Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Proxycache auf Windows-Schadprogramme untersuchen

Frage Linux

Mitglied: 32610

32610 (Level 1)

01.04.2007, aktualisiert 02.04.2007, 3735 Aufrufe, 2 Kommentare

Der Cache des Servers soll Windows-Viren u.ä. vor der Weiterleitung abfangen

Linux 10.2 Server als Proxy für 12 Clienten mit ME, XP Home und XP Pro.
Im Server ist eine HDD (10 GB) als /proxycache gemountet. Der Proxy ist Tranparent.

Wie kann ich erreichen, daß evtl. Schadprogramme gar nicht erst an die Clienten weitergegeben werden? Ich möchte vermeiden, daß auf den Clienten wartungsintensive Schutzprogramme laufen müssen.

mfg

Arananka
Mitglied: datasearch
01.04.2007 um 12:48 Uhr
Wir verwenden einen Vorgeschalteten HAVP mit Clam-AV als Scanner. Funktioniert ganz gut, der Scanner ist manchmal zwar etwas langsam, wenn du mehr Performance benötigst kannst du immernoch einen der großen Kaufen. HAVP kommt mit so ziemlich allen scannern klar.

Das ganze funktioniert so:

Möglichkeit 1 - Proxy mit vorgeschaltetem Virenscanner:
- Scan-Partition mit der mount-option "mand" einbinden (wenn du GENUG Ram in der Machine hast, nimm eine Ramdisk. MIND. 1GB ERFORDERLICH, abhängig von der maximalen größe der Downloads)
- HAVP installieren und als aktiven Proxy konfigurieren (nicht transparent-mode)
- Clamd als socket-scanner konfigurieren, im HAVP angeben

Ich vermute du verwendest Squid.

- als Parent-proxy den havp angeben

Möglichkeit 2 Transparenter Scan-Only Proxy:
- Scan-Partition wie oben einrichten
- HAVP wie oben installieren, nur mit der transparent-mode option konfigurieren
- clamd wie oben einrichten

Der Vorteil am HAVP ist auch, das du einen Bereich für HTTP-Quellports angeben kannst. Zusammen mit Frox kannst du den gesammten non-ssl traffic steuern und genauere Quellports in deinen iptables rules verwenden.

zb. -p tcp -s $LOCEXTIP -o $DEVEXT --sport 50000:55000 --dport 80 -m state --state NEW,ESTABLISHED -j ACC_EXT_OUT
und -p tcp -d $LOCEXTIP -i $DEVEXT --sport 80 --dport 50000:55000 m state --state ESTABLISHED -j ACC_EXT_OUT_REV

in ACC_EXT_OUT und ACC_EXT_OUT_REV prüfe ich noch einige andere Dinge wie zb. diverse Options oder den PID-Owner .... egal, gehört nich hier rein.

Fazit ist, es geht mit OSS besser als mit Geräten die tolle namen tragen aber viel zu träge zu konfigurieren sind. Ist aber auch extrem aufwendig jedes Proto zu analysieren und per Hand freizuschalten. Aber es lohnt sich -g- Wir lassen das Sys alle paar Monate testen. Durch die Cisco sie die irgendwie durchgekommen, durch den Pinguin noch nie.

Was die Wartung angeht, wenn die Rules einmal gesetzt sind hast du sie Ewig. Der Virenscanner updated die Signaturen Automatisch, du musst nur ca. alle 2-3 Monate mal den scanner selbst aktualisieren. Das ganze lässt sich unbegrenzt erweitern ... wir scannen 98% des gesammten Traffics (POP3, IMAP, SMTP, HTTP, FTP ......) transparent.

Nochwas, wenn du transparent auf Viren scannst geht die ca. 5% Bandbreite und 5-15% Geschwindigkeit (reaktionszeit) verlohren. Irgendwo kostet es eben doch Ressourcen jedes Objekt einer HTTP-Session zu scannen.
Bitte warten ..
Mitglied: 32610
02.04.2007 um 08:38 Uhr
Ich bedanke mich für diese sehr gut ausgeführte und tiefgreifende Antwort. Ich werde mich sofort an die Umsetzung machen. Auf Grund der Struktur des betreffenden Netzwerkes werde ich wohl den ersten Vorschlag favoritisieren.

mfg

AranankA
Bitte warten ..
Ähnliche Inhalte
Windows Server
ClamWin findet Trojaner in Windows assembly NativeImages Verzeichnis (4)

Frage von Rene1976 zum Thema Windows Server ...

Windows Server
Windows BranchCache - nur mit aktivierter Windows-Firewall? (2)

Frage von User1000 zum Thema Windows Server ...

Viren und Trojaner
Aktuelle Gefahrenlage: alle Fakten im -Sicherheitsreport (1)

Link von runasservice zum Thema Viren und Trojaner ...

Neue Wissensbeiträge
Sicherheit

How I hacked hundreds of companies through their helpdesk

Information von SeaStorm zum Thema Sicherheit ...

Erkennung und -Abwehr

Ccleaner-Angriff war nur auf große Unternehmen gemünzt

(10)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Sicherheit

Eventuell neue Lücke in Intels ME

Information von sabines zum Thema Sicherheit ...

Heiß diskutierte Inhalte
Humor (lol)
Freidach Beitrag (33)

Frage von Penny.Cilin zum Thema Humor (lol) ...

Lizenzierung
Programm soll in verschiedenen Versionen lizenziert sein (20)

Frage von Yanmai zum Thema Lizenzierung ...

Windows 7
SSD - Win7 Lags (19)

Frage von ph5555 zum Thema Windows 7 ...