Dit is een uitstekend stuk van Kuunders, zo zie je het niet vaak. :cool:
Toch heb ik nog wat commentaar.

"Een groot aantal organisaties heeft virusbescherming geïmplementeerd op diverse lagen in het bedrijf. Als eerste op de firewall (en daarmee de internet verbinding), als tweede de e-mail server, als derde de fileservers en als vierde de werkplekken. Zeker is dat de bescherming van „the last line of defense”, de werkplek, steeds belangrijker wordt. Onder andere ook door het gebruik van beveiligde internetverbindingen, waardoor internetverkeer pas op de werkplek gecontroleerd kan worden. "

Voor "Internet" bestaan oplossingen in de vorm van scanning proxies, scanners op tcp/ip niveau (inclusief transparent proxies) en op het sandbox principe gebaseerde oplossingen zoals Windows Terminal Server/Citrix.

Het zijn niet zozeer de virussen die bij een Internet verbinding zorgen baren, het zijn de talloze browser/Java/OS exploits en de custom made HTTP-channeled trojans die daarmee kunnen worden geplaatst. Ongezien inbreken is zo wel heel erg gemakkelijk.

Daarom is een sandbox waarschijnlijk de best haalbare oplossing, na helemaal geen Internet. Een sandbox is beter dan twee computers met aparte netwerken, want dan ligt het risico bij gedrag van de gebruiker.

Nog een punt is dat virusupdates altijd achterlopen en dat je nooit veilig bent met alleen maar een gewoon mail anti-virus pakket. Er is meer nodig dan een virus scanner om je redelijk veilig te kunnen wanen, dat kan alleen met content scanners en mail integrity producten.

Iets wat Kuunders naar hint, maar niet verder op ingaat zijn IDS-achtige systemen. Dan bedoel ik niet signature based IDS (wat net als AV altijd achter de feiten aanloopt) maar bijvoorbeeld NetBIOS/SMB en HTTP honeypots, die automatisch calls aanmaken in de helpdesk software als een virus een bestand plaatst open een open Samba share of als er een onbekend HTTP request wordt ontvangen.

Over de productkeuze: McAfee heeft inderdaad veruit de beste engine en het is heuristiek erg sterk, de nieuwe enterprise versie 7.0 is hopelijk wel een verbetering op versie 4.51.

Kaspersky Anti Virus heeft net als McAfee een uitstekende engine, dagelijkse updates. Maar het is alleen gericht op particulieren en MKB. Voor sommige toepassingen, bijvoorbeeld mail scanning, is het een erg sterk en goedkoop product. Ook Kaspersky heeft met sommige versies stabiliteitsproblemen op desktops. AVP is een oude naam, tegenwoordig is het KAV.

1 - testen van de virusscanners - velen herkennen oudere virii niet altijd juist - of niet, niet elke update van engine helpt/werkt/ kan verwijderen. Neem tot weer een goede release even een ander product. Laat die ene zich niet goed uninstallen? NIET gebruiken.
2 - stacken van virusscanners = wat de ene niet vindt, doet die andere wel. Handig op servers buiten kantoortijden.
3 - Configuratie v/d PC's - met name bestandsassociaties verwijderen, wat ook centraal kan - als windows.
4 - Mail clients op alleen ASCII
5 - Gebruikersrechten van SYSTEM customizen - hoezo is Full Control nodig?
6 - Propagatiemechanismen doorkruisen - dus geen smb shares, geen algemeen toegankelijk adresboek binnen grotere toko's - wie mailt nu de collega's in Singapore regelmatig?
7 - of durf iets anders te werken, bijvoorbeeld met embeddedXP zonder HDD's, vanaf een CD of zo. Kun je tenminste alle bestanden die geinfecteerd zijn scannen. En dan 's nachts alle PC's rebooten - 15 sec de stroom eraf. Zo zie je, kan je toch MS blijven doen.

Goed punt. Wel eens geprobeerd gebruikers uit te leggen dat het eigenlijk helemaal niemand iets interesseert dat ze hun telefoonnummer in het rood en schuingedrukt in hun e-mail handtekening kunnen zetten?

Ik wel. Sindsdien ga ik door het leven als de grote onbegrepene.

Hmm mischien helpt het als je ook leest wat je quote ;) Staat toch vrij duidelijk dat door beveiligde verbindingen, lees encryptie, beveiliging op de gateway/proxy simpelweg omzeilt wordt. En het is een illusie dat je dit simpelweg kan voorkomen of uitzetten, doorvoor is het aanbod gewoon te groot en niet in de laaste plaats zijn veel tools juist geschreven om proxy's en dergelijke opgelegde beveiliging te omzeilen.

Misschien helpt het als je leest wat ik er verder aan toe te voegen had :D

Gelezen? Als dat niet duidelijk was: de oncontroleerbaarheid van beveiligde verbindingen is niet erg zolang je die maar in de sandbox houdt, dus niet op het interne netwerk toelaat. Je hebt alleen een terminal sessie naar je interne netwerk.

Als je ook die interne verbinding wilt beveiligen, dat kan.

Op de sandbox draai je natuurlijk host based IDS en in het sandbox netwerk DMZ draai je NIDS om attacks daar te kunnen detecteren. Na een succesvolle attack zet je een HD image terug, iets wat normaliter routinematig moet gebeuren.

Ok dan was ik iets te snel met m'n reactie. Maar goed beide komen jullie tot min of meer dezelfde conclusie maar dan wel met ander oplossingen, beveiliging aan de deur is niet genoeg. Wat moet ik mij voorstellen bij een sandbox met termal server sessie's, alleen internet toegang via apllicaties die op de beveiligde server draaien? Behalve het kostenplaatje vraag ik mij af of je dan performance technisch veel eerder vast loopt?

Het was eigenlijk meer een aanvulling dan commentaar, want Kuunders heeft kansgezien in zo'n klein artikel al een hoop te noemen.

Een probleem met sommige typen proxy based scanners is de wachttijd die de gebruiker ervaart bij downloads en opvragen van grote web pagina's. Je krijgt bij sommige anti-virus producten dan het effect dat iemand een download start van 20 MB en dan geen actie meer ziet, en vervolgens nog maar een paar keer klikt. Dat gaat dus niet opschieten als al die downloads moeten wachten tot ze helemaal binnen zijn voordat ze gescand kunnen worden.
Dat is niet nodig bij een sandbox waar de download vorderingen direct zichtbaar zijn. Voor het gemak neem ik Citrix als voorbeeld. Met Citrix kun je naadloze windows tonen. Voor de gebruiker is het alsof Internet Explorer op zijn PC draait, met het verschil dat hij ervoor moet inloggen. Op de beveiligde Citrix server draait een on-access virus scanner die downloads scant. IE heeft de gewoonte om een download en scripts eerst weg te schrijven naar een cache. Daar grijpt de virus scanner is als het een virus of trojan is.

Meer nog dan virusscanning, is het grootste voordeel dat alle actie vanaf Internet niet meer op de desktop plaatsvindt, maar in een beveiligde omgeving. De kans op inbraak via deze route neemt aanzienlijk af.

Het kostenplaatje zal voor de meeste bedrijven te hoog zijn, dat is waar, hoewel er zijn ook eenvoudigere open source terminal sessie toepassingen denkbaar zijn. Het is belangrijkste pluspunt is dat het veel veiliger is dan andere oplossingen.
De performance is inderdaad ook een probleem zoals bij alle Citrix oplossingen. Bij grote aantallen gebruikers kun je een load balanced omgeving neer zetten met relatief goedkope dual processor systemen. De snelheid van de Citrix terminal sessie zelf is ruim voldoende. Je kunt het zelfs over een ISDN lijntje nog gebruiken.

Triest, ronduit triets. Heb hier zoongeveer de goedkoopste oplossing die je kan bedenken: squid, sendmail+opensource tooltjes en kaspersky av. Sendmail vscan is een kwestie van een fractie van een seconde en het is dat de vscan tool voor squid niet wou werken met kaspersky als deamon zodat ie qua performance (iets) tegenviel anders was dat hetzelfde verhaal geweest. En waar draai ik dat dan op, een PI met 80MB! En behalve deze persoonlijke ervaring lees ik eigenlijk weinig over de performance van av gateway oplossingen. En dat zint me niets, imho is dat toch een van de belangrijkste criteria.

Ik vind het ook triets. ;)

Het ging niet over de snelheid van het scannen van bestanden, maar de snelheid van het binnenhalen van het bestand. Als de scanner daarop moet wachten voordat hij begint met scannen, kost dat veel tijd terwijl de gebruiker denkt dat er niets gebeurt en daarom nog maar een paar keer een download start.

De snelheid van het scannen zelf zit meestal wel snor als er geen command line scanners worden gebruikt.

Voor e-mail scanning zou Postfix+Avcheck+Kaspersky/McAfee een goede combinatie zijn, iig wat betreft de kwaliteit van de mail/AV engine. McAfee koop je per user, Kaspersky is goedkoop met een per server licentie.

N.B. Sendmail? Dit is een security forum ;)

Ik vergat nog iets belangrijks:

Dat regenachtige zondagmidag projectje dat ik gebruikte voorzag je wel van duidelijke popups met voortgangsindicator. Lijkt me dat een software huis dit nog veel mooier en beter kan doen.

En sendmail ach ja ieder z'n meug, maar je hebt gelijk ik moet toch net iets vaker upgraden dan me lief is ;)