banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Thảo luận việc triển khai 1 proxy antivirus  XML
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 25/06/2007 04:15:02 (+0700) | #1 | 66722
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Chào anh em!
Hôm nay tớ tạo topic này để tham khảo ý kiến anh em về việc triển khai 1 dạng proxy antivirus.
Mục đích là để kiểm soát dòng dữ liệu in/out có " sạch " hay không?
Mấy hôm trước nghe đồn ISP FPT bị 1 con worm tấn công làm toàn bộ hệ thống LAN bị tê liệt trong 4 ngày.
Nghĩ lại thấy kinh hãi quá.

Vấn đề đặt ra ở đây là làm sao chúng ta có thể triển khai 1 proxy antivirus ngay trên gateway là 1 Router Cisco.
OS của Cisco có cho phép chúng ta plug-in module Antivirus không?
Nếu có thì cách triển khai các bạn đã thử qua thế nào?

- Ngoài ra các bạn có ý kiến gì về việc bảo vệ 1 hệ thống LAN không bị nhiễm virus/trojan/spyware v.v từ ngoài Internet !!?? (User lên mạng vô tình download virus về máy)
- Nếu như 1 PC trong LAN đã bị nhiễm Virus thì làm cách nào chúng ta có thể phát hiện để cách ly PC này ra khỏi LAN ??? Tất nhiên chúng ta với tư cách là 1 network administrator.

smilie)
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 25/06/2007 21:59:04 (+0700) | #2 | 66862
[Avatar]
tphong
Member

[Minus]    0    [Plus]
Joined: 07/03/2005 22:16:25
Messages: 10
Location: Núi
Offline
[Profile] [PM]

thangdiablo wrote:

OS của Cisco có cho phép chúng ta plug-in module Antivirus không?
 

OS của Cisco router thường thì mình không chắc lắm. Nếu muốn tích hợp module antivirus thì chơi luôn con ASA đi smilie

thangdiablo wrote:

- Nếu như 1 PC trong LAN đã bị nhiễm Virus thì làm cách nào chúng ta có thể phát hiện để cách ly PC này ra khỏi LAN ??? Tất nhiên chúng ta với tư cách là 1 network administrator.
 

Có thể làm một cách chuyên nghiệp bằng giải pháp switch của Enterasys, tuy nhiên là ... mắc như quỷ :cry:
[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 25/06/2007 22:12:13 (+0700) | #3 | 66865
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

tphong wrote:

Có thể làm một cách chuyên nghiệp bằng giải pháp switch của Enterasys, tuy nhiên là ... mắc như quỷ :cry:  


Bạn có thể trình bày cụ thể hơn được không?

Có 1 giải pháp tôi nghĩ là cũng khá hữu hiệu. Đó là dựng lên 1 con Antivirus Server. Sau đó để nó đứng trước cửa ngõ (Internet<---->Cisco Router<----->Antivirus Server<------>LAN)

Tại đây AS sẽ có trách nhiệm kiểm soát luồng dữ liệu ra vào và nó sẽ kiêm luôn trách nhiệm báo cáo tình hình cho Router để Router có những phản ứng phù hợp.

Tuy nhiên, như vậy sẽ làm tăng khá nhiều chi phi cho việc đầu tư Server và gói phần mềm Antivirus.
Có cách nào plug-in luôn vào Router hay không? smilie)
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Re: Thảo luận việc triển khai 1 proxy antivirus 25/06/2007 22:20:53 (+0700) | #4 | 66868
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Đọc cái này:

http://www.cisco.com/en/US/products/ps6823/index.html

smilie)
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 25/06/2007 23:59:47 (+0700) | #5 | 66891
[Avatar]
tphong
Member

[Minus]    0    [Plus]
Joined: 07/03/2005 22:16:25
Messages: 10
Location: Núi
Offline
[Profile] [PM]

thangdiablo wrote:

tphong wrote:

Có thể làm một cách chuyên nghiệp bằng giải pháp switch của Enterasys, tuy nhiên là ... mắc như quỷ :cry:  


Bạn có thể trình bày cụ thể hơn được không?
 

Giải pháp switch Enterasys bao gồm 1 con switch đặc biệt, 1 bộ IDS tên là Dragon, một bộ quản lý switch tên là netsight atlas. Mô hình hoạt động là tất cả traffic mạng đi qua IDS, nếu phát hiện có virus hay tấn công (IDS có signature của virus) sẽ gửi alarm tới netsight, netsight tùy vào chính sách để áp cho từng port trên switch thông qua SNMP, ngăn chặn được từng dịch vụ(layer 4) trên từng port vật lý của switch luôn.
Mình có nghịch sơ qua con này, tuy nhiên mua hardware đã đắt rồi nên ko đủ tiền mua soft nữa nên ko triển khai thực tế đc .
:cry:

tài liệu nè : http://www.enterasys.com/solutions/index.aspx
[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 26/06/2007 14:14:01 (+0700) | #6 | 67077
[Avatar]
qhoa83
Member

[Minus]    0    [Plus]
Joined: 08/01/2007 04:28:10
Messages: 149
Offline
[Profile] [PM] [Yahoo!]
@thangdiablo

Hiện nay theo mình biết có một chuyên gia đang nghiên cứu về một hệ thống miễn nhiễm Virus. Đã đem qua BKIS để check và rất okay. Thông tin có lẽ mình sẽ tìm hiểu thêm rồi đăng lên

Giải pháp của Thangdiablo là dựng lên một antivirus server giống như một cái gateway chặn lọc các gói tin virus trước khi vào hệ thống máy tính của mình. Nhưng theo mình vậy vẫn chưa được ổn lắm. Vì việc protect người dùng bởi những mistake của họ là rất khó khăn. Theo qhoa có thêm một giản pháp an toàn trên từng computer bằng cách triển khai sau: ( kinh nghiệm riêng thôi nha ):

1, Hệ thống mạng Lan được triển khai trên mô hình Active Directory của Windows 2003
2, Dùng chính sách group policies disable những phần nguy hiểm mà virus hay tấn công ( cụ thể là registry)
3, Chính sách người dụng là user không được quyền admin trên máy local.

Có lẽ với giải pháp trên cũng hạn chế được phần nào thôi. Mọi người có giải pháp nào hay hơn thì share cho Qhoa với nhé.
Thân ái
[Up] [Print Copy]
  [Question]   Re: Thảo luận việc triển khai 1 proxy antivirus 26/06/2007 23:07:13 (+0700) | #7 | 67121
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

conmale wrote:
Đọc cái này:

http://www.cisco.com/en/US/products/ps6823/index.html

smilie


Trong thời điểm hiện tại em chưa thuyết phục được cấp trên mua thêm phần cứng do đó em phải tận dụng những thứ có sẵn.

Em đang có dư 1 con Server và 1 gói Antivirus Server.

Giả sử em dựng mô hình Antivirus Server để chặn lọc sau đó báo cho Router Cisco thì theo anh thông thường Router phải phản ứng thế nào cho đúng ạ?

To : Tphong
Hì hì hiện tại việc mua thêm thiết bị với tớ là bất khả thi.
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 26/06/2007 23:09:05 (+0700) | #8 | 67123
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

qhoa83 wrote:
@thangdiablo

Hiện nay theo mình biết có một chuyên gia đang nghiên cứu về một hệ thống miễn nhiễm Virus. Đã đem qua BKIS để check và rất okay. Thông tin có lẽ mình sẽ tìm hiểu thêm rồi đăng lên

Giải pháp của Thangdiablo là dựng lên một antivirus server giống như một cái gateway chặn lọc các gói tin virus trước khi vào hệ thống máy tính của mình. Nhưng theo mình vậy vẫn chưa được ổn lắm. Vì việc protect người dùng bởi những mistake của họ là rất khó khăn. Theo qhoa có thêm một giản pháp an toàn trên từng computer bằng cách triển khai sau: ( kinh nghiệm riêng thôi nha ):

1, Hệ thống mạng Lan được triển khai trên mô hình Active Directory của Windows 2003
2, Dùng chính sách group policies disable những phần nguy hiểm mà virus hay tấn công ( cụ thể là registry)
3, Chính sách người dụng là user không được quyền admin trên máy local.

Có lẽ với giải pháp trên cũng hạn chế được phần nào thôi. Mọi người có giải pháp nào hay hơn thì share cho Qhoa với nhé.
Thân ái 


Mình sẽ đợi tin của bạn. Hiện tại mình cũng đang dựng 1 AD cho user từ 3 miền join vào.
Cách mà bạn triển khai policies để hạn chế việc bị virus tấn công thế nào có thể nêu ra cụ thể hơn?
Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Re: Thảo luận việc triển khai 1 proxy antivirus 27/06/2007 01:44:00 (+0700) | #9 | 67159
rcrackvn
Elite Member

[Minus]    0    [Plus]
Joined: 27/03/2007 02:04:05
Messages: 42
Offline
[Profile] [PM]
>>tphong: tui thắc mắc:
- nếu ids check mọi traffic để match 1 signature nào đó, chuyện gì sẽ xảy ra nếu signature đó nằm ở payloads của 2 packet khác nhau. trojan coder đủ thông minh để bypass ids kiểu này. Còn nếu ids phải resemble mọi packet trước khi check signature, vậy đòi hỏi hardware utilization cao hơn là cái chắc, chưa kể delay time sẽ tăng đáng kể. Không hiểu cái ids bạn đề cập hoạt động thế nào nhỉ ?

>>thangdiablo: cái tui muốn đề cập dưới đây chỉ là giải pháp thêm vào, không thể replace hoàn toàn các giải pháp của những bạn khác:
- bạn thử deploy snort với clamav preprocessor đặt nằm sau border gateway xem. Lợi ích là nó rẻ, cả snort và clamav đều là opensource. Bạn có thể code 1 preprocessor hoạt động với bất kỳ AV, không chỉ clamav. response cũng có thể control thông qua flexresp, thay vì AV. AV dễ bị false alarm, với critical system thì 5% nhầm lẫn dẫn đến 5% dataloss theo kiểu "you are probably (not) a virus, i will kill my connection to you" của AV. Ưu điểm thứ 2 là bên cạnh AV functionality, bạn có thể deploy các kiểu detection/protection khác với snort.
- khuyết điểm thì như nói ở trên, snort là 1 ids tốt, nhưng không phải là perfect, vẫn bị bypass bởi các ids bypass technique.
- nếu bạn muốn thử, thì check bleedingsnort.com, bản patch clamav preprocessor với snort 2.6.0.2 http://www.inliniac.net/blog/?p=47
[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 12/07/2007 08:50:37 (+0700) | #10 | 70681
longname
Member

[Minus]    0    [Plus]
Joined: 26/04/2007 14:55:42
Messages: 34
Offline
[Profile] [PM]
Hì hì hiện tại việc mua thêm thiết bị với tớ là rất cần
[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 29/01/2010 17:05:39 (+0700) | #11 | 204158
[Avatar]
ORA2009
Member

[Minus]    0    [Plus]
Joined: 31/08/2009 11:04:02
Messages: 109
Offline
[Profile] [PM]
Chủ đề này cũng hay nên mình reply thêm để up lên cho cả nhà bàn luận tiếp.

Chắc một số người cũng biết tới các sản phẩm thương mại của GFI, trong đó có GFI WebMonitor có các chức năng : Web Security, Monitoring & Internet Access Control. GFI cũng hỗ trợ Microsoft ISA khá tốt và cũng có thể chạy độc lập không cần ISA .

http://www.gfi.com/pages/webmon-selection-download.asp

[Up] [Print Copy]
  [Question]   Thảo luận việc triển khai 1 proxy antivirus 01/02/2010 15:28:00 (+0700) | #12 | 204338
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Theo tui nghĩ thì áp AV proxy chỉ là hạn chế sai lầm của người dùng thôi. Lão nên nghiên cứu cách để end-user ít bị nhiễm virus nhất. Làm rồi có được trả công không smilie ?
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|