачайте EICAR - http://eicar.org/


--------------------
Kind regards,
Nataliya Pasynkova
Head of Service Delivery & Automation
Go to the top of the page
 
+Quote Post
kazak80
post 18.09.2008 18:55
Post #3


Newbie
*

Group: Members
Posts: 5
Joined: 17.09.2008




QUOTE(Natalia Pasynkova @ 18.09.2008 18:41) *
Здравствуйте.

Приветствую на форуме!

Текущая версия проверяет только то, что закачивается с внешнего ftp сервера.
Вот отсюда скачайте EICAR - http://eicar.org/


Благодорю за ответ, но я отсюда и скачал несколько файлов, далее залил их на FTP-сервер, опубликованный на ISA .
А затем на ноут скачивал файлы с FTP через ISA и eicar не обнаружился.
При этом, если на ноуте попытаться разархивировать, например, eicar.zip, то антивирус для файловой системы
его сразу же обнаруживает.

Не понятно, чего не хватает, для работы антивируса.
Go to the top of the page
 
+Quote Post
пользователь
post 18.09.2008 19:02
Post #4


True legend
***************

Group: Members
Posts: 20386
Joined: 27.06.2006
From: Russia




QUOTE(kazak80 @ 18.09.2008 18:55) *
Благодорю за ответ, но я отсюда и скачал несколько файлов, далее залил их на FTP-сервер, опубликованный на ISA .
А затем на ноут скачивал файлы с FTP через ISA и eicar не обнаружился.
При этом, если на ноуте попытаться разархивировать, например, eicar.zip, то антивирус для файловой системы
его сразу же обнаруживает.

Не понятно, чего не хватает, для работы антивируса.

Вы снаружи (из интернета) положили файл на опубликованный фтп, а после этого, изнутри, с опубликованного фтп, пытались скачать файл?
Опишите более подробно методику тестирования.

Попробуйте ноутом скачать файл по ссылке предложенной Натальей. Каков результат?


--------------------
Древние римляне были настолько суровы, что общались на форумах без помощи браузеров.
Go to the top of the page
 
+Quote Post
KAV for ISA
post 19.09.2008 13:12
Post #5


KAV for ISA Developer
***

Group: KL Russia
Posts: 131
Joined: 10.03.2006




Я присоединяюсь к просьбе подробнее объяснить, в каком сценарии проверяется работа антивируса.

Текущая версия антивируса должна блокировать зараженные файлы, запрашиваемые клиентом внутренней сети с удаленного сервера; доступ к удаленному FTP-серверу обеспечивается ISA Server'ом с установленным антивирусом . Проверка доступа к опубликованным серверам не поддерживается в этой версии продукта.
Go to the top of the page
 
+Quote Post
kazak80
post 19.09.2008 15:15
Post #6


Newbie
*

Group: Members
Posts: 5
Joined: 17.09.2008




QUOTE(пользователь @ 18.09.2008 19:02) *
Вы снаружи (из интернета) положили файл на опубликованный фтп, а после этого, изнутри, с опубликованного фтп, пытались скачать файл?
Опишите более подробно методику тестирования.

Попробуйте ноутом скачать файл по ссылке предложенной Натальей. Каков результат?


Методика тестирования.

Стенд:

1 MS ISA 2004.
Внутренний интерфейс смотрит в локальную сеть - 10.2.0.0
Внешний интерфейс смотрит в тестовую сетку 192.168.50.0

2 FTP сервер размещен в 10.2.0.0 и опубликован на внешнем интефесе ISA

3 FTP-клиент (ноут) размещен в тестовой сети

Тестовая сетка замкнута (не имеет выхода в Интернет)

Тестирование:

Из Интернета (с сайта http://eicar.org/anti_virus_test_file.htm)
скачал файл eicar_com.zip и разместил его на опубликованный FTP сервер.
Далее с ноута скачиваю eicar_com.zip с опубликованного FTP сервера.
Файл успешно скачивается с сохранением размера.

А вообще KAV for ISA работает с архивами (незапароленными) и опубликованными серверами (web, ftp) ?

C ноута скачать ничего не могу - в тестовой сетке нет выхода в Интернет.
Go to the top of the page
 
+Quote Post
пользователь
post 19.09.2008 15:19
Post #7


True legend
***************

Group: Members
Posts: 20386
Joined: 27.06.2006
From: Russia




Боюсь, что защищаются только те, кто находятся на внутреннем интерфейсе ISA и только в том случае, если они получают трафик через внешний интерфейс ISA (то есть не с опубликованных серверов).

QUOTE(kazak80 @ 19.09.2008 15:15) *
А вообще KAV for ISA работает с архивами (незапароленными) и опубликованными серверами (web, ftp) ?

Работает. Вирусы ловит:
Attached File  eicar_com_zip.JPG ( 24,33K ) Number of downloads: 9


This post has been edited by пользователь: 19.09.2008 15:23


--------------------
Древние римляне были настолько суровы, что общались на форумах без помощи браузеров.
Go to the top of the page
 
+Quote Post
kazak80
post 19.09.2008 15:47
Post #8


Newbie
*

Group: Members
Posts: 5
Joined: 17.09.2008




QUOTE(пользователь @ 19.09.2008 15:19) *
Боюсь, что защищаются только те, кто находятся на внутреннем интерфейсе ISA и только в том случае, если они получают трафик через внешний интерфейс ISA (то есть не с опубликованных серверов).
Работает. Вирусы ловит:
Attached File  eicar_com_zip.JPG ( 24,33K ) Number of downloads: 9



Понимаете, нам нужно решение, которое позволяет проверять входящий и исходящий FTP трафик.
Т.е. у нас есть боевой FTP сервер, с которым работают наши сотрудники и клиенты (чтение/запись).
И наша задача обеспечить безопасность, как наших сотрудников так и клиентов.
Для решения этой задачи нужно шлюзовое решение.
Экономически выгодно использовать уже имеющийся шлюз (ISA).
Поэтому я и тестировал Касперского.

Т.е. я правильно понял, что это решение не подходит для нашей конкретной задачи?
Можете предложить другое решение?
Спасибо.
Go to the top of the page
 
+Quote Post
пользователь
post 19.09.2008 15:53
Post #9


True legend
***************

Group: Members
Posts: 20386
Joined: 27.06.2006
From: Russia




QUOTE(kazak80 @ 19.09.2008 15:47) *
Понимаете, нам нужно решение, которое позволяет проверять входящий и исходящий FTP трафик.
Т.е. у нас есть боевой FTP сервер, с которым работают наши сотрудники и клиенты (чтение/запись).
И наша задача обеспечить безопасность, как наших сотрудников так и клиентов.
Для решения этой задачи нужно шлюзовое решение.
Экономически выгодно использовать уже имеющийся шлюз (ISA).
Поэтому я и тестировал Касперского.

Т.е. я правильно понял, что это решение не подходит для нашей конкретной задачи?

Да, я думаю, что в этой версии это невозможно.

QUOTE
Можете предложить другое решение?
Спасибо.

Да, могу: а почему бы на ftp не поставить антивирус? Уточните операционную систему на сервере, или выберите антивирус сами: http://www.kaspersky.ru/koss-2_system_requirements


--------------------
Древние римляне были настолько суровы, что общались на форумах без помощи браузеров.
Go to the top of the page
 
+Quote Post
KAV for ISA
post 19.09.2008 15:54
Post #10


KAV for ISA Developer
***

Group: KL Russia
Posts: 131
Joined: 10.03.2006




QUOTE(kazak80 @ 19.09.2008 15:47) *
Понимаете, нам нужно решение, которое позволяет проверять входящий и исходящий FTP трафик.

Т.е. я правильно понял, что это решение не подходит для нашей конкретной задачи?


Да, текущая версия не решает описанную вами задачу. Она позволит только защитить рабочие станции корпоративной сети, обращающиеся к внешним FTP-серверам.

QUOTE
Можете предложить другое решение?

Другое решение пока в разработке - это следующая версия антивируса для ISA. В ней появится защита опубликованных ресурсов. Релиза до конца года не состоится, к сожалению.
Go to the top of the page
 
+Quote Post
пользователь
post 19.09.2008 15:55
Post #11


True legend
***************

Group: Members
Posts: 20386
Joined: 27.06.2006
From: Russia




QUOTE(KAV for ISA @ 19.09.2008 15:54) *
Другое решение пока в разработке - это следующая версия антивируса для ISA. В ней появится защита опубликованных ресурсов. Релиза до конца года не состоится, к сожалению.

А бетатестирование будет?

This post has been edited by пользователь: 19.09.2008 15:56


--------------------
Древние римляне были настолько суровы, что общались на форумах без помощи браузеров.
Go to the top of the page
 
+Quote Post
KAV for ISA
post 19.09.2008 15:59
Post #12


KAV for ISA Developer
***

Group: KL Russia
Posts: 131
Joined: 10.03.2006




QUOTE(пользователь @ 19.09.2008 15:55) *
А бетатестирование будет?

Разумеется. Это полноценная новая версия, в которой столько добавлено - сами порой забываем, что там есть smile.gif. Из-за больших изменений и разработка долгая.
Go to the top of the page
 
+Quote Post
пользователь
post 19.09.2008 16:02
Post #13


True legend
***************

Group: Members
Posts: 20386
Joined: 27.06.2006
From: Russia




QUOTE(KAV for ISA @ 19.09.2008 15:59) *
Разумеется. Это полноценная новая версия, в которой столько добавлено - сами порой забываем, что там есть smile.gif. Из-за больших изменений и разработка долгая.

Спасибо, бету ждать не раньше ноября?


--------------------
Древние римляне были настолько суровы, что общались на форумах без помощи браузеров.
Go to the top of the page
 
+Quote Post
KAV for ISA
post 19.09.2008 16:04
Post #14


KAV for ISA Developer
***

Group: KL Russia
Posts: 131
Joined: 10.03.2006




QUOTE(пользователь @ 19.09.2008 16:02) *
Спасибо, бету ждать не раньше ноября?

Скорее, позже sad.gif.
Go to the top of the page
 
+Quote Post
пользователь
post 19.09.2008 16:04
Post #15


True legend
***************

Group: Members
Posts: 20386
Joined: 27.06.2006
From: Russia




QUOTE(KAV for ISA @ 19.09.2008 16:04) *
Скорее, позже sad.gif.

Жаль, но не смертельно.


--------------------
Древние римляне были настолько суровы, что общались на форумах без помощи браузеров.
Go to the top of the page
 
+Quote Post
kazak80
post 19.09.2008 17:25
Post #16


Newbie
*

Group: Members
Posts: 5
Joined: 17.09.2008




QUOTE(пользователь @ 19.09.2008 15:53) *
Да, я думаю, что в этой версии это невозможно.
Да, могу: а почему бы на ftp не поставить антивирус? Уточните операционную систему на сервере, или выберите антивирус сами: http://www.kaspersky.ru/koss-2_system_requirements



ОС SunOS 5.9

Касперский такую похоже не поддерживает.
Go to the top of the page
 
+Quote Post
Andrey Rezvov
post 19.09.2008 17:54
Post #17


Advanced Member V
*******

Group: Members
Posts: 1067
Joined: 1.07.2005




QUOTE(kazak80 @ 19.09.2008 17:25) *
ОС SunOS 5.9

Касперский такую похоже не поддерживает.


вашу задачу решит squid на Intel-платформе (linux или freebsd) с KAV for Proxy, с правильно сконфигурированными логически потоками - так, чтобы через него проходило все то, что нужно проверять

либо более сложное (а в чем то более простое если у вас есть уже соотв. оборудование) распределенное решение - какая-то прокси на вашей SunOS с поддержкой ICAP (тот же squid для вашей SunOS), или отдельно стоящая опять таки на правильном потоке "железяка" с поддержкой ICAP (Blue Coat, Cisco Content Engine), которые передают посредством ICAP контент на проверку опять-таки приложению KAV for Proxy, установленному на отдельном Intel-хосте.


--------------------
No translation for "X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*" from English into Russian.


/"\
\ / ASCII Ribbon Campaign
.X. against pictures in user board signatures
/ \
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 30.09.2014 23:53