Hallo,
wir würden gerne eine kleine Terra als zwischengeschalteten Virenscanner für Net-Device-Server einsetzen.
Ich habe mir das so vorgestellt:
- Am Net-Deviceserver hängt ein USB-Stick, der seine Daten via FTP bereitstellt
- Per Proxy-Config-Script werden die Clients so konfiguriert, dass sie beim Zugriff auf den Deviceserver die Terra als Proxy verwenden
- Der "Download" vom Device-Server soll nun über den Proxy der Terra auf Viren gescannt werden.
- Der Virenscanner der Terra müsste seine PatternAktualisierungen über einen übergeordneten Proxy holen
Ist dieses Szenario seitens der Terra umsetzbar?
Was müsste wir wo einstellen, damit es funktioniert?
Vielen Dank.
Josef
Virenscanner für DeviceServer
Moderator: Securepoint
Hallo,
grundsätzlich ist das möglich.
- Welche Performance erwarten Sie von einer BD?
- Werden Archive,etc. nur die ersten x-Byte gescannt. Das Sie dort Archive mit 600MB entpacken und eine Tiefenanalyse durch führen ist nicht möglich.
- Funktioniert das nur über FileZilla wenn man den Proxy manuell eingibt.
grundsätzlich ist das möglich.
- Welche Performance erwarten Sie von einer BD?
- Werden Archive,etc. nur die ersten x-Byte gescannt. Das Sie dort Archive mit 600MB entpacken und eine Tiefenanalyse durch führen ist nicht möglich.
- Funktioniert das nur über FileZilla wenn man den Proxy manuell eingibt.
There are 10 types of people in the world... those who understand binary and those who don\'t.
Hallo,
Vielen Dank für die Antwort, das hört sich schon mal gut an.
- Performance ist zweitrangig
- Scantiefe würde passen
Wo ich nicht weiß, wo ich ansetzen soll sind folgende Punkte:
# unser internes Netz ist im Bereich 5.0.0.0, die Terra hat 5.30.31.100, die Device-Server hängen im Bereich 5.30.0.0. Wie müssen die Netzwerk-Einstellungen an der Terra aussehen?
# Es gibt einen zentralen Proxy, worüber sich die Terra die Signaturen holen soll, wo muss dieser eingestellt werden - und kann evtl. ProxyUser/Passwort mitgegeben werden?
Vielen Dank,
Josef
Vielen Dank für die Antwort, das hört sich schon mal gut an.
- Performance ist zweitrangig
- Scantiefe würde passen
Wo ich nicht weiß, wo ich ansetzen soll sind folgende Punkte:
# unser internes Netz ist im Bereich 5.0.0.0, die Terra hat 5.30.31.100, die Device-Server hängen im Bereich 5.30.0.0. Wie müssen die Netzwerk-Einstellungen an der Terra aussehen?
# Es gibt einen zentralen Proxy, worüber sich die Terra die Signaturen holen soll, wo muss dieser eingestellt werden - und kann evtl. ProxyUser/Passwort mitgegeben werden?
Vielen Dank,
Josef
Was vielleicht dagegen spricht ist die Tatsache, dass die Terra bzw. SecurePoint generell
auf ClamAV setzt. Dieser Open-Source/Freeware-Virenscanner besticht nicht durch die
besten Erkennungsraten. Eine Möglichkeit, eine eigene Lizenz für z.B. Kaspersky oder Avira zu
hinterlegen existiert nicht.
Bei uns kommen noch ziemlich viele Viren/Rootkits an der SecurePoint vorbei, die
dann vom lokalen Virenscanner meist erkannt werden.
Ist das geplant?
auf ClamAV setzt. Dieser Open-Source/Freeware-Virenscanner besticht nicht durch die
besten Erkennungsraten. Eine Möglichkeit, eine eigene Lizenz für z.B. Kaspersky oder Avira zu
hinterlegen existiert nicht.
Bei uns kommen noch ziemlich viele Viren/Rootkits an der SecurePoint vorbei, die
dann vom lokalen Virenscanner meist erkannt werden.
Ist das geplant?
Zuletzt geändert von b_admin am Di 04.09.2012, 11:08, insgesamt 1-mal geändert.
Hallo,
Wir haben natürlich auch einen Scanner auf den Clients installiert und möchten mit dieser Konstellation einen zweistufigen Virenschutz für USB-Speichermedien realisieren.
Kein Virenscanner arbeitet 100%ig. Durch zwei verschiedene Hersteller/Signaturen wollen wir das Risiko weiter minimieren. Von daher wäre ClamAV als zweiter Scanner für uns tragbar.
mfg, Josef
Wir haben natürlich auch einen Scanner auf den Clients installiert und möchten mit dieser Konstellation einen zweistufigen Virenschutz für USB-Speichermedien realisieren.
Kein Virenscanner arbeitet 100%ig. Durch zwei verschiedene Hersteller/Signaturen wollen wir das Risiko weiter minimieren. Von daher wäre ClamAV als zweiter Scanner für uns tragbar.
mfg, Josef
Hi, Securepoint bringt ab Version V11 einen doppelten Virenscanner basierend auf Commtouch und ClamAV standardmässig mit. ClamAV ist übrigens als Netzwerk-Virenscanner im Prinzip genauso gut wie alle anderen, lediglich als eine Verhaltenserkennung fehlt dort und die ist bei Netzwerkvirenscanner grundsätzlich nicht vorhanden, denn dann müsste im Prinzip auf jedem UTM-Netzwerk-Virenscanner eine Sandbox sein, in der z. B. virtuelle Windows-, Apple- etc. Betriebssysteme laufen. Das geht aus Performance- und Speicher-Gründen nicht. Deshalb wird auch bei Netzwerkscannern ein lokaler verhaltensbasierter Virenscanner empfohlen.
Hallo,
danke für die vielen Antworten, das hört sich Alles sehr vielversprechend an.
Wie kann ich das jetzt konfigurieren, d.h. hängen zwei Ethernet-Ports im gleichen Netz, was muss ich wo einstellen? Ich bin leider kein großer Linux-Kenner...
Wie stelle ich die Datenversorgung des Virenscanners über Proxy ein?
Danke, Josef
danke für die vielen Antworten, das hört sich Alles sehr vielversprechend an.
Wie kann ich das jetzt konfigurieren, d.h. hängen zwei Ethernet-Ports im gleichen Netz, was muss ich wo einstellen? Ich bin leider kein großer Linux-Kenner...
Wie stelle ich die Datenversorgung des Virenscanners über Proxy ein?
Danke, Josef
Hallo,
Sie stellen die UTM mit einem Kabel in das interne Netzwerk, das wars dann schon fast
.
Bsp:
DG des gesamten Netzes: 172.16.0.1/24
IP-UTM: 172.16.0.254
DG-UTM: 172.16.0.1
DNS-UTM: 172.16.0.1
- Sie gewähren per FirewallRegel den Zugriff auf den Proxy.
- Sie stellen im Browser den ftp-Proxy auf die IP 172.16.0.254 und Port 8080 (Standard)
Wenn Sie jetzt auf den FTP zugreifen und eine Datei herunterladen kommt ggf. folgende Fehlermeldung:
ftp://172.16.0.91/%2f/eicar_com.zip
... has been denied for the following reason:
Virus infected content found. Eicar-Test-Signature
----------
Falls Sie die Updates über einen Proxy beziehen wollen, müssen Sie diesen manuell angeben:
- Meldet Sie sich per putty und dem admin an der fw an:
fw.home.lan> show extc_entry securepoint_firewall
UPDATEPROXYIP;update proxy ip address
UPDATEPROXYPORT;update proxy port
UPDATEPROXYUSER;update proxy login name
UPDATEPROXYSECRET;update proxy login secret
Ändern können Sie die Werte über
change extc_value securepoint_firewall UPDATEPROXYIP "172.16.0.1"
Sie stellen die UTM mit einem Kabel in das interne Netzwerk, das wars dann schon fast
.Bsp:
DG des gesamten Netzes: 172.16.0.1/24
IP-UTM: 172.16.0.254
DG-UTM: 172.16.0.1
DNS-UTM: 172.16.0.1
- Sie gewähren per FirewallRegel den Zugriff auf den Proxy.
- Sie stellen im Browser den ftp-Proxy auf die IP 172.16.0.254 und Port 8080 (Standard)
Wenn Sie jetzt auf den FTP zugreifen und eine Datei herunterladen kommt ggf. folgende Fehlermeldung:
ftp://172.16.0.91/%2f/eicar_com.zip
... has been denied for the following reason:
Virus infected content found. Eicar-Test-Signature
----------
Falls Sie die Updates über einen Proxy beziehen wollen, müssen Sie diesen manuell angeben:
- Meldet Sie sich per putty und dem admin an der fw an:
fw.home.lan> show extc_entry securepoint_firewall
UPDATEPROXYIP;update proxy ip address
UPDATEPROXYPORT;update proxy port
UPDATEPROXYUSER;update proxy login name
UPDATEPROXYSECRET;update proxy login secret
Ändern können Sie die Werte über
change extc_value securepoint_firewall UPDATEPROXYIP "172.16.0.1"
There are 10 types of people in the world... those who understand binary and those who don\'t.