![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Прокси с антивирусом
Вчера ради эксперимента поставил у себя прокси с антивирусной фильтрацией.
Для проверки решил походить по крак-сайтам.. и сходу ничего не словил. Странно, видимо, не там лазил. Зато на Воффке уже через 5-10мин хождения по ссылкам получил срабатывания - с сайта по ссылкам неск. раз пытались всунуть скрипт, использующий уязвимость в MSIE, позволяющую запустить потом код на целевой системе. (понятно, у меня нет ни ИЕ, ни винды на работе, но это ж проверка). Для тех, кому интересно, возможные схемы выглядят так :
варианты включения
Я поставил вариант со сквидом и havp(parent), что не позволяет проверять ftp и дает всю диагностику типа dns error от havp, что неудобно. Так что 3-х слойное проксирование, пожалуй, оптимально. (клиентский сквид делает ACL+log+[shaper], ну и при прозрачном проксировании трафик перенаправляется на него; внешний сквид - ftp->http, возможно - кэш, обработка ошибок.)
Кэширование можно выключить - толку от него на широком канале немного.
А можно вообще выкусить кэширование из исходников, будет еще лучше.
Clamav за последние годы стал сильно лучше - если на старых коллекциях dos/16-bit win он по-прежнему многое не опознает (но оно и не нужно), то на новых червях реакция в виде пополнения базы довольно оперативна, базу перевыпускают до 10 раз в сутки. Скорость проверки (через libclamav) очень хороша.
Из мелких минусов havp - он требует отдельный раздел с (mount -o mand) монтированием под линухом.
Для проверки решил походить по крак-сайтам.. и сходу ничего не словил. Странно, видимо, не там лазил. Зато на Воффке уже через 5-10мин хождения по ссылкам получил срабатывания - с сайта по ссылкам неск. раз пытались всунуть скрипт, использующий уязвимость в MSIE, позволяющую запустить потом код на целевой системе. (понятно, у меня нет ни ИЕ, ни винды на работе, но это ж проверка). Для тех, кому интересно, возможные схемы выглядят так :
варианты включения
Я поставил вариант со сквидом и havp(parent), что не позволяет проверять ftp и дает всю диагностику типа dns error от havp, что неудобно. Так что 3-х слойное проксирование, пожалуй, оптимально. (клиентский сквид делает ACL+log+[shaper], ну и при прозрачном проксировании трафик перенаправляется на него; внешний сквид - ftp->http, возможно - кэш, обработка ошибок.)
Кэширование можно выключить - толку от него на широком канале немного.
А можно вообще выкусить кэширование из исходников, будет еще лучше.
Clamav за последние годы стал сильно лучше - если на старых коллекциях dos/16-bit win он по-прежнему многое не опознает (но оно и не нужно), то на новых червях реакция в виде пополнения базы довольно оперативна, базу перевыпускают до 10 раз в сутки. Скорость проверки (через libclamav) очень хороша.
Из мелких минусов havp - он требует отдельный раздел с (mount -o mand) монтированием под линухом.