Jump to content
kazak80

Проверка работоспособности антивируса для ISA

Recommended Posts

kazak80   

Добрый день.

С целью ознакомления с шлюзовым решением для ISA скачал триальную версию

Kaspersky Anti-Virus for Microsoft ISA Server 2004/2006 Standard Edition Version: 5.6.

 

В качестве стенда использую:

1 Сервер MS ISA 2004 SE.

2 Сервер с FTP File Zilla

3 Ноутбук с WinXP и ftp-клиентом

 

Антивирус без проблем установил на ISA 2004.

Далее опубликовал на ISA FTP-сервер

 

Тестирую шлюз посредством скачивания файлов eicar.com, eicar.zip и т.д. с FTP на ноут и обратно.

При этом файлы копируются с ненулевым размером и в логах

(C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus for ISA Server\Logs) - пусто.

 

Подскажите в чем может быть дело?

Share this post


Link to post
Share on other sites
Добрый день.

С целью ознакомления с шлюзовым решением для ISA скачал триальную версию

Kaspersky Anti-Virus for Microsoft ISA Server 2004/2006 Standard Edition Version: 5.6.

 

В качестве стенда использую:

1 Сервер MS ISA 2004 SE.

2 Сервер с FTP File Zilla

3 Ноутбук с WinXP и ftp-клиентом

 

Антивирус без проблем установил на ISA 2004.

Далее опубликовал на ISA FTP-сервер

 

Тестирую шлюз посредством скачивания файлов eicar.com, eicar.zip и т.д. с FTP на ноут и обратно.

При этом файлы копируются с ненулевым размером и в логах

(C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus for ISA Server\Logs) - пусто.

 

Подскажите в чем может быть дело?

Здравствуйте.

 

Приветствую на форуме!

 

Текущая версия проверяет только то, что закачивается с внешнего ftp сервера.

Вот отсюда скачайте EICAR - http://eicar.org/

Share this post


Link to post
Share on other sites
kazak80   
Здравствуйте.

 

Приветствую на форуме!

 

Текущая версия проверяет только то, что закачивается с внешнего ftp сервера.

Вот отсюда скачайте EICAR - http://eicar.org/

 

Благодорю за ответ, но я отсюда и скачал несколько файлов, далее залил их на FTP-сервер, опубликованный на ISA .

А затем на ноут скачивал файлы с FTP через ISA и eicar не обнаружился.

При этом, если на ноуте попытаться разархивировать, например, eicar.zip, то антивирус для файловой системы

его сразу же обнаруживает.

 

Не понятно, чего не хватает, для работы антивируса.

 

Share this post


Link to post
Share on other sites

Я присоединяюсь к просьбе подробнее объяснить, в каком сценарии проверяется работа антивируса.

 

Текущая версия антивируса должна блокировать зараженные файлы, запрашиваемые клиентом внутренней сети с удаленного сервера; доступ к удаленному FTP-серверу обеспечивается ISA Server'ом с установленным антивирусом . Проверка доступа к опубликованным серверам не поддерживается в этой версии продукта.

Share this post


Link to post
Share on other sites
kazak80   
Вы снаружи (из интернета) положили файл на опубликованный фтп, а после этого, изнутри, с опубликованного фтп, пытались скачать файл?

Опишите более подробно методику тестирования.

 

Попробуйте ноутом скачать файл по ссылке предложенной Натальей. Каков результат?

 

Методика тестирования.

 

Стенд:

 

1 MS ISA 2004.

Внутренний интерфейс смотрит в локальную сеть - 10.2.0.0

Внешний интерфейс смотрит в тестовую сетку 192.168.50.0

 

2 FTP сервер размещен в 10.2.0.0 и опубликован на внешнем интефесе ISA

 

3 FTP-клиент (ноут) размещен в тестовой сети

 

Тестовая сетка замкнута (не имеет выхода в Интернет)

 

Тестирование:

 

Из Интернета (с сайта http://eicar.org/anti_virus_test_file.htm)

скачал файл eicar_com.zip и разместил его на опубликованный FTP сервер.

Далее с ноута скачиваю eicar_com.zip с опубликованного FTP сервера.

Файл успешно скачивается с сохранением размера.

 

А вообще KAV for ISA работает с архивами (незапароленными) и опубликованными серверами (web, ftp) ?

 

C ноута скачать ничего не могу - в тестовой сетке нет выхода в Интернет.

Share this post


Link to post
Share on other sites
kazak80   
Боюсь, что защищаются только те, кто находятся на внутреннем интерфейсе ISA и только в том случае, если они получают трафик через внешний интерфейс ISA (то есть не с опубликованных серверов).

Работает. Вирусы ловит:

post-14734-1221823380_thumb.jpg

 

 

Понимаете, нам нужно решение, которое позволяет проверять входящий и исходящий FTP трафик.

Т.е. у нас есть боевой FTP сервер, с которым работают наши сотрудники и клиенты (чтение/запись).

И наша задача обеспечить безопасность, как наших сотрудников так и клиентов.

Для решения этой задачи нужно шлюзовое решение.

Экономически выгодно использовать уже имеющийся шлюз (ISA).

Поэтому я и тестировал Касперского.

 

Т.е. я правильно понял, что это решение не подходит для нашей конкретной задачи?

Можете предложить другое решение?

Спасибо.

Share this post


Link to post
Share on other sites
Понимаете, нам нужно решение, которое позволяет проверять входящий и исходящий FTP трафик.

 

Т.е. я правильно понял, что это решение не подходит для нашей конкретной задачи?

 

Да, текущая версия не решает описанную вами задачу. Она позволит только защитить рабочие станции корпоративной сети, обращающиеся к внешним FTP-серверам.

 

Можете предложить другое решение?

Другое решение пока в разработке - это следующая версия антивируса для ISA. В ней появится защита опубликованных ресурсов. Релиза до конца года не состоится, к сожалению.

 

Share this post


Link to post
Share on other sites
А бетатестирование будет?

Разумеется. Это полноценная новая версия, в которой столько добавлено - сами порой забываем, что там есть :). Из-за больших изменений и разработка долгая.

 

Share this post


Link to post
Share on other sites
kazak80   
Да, я думаю, что в этой версии это невозможно.

Да, могу: а почему бы на ftp не поставить антивирус? Уточните операционную систему на сервере, или выберите антивирус сами: http://www.kaspersky.ru/koss-2_system_requirements

 

 

ОС SunOS 5.9

 

Касперский такую похоже не поддерживает.

Share this post


Link to post
Share on other sites
hinote   
ОС SunOS 5.9

 

Касперский такую похоже не поддерживает.

 

вашу задачу решит squid на Intel-платформе (linux или freebsd) с KAV for Proxy, с правильно сконфигурированными логически потоками - так, чтобы через него проходило все то, что нужно проверять

 

либо более сложное (а в чем то более простое если у вас есть уже соотв. оборудование) распределенное решение - какая-то прокси на вашей SunOS с поддержкой ICAP (тот же squid для вашей SunOS), или отдельно стоящая опять таки на правильном потоке "железяка" с поддержкой ICAP (Blue Coat, Cisco Content Engine), которые передают посредством ICAP контент на проверку опять-таки приложению KAV for Proxy, установленному на отдельном Intel-хосте.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×