Toon posts:

Virusscanner op Produktie machine

Pagina: 1
Acties:
  • 127 views sinds 30-01-2008
  • Reageer

zaterdag 21 juli 2001 20:46

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Topicstarter
Wat is wijsheid?

We hebben hier een aantal webservers draaien (IIS5, W2k server, SQL 2000). Nou heb ik een discussie met 1 van de systeembeheerders. Die vindt dat er een virusscanner op moet draaien :?

Persoonlijk ben ik het er niet mee eens want:
- vertraagd
- Weer een extra programma draaien wat een crash kan veroorzaken (blijft Windows )
- Weer een programma waar een bug in kan zitten die een exploit mogelijk maakt
- Kans op een virus is toch klein aangezien wij op alle werkstations waar we vandaan werken actuele virusscanners draaien

Zijn idee:
- Virusscanners vertragen niet of nauwelijks
- Virusscanners blijven uptodate door de auto-update functie van de huidige virusscanners, waardoor virusen zoals "Code red worm" worden afgevangen
- baat het niet schaadt het niet

Wat is jullie mening hierover... En wat hebben jullie zelf?

Programmer - an organism that turns coffee into software.

zaterdag 21 juli 2001 21:00

Acties:
  • Rukapul
  • Registratie: Februari 2000
  • Laatst online: 18:39

Rukapul

Als er niemand actief op zo'n systeem werkt hoeft er toch geen virusscanner te draaien. Ik neem aan dat er alleen betrouwbare software op geinstalleerd wordt dat geen virussen/trojans herbergt.

Je kunt het systeem eens scannen vanaf het lan eens in de zoveel tijd om zeker te weten dat de machine clean is, maar 'live' scannen is onzinnig.

De code red worm is trouwens een exploit van een software pakket en daarvoor gebruik je mailinglists en andere scriptjes voor om je machine config up to date te houden en geen antivirussoftware.

Paul

zaterdag 21 juli 2001 21:10

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Topicstarter
Op zaterdag 21 juli 2001 21:00 schreef Rukapul het volgende:
Als er niemand actief op zo'n systeem werkt hoeft er toch geen virusscanner te draaien. Ik neem aan dat er alleen betrouwbare software op geinstalleerd wordt dat geen virussen/trojans herbergt.
Klopt.... alleen "proven technologie" zoals IIS
Je kunt het systeem eens scannen vanaf het lan eens in de zoveel tijd om zeker te weten dat de machine clean is, maar 'live' scannen is onzinnig.
Live scannen is meestal erg lastig als je niet fysiek bij jouw in het netwerk hangt. Maar bij een Colocater staat.
De code red worm is trouwens een exploit van een software pakket en daarvoor gebruik je mailinglists en andere scriptjes voor om je machine config up to date te houden en geen antivirussoftware.

Paul
Maar het werkt als een virus doet als een virus.
Hij wordt zelfs door Mcaffee herkent. http://vil.mcafee.com/dispVirus.asp?virus_k=99142&

En ja, we zijn natuurlijk lid van die mailing lists en proberen zo snel als mogelijk de noodzakelijke updates te doen... We hebben dan ook geen last gehad van deze worm. Maar het heeft de discussie wel weer op gang gebracht

Programmer - an organism that turns coffee into software.

zaterdag 21 juli 2001 21:17

Acties:
  • vassago
  • Registratie: Januari 2000
  • Laatst online: 18:53

vassago

Waarom zou je? Op deze machines kunnen alleen systeembeheerders data plaatsen neem ik aan? Kans van besmetting is dan nihil.

Mocht je een virusscanner installeren stel hem dan zo in dat hij alleen "inbound" data scant en exclude de database/IIS directories dan heb je er het minste last van.

zaterdag 21 juli 2001 21:20

Acties:
  • Rukapul
  • Registratie: Februari 2000
  • Laatst online: 18:39

Rukapul

Op zaterdag 21 juli 2001 21:10 schreef LuCarD het volgende:
Maar bij een Colocater staat.
In dat geval zou ik het achterwege laten. Misschien dat je er een paar maal per jaar iets op installeert. Dan kun je ook wel handmatig een scan doen.

Remember: mensen verspreiden virussen, computers niet
Maar het werkt als een virus doet als een virus.
Hij wordt zelfs door Mcaffee herkent. http://vil.mcafee.com/dispVirus.asp?virus_k=99142&
Misschien waar, maar dan ben je al veels te laat omdat je machine al 'geroot' is en elke willekeurige code gedraaid kan worden. Toevallig dat een hele kleine subset gevonden wordt door virusscanners.
En ja, we zijn natuurlijk lid van die mailing lists en proberen zo snel als mogelijk de noodzakelijke updates te doen... We hebben dan ook geen last gehad van deze worm. Maar het heeft de discussie wel weer op gang gebracht
Kijk eens naar het hotfix check script dat op de MS site staat. Je kan het zo configgen dat je een mailtje krijgt als er een hotfix ontbreekt op je server. Lijkt me een factor 100 nuttiger dan een virusscanner draaien.

zondag 22 juli 2001 08:51

Acties:

Verwijderd

Klopt.... alleen "proven technologie" zoals IIS
En dat is proven?? IIS is voor geen meter te vertrouwen.

zondag 22 juli 2001 10:23

Acties:

Verwijderd

je kan best een virusscanner draaien, dan moet je hem gewoon instellen dat ie 1x per week ofzo om snachts 3 uur de zooi scant... niet dat ie automatisch alles scant, dan maakt hem idd trager.

denk overgens dat een firewall minstens zo nuttig is-> voor windoos bv ZoneAlarm...
onbekende proggies die een uitgaande connectie proberen te maken moeten eerst granted zijn...dus trojans hebben dan geen kans.

zondag 22 juli 2001 10:27

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Topicstarter
Op zondag 22 juli 2001 08:51 schreef Magio het volgende:

[..]

En dat is proven?? IIS is voor geen meter te vertrouwen.
IIS valt bij meeste mensen onder proven technologie.... En ik ben het er wel mee eens... Je moet alleen goed de hotfix's in de gaten houden en up-to-date houde.

Programmer - an organism that turns coffee into software.

zondag 22 juli 2001 10:35

Acties:

Verwijderd

LuCarD: IIS valt bij meeste mensen onder proven technologie. En ik ben het er wel mee eens. Je moet alleen goed de hotfix's in de gaten houden en up-to-date houden.
"working unless proven buggy" versus "buggy unless proven working"

Pick your choice.

zondag 22 juli 2001 10:41

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Topicstarter
Op zondag 22 juli 2001 10:23 schreef Kertje het volgende:
je kan best een virusscanner draaien, dan moet je hem gewoon instellen dat ie 1x per week ofzo om snachts 3 uur de zooi scant... niet dat ie automatisch alles scant, dan maakt hem idd trager.
Dus als je door een trojan besmet wordt, heb je er maximaal last van tot de volgende scan ronde.... denk niet dat het acceptabel is voor de meeste productie machine's
denk overgens dat een firewall minstens zo nuttig is-> voor windoos bv ZoneAlarm...
onbekende proggies die een uitgaande connectie proberen te maken moeten eerst granted zijn...dus trojans hebben dan geen kans.
Zone alarm op een webserver? :? :?

Heb je wel eens gehoord van IPSEC en TCP/IP filtering... Veel makkelijker en veiliger IMHO
Je stelt daar in dat alleen port 80,VPN(1224 ?), Terminal Services(geen idee welke poort) toegestaan zijn. Verder kan je dan het VPN en termnial service koppellen aan een toegestaande IP-Range. (btw. ik ben geen systeembeheerder :) dus foutjes onder voorbehoud :) )

Verder heb je bij meeste colocater uitgebreide mogelijkheden voor de firewall

Programmer - an organism that turns coffee into software.

zondag 22 juli 2001 10:43

Acties:
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Topicstarter
Op zondag 22 juli 2001 10:35 schreef Arien het volgende:

[..]

"working unless proven buggy" versus "buggy unless proven working"

Pick your choice.
IIS gaat voor optie 1 :+

Wat heb ik gewonnen? >:)

Programmer - an organism that turns coffee into software.

zondag 22 juli 2001 11:41

Acties:

Verwijderd

Op zondag 22 juli 2001 10:41 schreef LuCarD het volgende:

[..]

Dus als je door een trojan besmet wordt, heb je er maximaal last van tot de volgende scan ronde.... denk niet dat het acceptabel is voor de meeste productie machine's
In principe is de kans vrij klein dat er al een besmetting kwam enzo...maar je kan hem uiteraard ook iedere nacht laten draaien... ging er vooral om dat als je persee wel een virusscanner wilt je hem beter niet als background kan laten draaien...
[..]

Zone alarm op een webserver? :? :?

Heb je wel eens gehoord van IPSEC en TCP/IP filtering... Veel makkelijker en veiliger IMHO
Je stelt daar in dat alleen port 80,VPN(1224 ?), Terminal Services(geen idee welke poort) toegestaan zijn. Verder kan je dan het VPN en termnial service koppellen aan een toegestaande IP-Range. (btw. ik ben geen systeembeheerder :) dus foutjes onder voorbehoud :) )

Verder heb je bij meeste colocater uitgebreide mogelijkheden voor de firewall
ik ben ook geen systeem beheerder en heb niet enorm veel kennis van windows webservers...maar zou niet weten wrom zonealert geen goeie firewall zou zijn voor een webserver :) maar je kan wel bepaalde poorten toekennen, maar dat is juist wat een trojan doet: zichzelf een poort of meerdere poorten toekennen :)
Pagina: 1
Reageer