Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Proxycache auf Windows-Schadprogramme untersuchen

Mitglied: 32610

32610 (Level 1)

01.04.2007, aktualisiert 02.04.2007, 3754 Aufrufe, 2 Kommentare

Der Cache des Servers soll Windows-Viren u.ä. vor der Weiterleitung abfangen

Linux 10.2 Server als Proxy für 12 Clienten mit ME, XP Home und XP Pro.
Im Server ist eine HDD (10 GB) als /proxycache gemountet. Der Proxy ist Tranparent.

Wie kann ich erreichen, daß evtl. Schadprogramme gar nicht erst an die Clienten weitergegeben werden? Ich möchte vermeiden, daß auf den Clienten wartungsintensive Schutzprogramme laufen müssen.

mfg

Arananka
Mitglied: datasearch
01.04.2007 um 12:48 Uhr
Wir verwenden einen Vorgeschalteten HAVP mit Clam-AV als Scanner. Funktioniert ganz gut, der Scanner ist manchmal zwar etwas langsam, wenn du mehr Performance benötigst kannst du immernoch einen der großen Kaufen. HAVP kommt mit so ziemlich allen scannern klar.

Das ganze funktioniert so:

Möglichkeit 1 - Proxy mit vorgeschaltetem Virenscanner:
- Scan-Partition mit der mount-option "mand" einbinden (wenn du GENUG Ram in der Machine hast, nimm eine Ramdisk. MIND. 1GB ERFORDERLICH, abhängig von der maximalen größe der Downloads)
- HAVP installieren und als aktiven Proxy konfigurieren (nicht transparent-mode)
- Clamd als socket-scanner konfigurieren, im HAVP angeben

Ich vermute du verwendest Squid.

- als Parent-proxy den havp angeben

Möglichkeit 2 Transparenter Scan-Only Proxy:
- Scan-Partition wie oben einrichten
- HAVP wie oben installieren, nur mit der transparent-mode option konfigurieren
- clamd wie oben einrichten

Der Vorteil am HAVP ist auch, das du einen Bereich für HTTP-Quellports angeben kannst. Zusammen mit Frox kannst du den gesammten non-ssl traffic steuern und genauere Quellports in deinen iptables rules verwenden.

zb. -p tcp -s $LOCEXTIP -o $DEVEXT --sport 50000:55000 --dport 80 -m state --state NEW,ESTABLISHED -j ACC_EXT_OUT
und -p tcp -d $LOCEXTIP -i $DEVEXT --sport 80 --dport 50000:55000 m state --state ESTABLISHED -j ACC_EXT_OUT_REV

in ACC_EXT_OUT und ACC_EXT_OUT_REV prüfe ich noch einige andere Dinge wie zb. diverse Options oder den PID-Owner .... egal, gehört nich hier rein.

Fazit ist, es geht mit OSS besser als mit Geräten die tolle namen tragen aber viel zu träge zu konfigurieren sind. Ist aber auch extrem aufwendig jedes Proto zu analysieren und per Hand freizuschalten. Aber es lohnt sich -g- Wir lassen das Sys alle paar Monate testen. Durch die Cisco sie die irgendwie durchgekommen, durch den Pinguin noch nie.

Was die Wartung angeht, wenn die Rules einmal gesetzt sind hast du sie Ewig. Der Virenscanner updated die Signaturen Automatisch, du musst nur ca. alle 2-3 Monate mal den scanner selbst aktualisieren. Das ganze lässt sich unbegrenzt erweitern ... wir scannen 98% des gesammten Traffics (POP3, IMAP, SMTP, HTTP, FTP ......) transparent.

Nochwas, wenn du transparent auf Viren scannst geht die ca. 5% Bandbreite und 5-15% Geschwindigkeit (reaktionszeit) verlohren. Irgendwo kostet es eben doch Ressourcen jedes Objekt einer HTTP-Session zu scannen.
Bitte warten ..
Mitglied: 32610
02.04.2007 um 08:38 Uhr
Ich bedanke mich für diese sehr gut ausgeführte und tiefgreifende Antwort. Ich werde mich sofort an die Umsetzung machen. Auf Grund der Struktur des betreffenden Netzwerkes werde ich wohl den ersten Vorschlag favoritisieren.

mfg

AranankA
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr
Cardreader auf Schadprogramme scannen
gelöst Frage von nikoatitErkennung und -Abwehr9 Kommentare

Moin, wir suchen einen Möglichkeit Cardreader (Speziell SD- und CF-Karten) zuscannen, bevor ein Datenaustausch stattfinden kann. Ich meine das ...

Entwicklung

Textdatei auf Rendundanz untersuchen und ändern

gelöst Frage von Daniel3Entwicklung19 Kommentare

Hallo zusammen, Ich müsste mit einer Bat oder kleineren Programm, eine txt Datei auf Rendundanz untersuchen und ausbessern. z.B. ...

Microsoft Office

Makro: Bereich auf freie Zellen untersuchen und Inhalt einfügen

gelöst Frage von BerndVorwerkMicrosoft Office2 Kommentare

Hallo an alle, ich bräuchte einmal mehr Hilfe bei dem Erstellen eines Makros. Ich möchte gerne aus dem Tabellenblatt ...

Windows 8

Windows Update und windows auf Englisch

Frage von BigibobWindows 81 Kommentar

Hallo, wo kann man die Updatepakages von Windows manuell herunterladen und manell installieren (grund: wen ich normal über windows ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 8 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 20 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 22 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 23 StundenMicrosoft14 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server35 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...