Actief netwerk scannen op virussen

Wat wij willen is een dedicated machine neerzetten die van tijd tot tijd delen binnen het netwerk ( servers en werkstations ) scant om te kijken of er virussen, malware of andere ongein opstaat. Bij de scan maakt het niet zo heel veel uit wat voor protocollen hiervoor gebruikt worden, zolang het maar over een tcp/ip netwerk kan.

Wat wil je precies hiermee breiken? Ik neem aan dat al je server en werkstations al een viruscanner hebben draaien? Wat wil je dan precies bereiken met een die dedicated machine doen? Nog een keer alle machines laten scannen?

We weten dus wat Kaspersky wel afvangt, maar we weten niet wat Kaspersky niet afvangt.

Meestal merk je het aan de shit dit in eens komt......
Maar meestal is dit goed op te lossen door bv server en werkstations verschillende merken AV te laten draaien. Al kan dit ook weer problemen opleveren.

De beste is op je Internet toegang (relay servers / proxy server) multi engine AV producten gebruiken. Dit lost vaak een hoop shit weg. En wat de ene engine niet vind, vind de andere meestal wel. ForeFront en GFi zijn hier bv 2 goede voorbeelden van.

Ik zou eerder eens kijken naar hoe die virussen binnen komen en dat aan pakken, als die virussen gevonden worden dan zijn ze al binnen en dan ben je al te laat.

Dit kan misschien ook een oplossing bieden: http://www.norman.com/products/network_protection/nl

Dan wordt het misschien tijd om je AV product eens goed te bekijken.

Hoe komen die virussen dan binnen? Want dan doe je toch echt wat verkeerd lijkt me. Daarnaast heeft een workstation virusscanner altijd een client nodig op de workstation zelf. Zelfs een VDI omgeving heeft nog agents nodig op de workstation terwijl daar alles virtueel draait.

Wat jij kan bestaat maar dat zijn dure oplossingen. Deze appliances zoals Juniper netscreen of Paolo Alto hang je gewoon in het netwerk en deze doen een deep packet inspection op alle pakketten die langs komen en eventueel blocken.

Ik kan zo even geen software verzinnen die hetzelfde kan op het netwerk.

Daarnaast gaat dat puur op netwerkverkeer, dan inspecteer je niet de werkstations zelf, enkel wat ze uitsturen.

Security is vaak een gelaagde aanpak.
Ten eerste heb je de AV software op clients die een groot deel van de troep weg vangen.

Daarnaast kan je een UTM overwegen.
Dit is bijvoorbeeld een Cisco ASA firewall met een CSC Antivirus module. (AV engine van Trend Micro.)
Het is zaak om de een andere AV engine te gebruiken op je UTM dan op je clients.
Twee AV engines vangen meer af dan één engine. Bovenstaand verhaal slaat op file based virussen, die je binnen haalt via download of email.

Daarnaast kan je op de ASA een botnet filter licentie afsluiten.
Als een PC onderdeel is van een botnet, kan de ASA dit detecteren en dit verkeer blokkeren.

Voor wat grotere netwerken zijn er websecurity en email security appliances. (Ironport)

Email security appliances controlleren op spam mailtjes en mail met virussen.
Dit wordt gedaan door één of twee AV engines in de appliance. Daarnaast wordt een hoop mail geblokkeerd door risk rating op IP adressen. IronPort heeft een grote database van IP adressen op het internet. Is er van een IP adres in het verleden spam gestuurd, dan krijgt dit een negative rating en komt de mail niet eens op de appliance.

Dit zelfde rating systeem wordt ook gebruikt door de websecurity security appliance.
Je kan hiermee niet alleen ongewenste websites blokkeren (zoals de bekende porn catagorie), maar ook phissing websites en website waar je troep kan downloaden. (Serial en crack sites bijvoorbeeld.)
Heeft een site een goede rating en wordt er niets geblokkeerd, dan heeft de websecurity security appliance een AV engine. Je blokkeerd verkeer dus proactief.

Een laatste methode is deep packet inspection d.m.v. IPS.
Cisco gebruikt voor hun IPS modules voor de ASA firewall en de losse IPS appliances, naast signatures, ook het risk rating systeem. Met IPS wordt netwerkverkeer dieper geïnspecteerd. Je kan bijvoorbeeld controlleren of netwerkverkeer zich houdt aan RFC internet standaarden.
Daarnaast kan je netwerk wormen en server side scripting aanvallen ondervangen.
Met IPS kan je ook ongewenste applicaties van je netwerk weren. Je kan bijvoorbeeld MSN of bittorrent verkeer filteren. Ook al gebruiken deze applicaties standaard poorten die open staan. (Bijvoorbeeld poort 80.)
Je kan ook aan bandbreedte throtteling doen van applicaties.
(Dit is vaak handiger, want users zien dan dat ze thuis sneller kunnen downloaden en zullen het dan snel opgeven. Ze gaan niet verder rotzooien om een applicatie toch werkend te krijgen.)

Met een UTM appliance bescherm je doorgaans clients en met een IPS appliance bescherm je doorgaans servers. Bovenstaand verhaal is gebaseerd op Cisco, maar andere fabrikanten hebben vergelijkbare producten. Het idee is dat er meerdere wegen en technieken zijn die naar Rome leiden, maar 100% bescherming zal je nooit halen.