[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] Re: [lll]: Re: [lll]: Re: [lll]: Antivirenlösung



Peter Warasin wrote:
>[..]
> 
> ich habe dann an ipchains gedacht.. mit -o (Copy matching  packets  to  the
> userspace  device.) weiterleiten an einen virenscanner der streams eben
> scannen kann. 

Das problem dabei ist das du noch keinen "stream" hast den ein scanner
auswerten
könnte. Den muss erst ein anderes programm aus den packerln wieder
zusammenbaun.

> interessant ist dies ja eigentlich nur fuer http und ftp, mail
> kann man anders loesen [..]

Das ist Firewall-abhängig .. wenn scanner und firewall CVP unterstützen
reicht
die firewall http und ftp an den scanner weiter ... dazu muss die fw
aber die
pakete zusammenbaun, also fw != ipchains.

Dafür werden (wenn eingestellt) die dateien auch "live" gesäubert.

Ich kenn keinen scanner der auf streams arbeitet.

Ich denk darüber nach den f-secure scanner mit einem IDS zu verbandeln,
das
ist aber nicht gerade ein wochenendprojekt. 

> [..] wenn der stream verschluesselt ist? was wenn

manche scanner können verschlüsselte daten lesen ... allerdings _extrem_
auf
sich nahestehende produkte beschränkt. ... bei verschlüsselung ala pgp:
Njet

> das virenbefallene programm in einem targz ode zip ist und noch schlimmer

null problemo, lässt sich einstellen ... aber wie gesagt .. keine
streams: CVP

> .jpg heisst oder ueber http getunnelt wird oder so?

bei tunnels hat die fw auch nicht wirklich eine chance ... wie soll sie
aus
(z.B) DNS paketen die "echte" information destilieren?

> naja.. ich denke mal dass man bei einer virenwall nie sicher sein kann dass
> die auch wirklich alles blockt, 

korrekt ... verschlüsselung, vpn und disketten!

> zufrieden sein koennte (vorerst). allerdings konnte ich keinen scanner
> finden der auch auf unix systemen laeuft..
Mal eine andere form des henne-ei problems ... zu wenig eier unter unix.
Das
ist auch der grund warum scanner für unix/linux nicht grad zu den
heissen
themen gehört.

f-secure (~~avp) läuft brav, gibts aber nicht als download, mail an mich
bei
interesse (f-secure partner).
mcaffee keine erfahrung mit dem linux-scanner ... normalerweise
zuverlässige
dinger.

generell scannen sie aber alle files und keine datenströme. Wir scannen
damit nur 
die server und kopiern vervirte files aus dem bereich wo die win-clients
sie 
erwischen können. Das vermeidet unnötige alarme auf den clients.

trotzdem ist das mitscannen des verkehrs nach viren und trojanern nicht
uninteressant,
aber eher was für eine IDS-engine wie snort. ... ein on-line säubern von
viren gibts
dann natürlich nicht. Ausserdem funktioniert das ja nur bis zu einer
gewissen Datenmenge.

tw
-- 
If a packet hits a pocket on a socket on a port
& the bus is interrupted as a very last resort
then the socket packet pocket has an error to report!



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
September 2010