NFS scannen op incoming traffic

Vraag

woensdag 1 juli 2020 14:01

Acties:

0Henk 'm!

Mijn vraag

Een klant waarvoor ik werk heeft een NFS share waar een third party bestanden naartoe upload.
Omdat we de third party niet vertrouwen en dus niet onder eigen beheer hebben willen we zeker zijn dat alles wat geupload wordt, ook vrij is van virus/malware en alles daartussenin.
Uiteraard kunnen we nooit weten wat er op hun netwerk en pc's gebeurt en in hoeverre deze beveiligd zijn.

Daarom kwam de vraag of er een manier bestaat om incoming NFS traffic permanent te kunnen scannen, zodat indien de bestanden die toekomen van deze third party, eerst netjes worden gescanned en indien nodig verwijderd worden indien geinfecteerd of kwaadaardig.

Relevante software en hardware die ik gebruik (info die ik van een collega kreeg)

Isilon cluster (DELL servers) die OneFS draait (soort van freeBSD)
Geen ICAP server configged

Wat ik al gevonden of geprobeerd heb

Geen idee waar te beginnen

[Voor 12% gewijzigd door beefunit41 op 01-07-2020 14:24]

Alle reacties

woensdag 1 juli 2020 14:12

Acties:

+1Henk 'm!

The Realone

Gebruik je antivirus software met ICAP ondersteuning?

woensdag 1 juli 2020 14:16

Acties:

0Henk 'm!

MAX3400

XBL: OctagonQontrol

beefunit41 schreef op woensdag 1 juli 2020 @ 14:01:
...

Wat ik al gevonden of geprobeerd heb

Geen idee waar te beginnen

Goed begin

om incoming NFS traffic permanent te kunnen scannen

Maar, wil je nu traffic scannen? En op welke layer was je dat van plan en "waar" zit het besluit om in te grijpen?

indien nodig verwijderd worden bij geinfecteerde bestanden.

Nou, dat lijkt me juist niet handig; dan is het een welles-nietes spelletje of jij iets terecht weggooide (false positive).

Geen idee wat het budget is maar ik zou sowieso dus eerst de share maar eens buiten het "vaste netwerk" gaan zetten; je wil natuurlijk niet dat er nu een malware of cryptoware op wordt geupload en dat je morgen geconfronteerd wordt met een volledig stilstaande omgeving.

Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 1 juli 2020 14:32

Acties:

0Henk 'm!

beefunit41

Topicstarter

MAX3400 schreef op woensdag 1 juli 2020 @ 14:16:
[...]

Goed begin

Sorry, dit is helemaal buiten mijn eigen domein en comfortzone, maar ik wou mijn oor hier eens te luisteren houden om eventueel één van mijn collega's wat ideeën of inzichten te kunnen geven.

[...]

Maar, wil je nu traffic scannen? En op welke layer was je dat van plan en "waar" zit het besluit om in te grijpen?

Ja, eigenlijk zouden we permanent die share willen scannen.
Welke layer, hoe bedoel je?
De bestanden moeten clean zijn als we ze wegschrijven op de NFS share, zodat er geen inhaalbeweging moet gemaakt worden wanneer deze malicious blijken te zijn.

[...]

Nou, dat lijkt me juist niet handig; dan is het een welles-nietes spelletje of jij iets terecht weggooide (false positive).

Geen idee wat het budget is maar ik zou sowieso dus eerst de share maar eens buiten het "vaste netwerk" gaan zetten; je wil natuurlijk niet dat er nu een malware of cryptoware op wordt geupload en dat je morgen geconfronteerd wordt met een volledig stilstaande omgeving.

[quote]MAX3400 schreef op woensdag 1 juli 2020 @ 14:16:
[...]

Goed begin

[...]

Maar, wil je nu traffic scannen? En op welke layer was je dat van plan en "waar" zit het besluit om in te grijpen?

[quote][b]The Realone in "NFS scannen op incoming traffic"The Realone schreef op woensdag 1 juli 2020

[...]

Nou, dat lijkt me juist niet handig; dan is het een welles-nietes spelletje of jij iets terecht weggooide (false positive).

Geen idee wat het budget is maar ik zou sowieso dus eerst de share maar eens buiten het "vaste netwerk" gaan zetten; je wil natuurlijk niet dat er nu een malware of cryptoware op wordt geupload en dat je morgen geconfronteerd wordt met een volledig stilstaande omgeving.

[Voor 23% gewijzigd door beefunit41 op 01-07-2020 14:45]

woensdag 1 juli 2020 14:33

Acties:

0Henk 'm!

jvanhambelgium

Ik zou inderdaad in een DMZ-zone die NFS-share ter beschikking stellen. Vervolgens op bepaalde momenten een kijkje nemen of nieuwe bestanden gemaakt zijn en deze overbrengen.
(push-pull)

Eventueel scanner-software op de DMZ-laten draaien? Nu dit is niet volledig veilig want de DMZ host kan geinfecteerd raken. Je kan altijd nog scannen de moment dat je van binnen uit naar de DMZ gaat om de file op halen (pull) voor verdere verwerking.

woensdag 1 juli 2020 14:34

Acties:

0Henk 'm!

beefunit41

Topicstarter

The Realone schreef op woensdag 1 juli 2020 @ 14:12:
Gebruik je antivirus software met ICAP ondersteuning?

Geen AV op de storage dit ogenblik, welk gewoon op interne clients.
Nu de third party die op deze NFS share zal uploaden, is een externe client.

woensdag 1 juli 2020 14:44

Acties:

+2Henk 'm!

MAX3400

XBL: OctagonQontrol

beefunit41 schreef op woensdag 1 juli 2020 @ 14:34:
[...]

Geen AV op de storage dit ogenblik, welk gewoon op interne clients.

En, doe eens een idee zelf schetsen? Geen van mijn eerdere vragen / hints zijn beantwoord?

Zoals @The Realone aangeeft; regel software met ICAP. Sterker nog (en nu begin ik wel te twijfelen aan het topic): er staat zelfs een shortlist op bepaalde product-pages van Dell Isilon.

Snelste manier voor jou dus: bel de accountmanager voor een offerte

/edit: nee, dat moet ik formuleren; er zijn meerdere vendors die gebruik maken van de mogelijkheden van OneFS en daarmee dus jouw shares kunnen "scannen". Toch, de accountmanager zou het je zo kunnen vertellen

Nu de third party die op deze NFS share zal uploaden, is een externe client.

Wat is "een client"? Volgens mij is het voor velerlei uitleg vatbaar; hiermee creeer je echter wel grote onduidelijkheden in je eigen vraagstelling.

[Voor 32% gewijzigd door MAX3400 op 01-07-2020 14:48]

Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 1 juli 2020 15:17

Acties:

0Henk 'm!

The Realone

beefunit41 schreef op woensdag 1 juli 2020 @ 14:34:
[...]

Geen AV op de storage dit ogenblik, welk gewoon op interne clients.
Nu de third party die op deze NFS share zal uploaden, is een externe client.

Maakt toch niet uit? Jij wilt scannen en als je dat op storage niveau doet maakt jou het toch niet uit hoe het binnen komt? Een andere optie is natuurlijk om het op netwerk niveau te scannen, aardig wat next-gen firewalls o.i.d. die daarin voorzien, al zou dat persoonlijk mijn 2e optie zijn.

Mijn suggestie voor ICAP was omdat het vaak door bestaande antivirus software ondersteund wordt. Ik weet dat Kaspersky en McAfee het sowieso doen en in bepaalde gevallen zit het gewoon in de licentie die je al hebt. Je zult alleen zelf wat in moeten richten.

woensdag 1 juli 2020 15:26

Acties:

0Henk 'm!

beefunit41

Topicstarter

MAX3400 schreef op woensdag 1 juli 2020 @ 14:44:
[...]
En, doe eens een idee zelf schetsen? Geen van mijn eerdere vragen / hints zijn beantwoord?

Jawel hoor, maar ik had de reply met quotes wat in de war gedraaid, mijn excuus.

Zoals @The Realone aangeeft; regel software met ICAP. Sterker nog (en nu begin ik wel te twijfelen aan het topic): er staat zelfs een shortlist op bepaalde product-pages van Dell Isilon.

Snelste manier voor jou dus: bel de accountmanager voor een offerte

/edit: nee, dat moet ik formuleren; er zijn meerdere vendors die gebruik maken van de mogelijkheden van OneFS en daarmee dus jouw shares kunnen "scannen". Toch, de accountmanager zou het je zo kunnen vertellen

ICAP had ik gelezen en wordt inderdaad gedocumenteerd door OneFS zelf, alleen dacht ik dat er ook makkelijk andere alternatieven waren om te onderzoeken.

[...]

Wat is "een client"? Volgens mij is het voor velerlei uitleg vatbaar; hiermee creeer je echter wel grote onduidelijkheden in je eigen vraagstelling.

Iemand die vanaf extern/ander bedrijf op de NFS connecteerd.

Mijn excuus als het niet geheel duidelijk is of ik niet altijd correct verwoord, ik probeer gewoon met een aantal mensen van systeem beheer mee te denken, ookal heb ik er geen kaas van gegeten.

woensdag 1 juli 2020 15:30

Acties:

0Henk 'm!

MAX3400

XBL: OctagonQontrol

beefunit41 schreef op woensdag 1 juli 2020 @ 15:26:
[...]
...ookal heb ik er geen kaas van gegeten.

Maar zo werkt Tweakers toch niet?

Nog afgezien dat het wat lastig is om aan een "doorgeefluik" concrete / technische info te geven of van te krijgen; OneFS en ICAP is niet "even" next, next, finish; en volgens mij wil je er ook niet op aangesproken worden als er zometeen wel een virus-uitbraak is of de halve storage een crypto-locked omgeving is?

Zoals we al aangaven (en vooralsnog blijf ik erbij zolang er ook geen andere realtime AV-scanner genoemd wordt): NFS-share zo rap mogelijk isoleren buiten het "produktie netwerk"; dan mag een collega er over nadenken hoe de data daar gescand en "schoon" getransporteerd wordt.

[Voor 21% gewijzigd door MAX3400 op 01-07-2020 15:32]

Mijn antwoorden zijn vaak niet snowflake-proof

woensdag 1 juli 2020 17:46

Acties:

+1Henk 'm!

The Realone

Het is dus goed bedoeld dat je info in wilt winnen om mee te denken, daar vind ik helemaal niks mis mee.

Probleem in deze is echter dat je vrij specifieke info nodig hebt om tot een goed advies te komen. Veel meer dan dat al genoemd is ga je, denk ik, niet krijgen.

Ik ben het sowieso met @MAX3400 eens dat je dit soort data moet "isoleren" voordat je er een stempel "veilig" aan geeft. Dat hoeft niet per se te zijn dat het eerst apart moet komen staan om het vervolgens te scannen en door te zetten. Want het maakt technisch gezien weinig uit of dat scannen nu tijdens transport gedaan wordt of wanneer het nu eenmaal op de storage staat, zolang dat scannen maar aan bepaalde eisen voldoet.

woensdag 1 juli 2020 20:48

Acties:

0Henk 'm!

beefunit41

Topicstarter

MAX3400 schreef op woensdag 1 juli 2020 @ 15:30:
[...]

Maar zo werkt Tweakers toch niet?

Nog afgezien dat het wat lastig is om aan een "doorgeefluik" concrete / technische info te geven of van te krijgen; OneFS en ICAP is niet "even" next, next, finish; en volgens mij wil je er ook niet op aangesproken worden als er zometeen wel een virus-uitbraak is of de halve storage een crypto-locked omgeving is?

Zoals we al aangaven (en vooralsnog blijf ik erbij zolang er ook geen andere realtime AV-scanner genoemd wordt): NFS-share zo rap mogelijk isoleren buiten het "produktie netwerk"; dan mag een collega er over nadenken hoe de data daar gescand en "schoon" getransporteerd wordt.

Bedankt voor je inzicht en info.

Sta er wel een beetje verstomd van dat ik hier op zeker wijze serieus op de vingers getikt wordt, omdat ik probeer bij te leren hoe men bepaalde zaken aanpakt en welke oplossingen hiervoor toereikend zijn.
Het was helemaal niet de bedoeling om mijn collega's hun werk af te pakken, maar ik vond het nu eenmaal interessant genoeg om me hierover verder een beetje in te verdiepen, en dacht dat mede-Tweakers geen graten zagen om een woordje uitleg te konden geven en met een high level overview van de oplossing ... welke ik gekregen heb, maar wel met jou boodschap @MAX3400 van "moei je met je eigen zaken, wijsneus" ... dat vind ik een spijtig

Ik begrijp ook dat je hier niet voor ierdereen, op eender welke vraag een passende oplossing kan aanrijken.

@The Realone en @jvanhambelgium bedankt voor jullie bijdragen aan dit draadje, ook @MAX3400 natuurlijk.
Het was inderdaad goed bedoeld en ik heb er wel degelijk iets van opgestoken.

woensdag 1 juli 2020 21:02

Acties:

0Henk 'm!

The Realone

Goed, je post natuurlijk wel in PNS en wat @MAX3400 duidelijk wil maken is niet heel anders wat ik zeg.

Het is belangrijk dat je inzicht hebt in wat de mogelijkheden zijn binnen jullie infrastructuur, simpelweg omdat er meerdere wegen naar Rome leiden. Ik roep ICAP, maar als jullie geen software hebben die daar ondersteuning voor biedt houdt het natuurlijk snel op.

Een aantal jaar geleden zat ik bij een klant waar de mogelijkheden redelijk beperkt waren en zochten we naar iets soortgelijks. Daar heb in de data uiteindelijke geïsoleerd, de virusscanner er overheen laten gooien en na een scan met wat scripts de data naar een intern bereikbare share laten schrijven. Niet super elegant, maar wel effectief. Later kwamen we tot de conclusie dat simpele file scanning niet meer voldeed en werd gekeken hoe we daar sandboxing aan toe konden voegen. Zoveel mensen, zoveel wensen zullen we maar zeggen.

donderdag 2 juli 2020 02:30

Acties:

0Henk 'm!

Brahiewahiewa

boelkloedig

beefunit41 schreef op woensdag 1 juli 2020 @ 20:48:
[...]
maar wel met jou boodschap @MAX3400 van "moei je met je eigen zaken, wijsneus" ... dat vind ik een spijtig
...

Nu leg je max woorden in de mond die hij niet gezegd heeft
Hij heeft uitermate geduldig door je warrige antwoorden gelezen en meerdere malen aangegeven welke informatie ontbreekt om tot een goed antwoord te komen

Als je dan reageert met "ik heb er niet veel kaas van gegeten" en uiteindelijk aangeeft dat je ook niet rechtstreeks in het beslissingsproces betrokken bent, is dat wel een afknapper. Beide zaken had je ook in je topicstart kunnen vermelden

QnJhaGlld2FoaWV3YQ==

donderdag 2 juli 2020 04:11

Acties:

0Henk 'm!

Wim-Bart

Zie signature voor een baan.

Ok even een aantal zaken.

Een externe leverancier die via een NFS constructie iets op jullie SAN/NAS zet is not done. En goed dat je het niet vertrouwd.

Vanuit security is het beste om een 3-hop scenario op te zetten.

Hop 1: een ongescande NFS Share voor de klant op een Linux of Windows systeem, in jullie DMZ. De enige plaats waar zij bij kunnen.
Hop 2: de broker
Hop 3: De NFS Share op jullie NAS/SAN, ongewijzigd.

Hop 2: is de broker.
Deze machine (separaat) doet het volgende.
1. Kopieert een bestand naar een folder "inBox"
2. De machine zal via een commandline of andere on-demand commando de file scannen in de inbox.
3. Bij succesvolle kopie en scan f verplaatst hij origineel op Hop 1 naar een back-up folder.
4. De machine kopieert na scannen de file naar jullie NAS/SAN NFS Share.
5. De file uit inbox wordt verplaatst naar een archief op de broker.

Eventueel kan je nog het volgende doen, zorg dat je op ieder moment een CRC maakt van bestand in een aparte file. En vergelijk deze bij iedere stap voor integriteit. Dat is dan ook je bewijs dat je niks met de data hebt gedaan. Of zelfs beter, laat een CRC file opleveren bij ieder bestand.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 2 juli 2020 10:07

Acties:

0Henk 'm!

Equator

Crew Council

Bowmore & Laphroaig fan

jvanhambelgium schreef op woensdag 1 juli 2020 @ 14:33:
Ik zou inderdaad in een DMZ-zone die NFS-share ter beschikking stellen. Vervolgens op bepaalde momenten een kijkje nemen of nieuwe bestanden gemaakt zijn en deze overbrengen.
(push-pull)

Eventueel scanner-software op de DMZ-laten draaien? Nu dit is niet volledig veilig want de DMZ host kan geinfecteerd raken. Je kan altijd nog scannen de moment dat je van binnen uit naar de DMZ gaat om de file op halen (pull) voor verdere verwerking.

Dat zou ik ook adviseren. Files laten droppen in een onveilige zone, en via een wasstraat (AV, etc.) naar binnen transporteren.

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

donderdag 2 juli 2020 10:10

Acties:

0Henk 'm!

Equator

Crew Council

Bowmore & Laphroaig fan

@beefunit41 Probeer gewoon zo duidelijk mogelijk te zijn. Vertel wat je al gedaan hebt, dat scheelt ons weer werk. Maar dat je er als adviserend / meedenkend inzit en niet beslissend is wat lastig.

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!

donderdag 2 juli 2020 10:20

Acties:

+1Henk 'm!

The Eagle

I wear my sunglasses at night

DMZ + 1 idd

Kan gewoon en losstaande linux machine zijn met AV geinstalleerd. Wel losse disks, niet SAN based.
Cron job op die machine die nieuwe bestanden ontvangt, scant en doorzet naar een vertrouwde directory
Cron job op de interne kant die het spul uit die ontvangende directory ophaalt en intern neerzet waar nodig.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

Pagina: 1

Reageer

Vraag

Alle reacties

Tweakers maakt gebruik van cookies

Forum cookie-instellingen

Functionele en analytische cookies

Cookies van derden