Linux als Virenwächter fürs Netzwerk

[illtiss]

Hallo,

hat jemand eine Ahnung wie ich folgendes umsetzten kann?

Ich will einen kleinen Rechner ( so um die 400Mhz ) mit Slackware ausstatten. Dieser soll im Netzwerk für Sicherheit dienen. Ich habe vor, was kein Problem is, ihn als Gateway mit Squid aufzusetzten. Nur noch eins will ich und da liegt mein Problem. Ist es möglich diesen Rechner so zu konfigurieren, das er aktiv sämmtlichen Netzwerkverkehr ( WWW - Netzwerk, Peer zu Peer usw. ) und Festplatten der Clients auf Viren überwacht? ich weiss das ist eher was für Firmen und große Netzwerke, aber ich habe vor das als mein IHK Prüfungsthema zu machen. Also konkret, Gibt es eine Möglichkeit alle im Netzwerk befindlichen PC`s durch einen Linux Server auf Viren überwachen zu lassen?
evt. Software?

Auf Lösungungen, sowie Lösungsansätze freu ich mich

 

[hex]

Du könntest den Netzwerkverkehr mit Snort oder einem anderen (N)IDS überwachen lassen.

mfg hex

 

[Gummibear]

Snort ist gut ... scannt aber nicht nach Viren. Was Du brauchst ist ein Anti-Viren-Programm. Ich kenn mich da nicht so aus, aber meines Wissens bieten eine Reihe von Hersteller solche Scanner an -> die sitzen auf der Linux-Firewall und scannen den Netzverkehr. Nachteil dabei: Das ist "Kauf-Ware".

 

[hex]

Snort scannt nicht direkt nach Viren, aber nach verdächtigem
Netzwerkverkehr, der durch Viren/Trojaner aufkommen könnte.

ClamAV
In dem Handbuch waren z.B. Links zu Proxy-Scanner. Vllt. findest
da etwas für deine Bedürfnisse


mfg hex

 

[illtiss]

Danke, ist egal wenn es etwas kostet ich habe ein Budget zur Verfügung. Also ich versuch halt so billig wie es geht um pluspunkte zu sammeln. Also ich schau mir mal das ClamAV an.

 

[theton]

Wenn dir die Kosten "egal" sind, könnte BitDefender von http://www.bitdefender.com/ etwas für dich sein, den kann man problemlos mit Samba nutzen und eine Integration in einen Mailserver (und sei es einer, der die Mails für die User nur von anderen Servern abholt) ist auch möglich. Ob man ihn auch in einen Web-Proxy integrieren kann, kann ich nicht sagen, aber unsere Firma setzt BitDefender erfolgreich für den Samba-(File-)-Server und zum Filtern von Email-Verkehr ein.

 

[sono]

antivir hat auch ein umfamgreiches angebot an linux scannern.

Da ist auch was für samba dabei. Die haben glaube ich auch testversionen , dass sollte fürn Projekt reichen .

Gruß Sono

http://www.antivir.de

 

[khs]

Snort ist gut ... scannt aber nicht nach Viren. Was Du brauchst ist ein Anti-Viren-Programm.

Was er braucht, ist eine Kombination aus beidem. Snort ist definitiv die richtige Wahl fuer die Netzwerkverkehrsueberwachung.
Es gibt fuer Snort schon fertige VIRUS-Regeln. Weiss nicht, ob die auch zum Auslieferungs-Snort gehoeren, aber auf bleedingsnort.com gibts aktualisierte Regeln.

Wenn die Pakete im Snort haengen, ist es sowieso schon zu spaet, um einen Virenscanner pro Client wird man also nicht herumkommen. Aber wie es immer so ist: der Chef laesst sich die Programme, die er ausfuehrt, doch nicht einschraenken. Und die Sekretaerin hat den neuen Bildschrimschoner installiert, der partout nicht mit dem Online-Updater zusammenarbeiten will. Und schwupps, ist Snort die letzte Hoffnung, um vervirte Kisten zu identifizieren (haehae, und via Script und dhcp einfach abzuklemmen...).
Fuer den Virenscanner bietet sich sowas wie sophos an, mit zentralem Server, der die Updates koordiniert, die Clients ueberwacht und dir via Statusseite sagt, welcher up-to-date ist und welcher nicht.


-khs

 

[tr0nix]

SNORT ist im Prinzip ein NIDS (Network Intrusion Detection System). Desweiteren gibt es auch noch HIDS (Host Intrusion Detection System, beides als IDS zusammengefasst). Beim zweiteren spielen oft mehrere Tools zusammen wie Tripwire etc. und eignen sich vorallem fuer Serversysteme.

Virenprogramme laufen meines Erachtens immer seperat auf den Clients. Sinnvoll waere hoechstens, die Virendefinition von einem Server (z.B. Sambashare) zu beziehen oder ein wenig professioneller mit entsprechender Distribution Software zu verteilen. Dies wuerde deine Arbeit auch noch ein wenig "aufblasen" falls dir ein zu geringer Umfang Sorgen bereitet.

 

[Gummibear]

tr0nix> prinzipiell ja, aber email-Viren am "(sicheren) Unix-Server auszufiltern ist natuerlich auch eine sehr gute Praxis. Von da her wuerde ich das auf jeden Fall machen. Dieser Server kann dann nebenher noch aktuelle Virendefinitionen fuers interne Netz bereit stellen.

 

[SkydiverBS]

Was er braucht, ist eine Kombination aus beidem. Snort ist definitiv die richtige Wahl fuer die Netzwerkverkehrsueberwachung.

Das denke ich auch! Deswegen könntest du für dein Projekt gut snort und ClamAV verwenden, Illtiss. Es gibt nämlich eine modifizierte Version von snort, die es ermöglicht den Netzwerkverkehr vom Virenscanner überprüfen zu lassen. Diese nennt sich snort-inline und wird auch auf der ClamAV-Seite erwähnt (http://www.clamav.net/3rdparty.html#other).

Ich selbst habe es noch nicht ausprobiert aber es hört sich vielversprechend an.

Was das scannen der Festplatten angeht stimme ich khs und tr0nix zu. Die Virenscanner müssen schon lokal auf den Clients installiert sein, aber es kann ein zentrales Management-System geben mit dem sich Updates installieren lassen und der Status der einzelnen Hosts überprüfen lässt.
Mir ist z.B. bekannt das Trend Micro eine solche Lösung mit zentralem Steuerungsystem anbietet. Aber es gibt sicher viele Hersteller von Anti-Viren-Software die soetwas entwickeln.

Gruss,
Philip

 

[Borderlinedance]

ClamAV gibt's für Linux, Mac (ClamXav) und Windows (ClamWin).
Er ist OpenSource!
Und hat sogar ein eintrag im Wiki.
http://de.wikipedia.org/wiki/ClamAV

 

[tr0nix]

tr0nix> prinzipiell ja, aber email-Viren am "(sicheren) Unix-Server auszufiltern ist natuerlich auch eine sehr gute Praxis. Von da her wuerde ich das auf jeden Fall machen. Dieser Server kann dann nebenher noch aktuelle Virendefinitionen fuers interne Netz bereit stellen.

Wir sprechen aber von Client-Festplatten und keinen EMail/Fileservern Gummibärchen ;o). Guckst du Thread.