Linux als Virenwächter fürs Netzwerk

Dieses Thema im Forum "Security Talk" wurde erstellt von illtiss, 08.08.2005.

  1. #1 illtiss, 08.08.2005
    illtiss

    illtiss Routinier

    Dabei seit:
    19.01.2005
    Beiträge:
    449
    Zustimmungen:
    0
    Hallo,

    hat jemand eine Ahnung wie ich folgendes umsetzten kann?

    Ich will einen kleinen Rechner ( so um die 400Mhz ) mit Slackware ausstatten. Dieser soll im Netzwerk für Sicherheit dienen. Ich habe vor, was kein Problem is, ihn als Gateway mit Squid aufzusetzten. Nur noch eins will ich und da liegt mein Problem. Ist es möglich diesen Rechner so zu konfigurieren, das er aktiv sämmtlichen Netzwerkverkehr ( WWW - Netzwerk, Peer zu Peer usw. ) und Festplatten der Clients auf Viren überwacht? ich weiss das ist eher was für Firmen und große Netzwerke, aber ich habe vor das als mein IHK Prüfungsthema zu machen. Also konkret, Gibt es eine Möglichkeit alle im Netzwerk befindlichen PC`s durch einen Linux Server auf Viren überwachen zu lassen?
    evt. Software?

    Auf Lösungungen, sowie Lösungsansätze freu ich mich
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Du könntest den Netzwerkverkehr mit Snort oder einem anderen (N)IDS überwachen lassen.

    mfg hex
     
  4. #3 Gummibear, 08.08.2005
    Gummibear

    Gummibear Computerversteher

    Dabei seit:
    19.07.2005
    Beiträge:
    100
    Zustimmungen:
    0
    Ort:
    Schweiz
    Snort ist gut ... scannt aber nicht nach Viren. Was Du brauchst ist ein Anti-Viren-Programm. Ich kenn mich da nicht so aus, aber meines Wissens bieten eine Reihe von Hersteller solche Scanner an -> die sitzen auf der Linux-Firewall und scannen den Netzverkehr. Nachteil dabei: Das ist "Kauf-Ware".
     
  5. hex

    hex Lebende Foren Legende
    Moderator

    Dabei seit:
    10.12.2003
    Beiträge:
    1.775
    Zustimmungen:
    0
    Ort:
    Stuttgart
    Snort scannt nicht direkt nach Viren, aber nach verdächtigem
    Netzwerkverkehr, der durch Viren/Trojaner aufkommen könnte.

    ClamAV
    In dem Handbuch waren z.B. Links zu Proxy-Scanner. Vllt. findest
    da etwas für deine Bedürfnisse :)


    mfg hex
     
  6. #5 illtiss, 08.08.2005
    illtiss

    illtiss Routinier

    Dabei seit:
    19.01.2005
    Beiträge:
    449
    Zustimmungen:
    0
    Danke, ist egal wenn es etwas kostet ich habe ein Budget zur Verfügung. Also ich versuch halt so billig wie es geht um pluspunkte zu sammeln. Also ich schau mir mal das ClamAV an.
     
  7. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Wenn dir die Kosten "egal" sind, könnte BitDefender von http://www.bitdefender.com/ etwas für dich sein, den kann man problemlos mit Samba nutzen und eine Integration in einen Mailserver (und sei es einer, der die Mails für die User nur von anderen Servern abholt) ist auch möglich. Ob man ihn auch in einen Web-Proxy integrieren kann, kann ich nicht sagen, aber unsere Firma setzt BitDefender erfolgreich für den Samba-(File-)-Server und zum Filtern von Email-Verkehr ein.
     
  8. sono

    sono Sack Flöhe Hüter

    Dabei seit:
    31.01.2004
    Beiträge:
    1.299
    Zustimmungen:
    0
    Ort:
    http://webfrap.de
    antivir hat auch ein umfamgreiches angebot an linux scannern.

    Da ist auch was für samba dabei. Die haben glaube ich auch testversionen , dass sollte fürn Projekt reichen .

    Gruß Sono

    http://www.antivir.de
     
  9. khs

    khs Routinier

    Dabei seit:
    19.08.2004
    Beiträge:
    408
    Zustimmungen:
    0
    Was er braucht, ist eine Kombination aus beidem. Snort ist definitiv die richtige Wahl fuer die Netzwerkverkehrsueberwachung.
    Es gibt fuer Snort schon fertige VIRUS-Regeln. Weiss nicht, ob die auch zum Auslieferungs-Snort gehoeren, aber auf bleedingsnort.com gibts aktualisierte Regeln.

    Wenn die Pakete im Snort haengen, ist es sowieso schon zu spaet, um einen Virenscanner pro Client wird man also nicht herumkommen. Aber wie es immer so ist: der Chef laesst sich die Programme, die er ausfuehrt, doch nicht einschraenken. Und die Sekretaerin hat den neuen Bildschrimschoner installiert, der partout nicht mit dem Online-Updater zusammenarbeiten will. Und schwupps, ist Snort die letzte Hoffnung, um vervirte Kisten zu identifizieren (haehae, und via Script und dhcp einfach abzuklemmen...).
    Fuer den Virenscanner bietet sich sowas wie sophos an, mit zentralem Server, der die Updates koordiniert, die Clients ueberwacht und dir via Statusseite sagt, welcher up-to-date ist und welcher nicht.


    -khs
     
  10. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    SNORT ist im Prinzip ein NIDS (Network Intrusion Detection System). Desweiteren gibt es auch noch HIDS (Host Intrusion Detection System, beides als IDS zusammengefasst). Beim zweiteren spielen oft mehrere Tools zusammen wie Tripwire etc. und eignen sich vorallem fuer Serversysteme.

    Virenprogramme laufen meines Erachtens immer seperat auf den Clients. Sinnvoll waere hoechstens, die Virendefinition von einem Server (z.B. Sambashare) zu beziehen oder ein wenig professioneller mit entsprechender Distribution Software zu verteilen. Dies wuerde deine Arbeit auch noch ein wenig "aufblasen" falls dir ein zu geringer Umfang Sorgen bereitet.
     
  11. #10 Gummibear, 22.08.2005
    Gummibear

    Gummibear Computerversteher

    Dabei seit:
    19.07.2005
    Beiträge:
    100
    Zustimmungen:
    0
    Ort:
    Schweiz
    tr0nix> prinzipiell ja, aber email-Viren am "(sicheren) Unix-Server auszufiltern ist natuerlich auch eine sehr gute Praxis. Von da her wuerde ich das auf jeden Fall machen. Dieser Server kann dann nebenher noch aktuelle Virendefinitionen fuers interne Netz bereit stellen.
     
  12. #11 SkydiverBS, 24.08.2005
    SkydiverBS

    SkydiverBS Tripel-As

    Dabei seit:
    15.01.2005
    Beiträge:
    207
    Zustimmungen:
    0
    Ort:
    Freising
    Das denke ich auch! Deswegen könntest du für dein Projekt gut snort und ClamAV verwenden, Illtiss. Es gibt nämlich eine modifizierte Version von snort, die es ermöglicht den Netzwerkverkehr vom Virenscanner überprüfen zu lassen. Diese nennt sich snort-inline und wird auch auf der ClamAV-Seite erwähnt (http://www.clamav.net/3rdparty.html#other).

    Ich selbst habe es noch nicht ausprobiert aber es hört sich vielversprechend an.

    Was das scannen der Festplatten angeht stimme ich khs und tr0nix zu. Die Virenscanner müssen schon lokal auf den Clients installiert sein, aber es kann ein zentrales Management-System geben mit dem sich Updates installieren lassen und der Status der einzelnen Hosts überprüfen lässt.
    Mir ist z.B. bekannt das Trend Micro eine solche Lösung mit zentralem Steuerungsystem anbietet. Aber es gibt sicher viele Hersteller von Anti-Viren-Software die soetwas entwickeln.

    Gruss,
    Philip
     
  13. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  14. #12 Borderlinedance, 14.09.2005
    Borderlinedance

    Borderlinedance Tripel-As

    Dabei seit:
    09.09.2005
    Beiträge:
    171
    Zustimmungen:
    0
    Ort:
    Switzerland
    ClamAV gibt's für Linux, Mac (ClamXav) und Windows (ClamWin).
    Er ist OpenSource! :D
    Und hat sogar ein eintrag im Wiki.
    http://de.wikipedia.org/wiki/ClamAV
     
  15. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Wir sprechen aber von Client-Festplatten und keinen EMail/Fileservern Gummibärchen ;o). Guckst du Thread.
     
Thema:

Linux als Virenwächter fürs Netzwerk

Die Seite wird geladen...

Linux als Virenwächter fürs Netzwerk - Ähnliche Themen

  1. Arch Linux via Hamachi zu bestehendem VPN verbinden

    Arch Linux via Hamachi zu bestehendem VPN verbinden: Guten Tag zusammen! Ich betreibe zu Hause einen kleinen Server für Minecraft und samba file sharing und möchte diesen nun zu meinem bestehenden...
  2. linux-firmware-nonfree in Centos 15.11 (64 Bit)

    linux-firmware-nonfree in Centos 15.11 (64 Bit): Hallo wie kann man linux-firmware-nonfree in Centos 15.11 (64 Bit) installieren?
  3. Linux konvertieren

    Linux konvertieren: Hallo, ich benutze VMware auf meinem Windows-Rechner. Dort würde ich gern eine neue Linux-VM einrichten. Nur, wie bekomme ich eine Linux-VM?...
  4. [SOLVED]Linux/W7 Dualboot efi problem

    [SOLVED]Linux/W7 Dualboot efi problem: Moin, ich plage mich gerade mit dem Problem des Dualboot Und zwar würde ich gerne mein efi installiertes Windows ebenfalls mit grub booten...
  5. Kunden-Skript ausgelöst durch Linux-Cluster Pacemaker

    Kunden-Skript ausgelöst durch Linux-Cluster Pacemaker: Hallo! Ich komme aus der AIX-Welt wo es im HACMP-Cluster die Möglichkeit der Ausführung eines Start- bzw. Stop-Skriptes im Zuge einer...