Das Notes Forum
Sonstiges => Infrastruktur => Thema gestartet von: hallo.dirk am 11.08.08 - 17:26:54
-
Hallo,
einige Kollegen und ich diskutieren seit geraumer Zeit über folgendes Verhalten unseres aktuellen Virenscanners:
Ein Zipfile, welches definitiv einen Virus enthält, wird beim kopieren/speichern/verschieben nicht gescannt.
Laut Hersteller kostet das zu viel Performance in zip's zu Scannen
Prüfe ich das zip manuell oder enpacke ich den eigentlichen Virus wird er natürlich erkannt.
Ich sehe hierbei die Gefahr, dass sich das eigentliche Zipfile immer noch auf der Festplatte befindet....und zwar für "immer". Der Scanner wird niemals dieses Zip entfernen.
Ich halte das für falsch?
Was meint ihr?
-
vom Hersteller:
On-Access - also durch den Hintergrundmonitor - ja. Dieser scannt keine Archive.
Die Diskussion darüber wird schon seit Jahren geführt, ob man on-access Archive
scannen sollte oder nicht. Es gibt hierbei verschiedene Ansichten und auch genug
Gründe dafür oder dagegen. Dafür spricht sicherlich eine vermeintlich höhere Sicherheit, da
sich ja Trojaner etc. in dem Archiv verstecken könnten. Dagegen spricht eine hohe Systembelastung
beim On Access Scan von Archiven, welches sich verstärkt, je größer das Archiv ist.
ESET hat hier versucht, einen Mittelweg zu gehen. Normale Archive (wie .zip oder .rar) werden
vom Dateimonitor nicht überwacht aus performancegründen, laufzeitkomprimierte Archive und
selbstextrahierende Archive schon. Viele Trojaner verwenden gerade die letzteren genannten Arten
von Archiven.
Weiterhin müssen Sie auch beachten, daß Virenscanner nicht nur durch den Hintergrundmonitor das System überwacht.
Alles, was per e-Mail oder über Web Protokolle hereinkommt, wird durch ein weiteres Modul überwacht, welches
wiederum alle Archive scannt. In der Summe ergibt sich ein relativ guter Schutz bei gleichzeitig wenig
Systembelastung.
> Ich frage mich, ob es im Interesse des Herstellers ist, dass
> solche Dateien überhaupt auf einen Datenträger gelangen
> dürfen und ungeprüft dupliziert werden können.
> Sicherlich kann aktuell kein Schaden entstehen, allerdings
> fühle ich mich unbehaglich bei dem Wissen, dass sich
> verseuchte Dateien auf Datenträgen befinden könnten.
> Und das theoretisch für "immer"....
Dieses Argument wird oft angebracht. Fakt ist, daß ein Trojaner oder Virus in einem Archiv nichts anrichten
kann, es muss dazu entpackt werden. Genau in dem Moment würde der Monitor das verhindern. Wenn Sie dennoch
sichergehen wollen und nicht darauf warten wollen, daß dies doch einmal passieren kann, so kann man seinen
Rechner in regelmäßigen Abständen manuell scannen lassen (on-demand). Dabei werden die Archive mit durchgescannt.
In Kombination aller Module (Monitor, Webschutz, E-Mailschutz und On-Demand Scanner) kann man bei entsprechender
Überlegung und mit einem guten Konzept in einem Netzwerk einen hohen Schutz gewährleisten, ohne die Rechner
der Mitarbeiter dabei die Maßen zu belasten.
Was ist mit USB Sticks CD's oder DVD's? :-:
Hmm ich habe immer noch ein flaues Gefühl...
-
http://thecodist.com/fiche/thecodist/article/wtf-stories-2-here-little-virus-virus
-
Also generell würde ich alles Scannen lassen.
Bei Scannern wie Nod32 oder Bitdefender ist der Performance verlust eher gering, da diese wenig Ressourcen verwendet werden.
Ich würde keine Netzlaufwerke vom Client aus scannen lassen.
MFG Michael
-
Eines sollte man nicht vergessen, bei dieser ZIP Problematik, dass das Online Scannen von Archiven der absolute performancekiller des Notes 8 Standardclients ist. Man hat dann wirklich horrende Ladezeiten die oft auf den Client geschoben werden, aber eigentlich den Virenscanner betreffen. Deshalb wenn schon Onlinescannen, dann unbedingt den Notesclient auslassen.
Grüße
Ralf
-
....dann unbedingt den Notesclient auslassen.....
Wenn es ja konfigurierbar währe, dann hätte ich nix gesagt.
Das man bei diesem Produkt gar nicht die Wahl hat, ob und wie man komprimierte Daten scannen kann, finde ich schon komisch.
Aber ich bin ja "nur" Notes Mann und hab mit Viren überhaupt nix zu tun.
(Verhindere "nur" dass sie nicht per Mail verteilt werden)
Könnt Ihr mir sagen, wie of und wann ihr einen Scan der Platte ausführt?
Ist ein nächtlicher Sacn per "wake on lan" denkbar?
-
Ralf mag sein, nur setz mal EndPoint Protection auf einen schwachen Rechner ein. Da macht es keinen Unterschied mehr, weil das Prog sowas von auslastend ist.
Also das du ein Programm vom Scan ausschließt ist ja nicht das wofür die Art des scannens gedacht ist (On Access).
Bei Nod32 und Bitdefender kann man einstellen ob Archive gescannt werden, genauso wie bei EndPoint Protection.
Warum oft scannen? Ich scanne einmal in der Woche(obwohl das nicht nötig sein sollte), die Rechner werden bei Neuinstallation komplett geprüft und den Rest macht das Programm, mit ewigen Scannen im Hintergrund, mit den Dateien die genutzt werden und die in der nähe der Zugriffe liegen. Der HTTP Datenverkehr sollte auch überprüft werden.
MFG Michael
-
Jar-Files sind im zip Format. Wenn die gescanned werden, ist das sehr schlecht für die Performance von Java-Anwendungen.
-
habt ihr den onaccess scanner für das notes verzeichnis deaktiviert?
Wenn ja konnte man Unterschiede zu vorher und nachher feststellen?
-
@ Michael -r
Bei Nod32 und Bitdefender kann man einstellen ob Archive gescannt werden, genauso wie bei EndPoint Protection.
Bist Du Dir bei NOD32 da so sicher?
-
Eigentlich schon... ich müsste es nachher mal installieren, mache ich.
@blizzard
habt ihr den onaccess scanner für das notes verzeichnis deaktiviert?
Wenn ja konnte man Unterschiede zu vorher und nachher feststellen?
^^ ich glaub das geht garnicht, andererseits wiederspricht es der Funktion. Und andererseits sind die Programme wie Nod32 oder Bitdefender, weniger auslastend als andere Produkte und verbrauchen deutlich weniger Ressourcen.
Edit: Bild 1 zeigt das Standard Prüf Profil. Dort kann man einstellen wie geprüft wird. (Scanner lokal, ändert man das Profil, wird das dann auch so angewandt)
Bild 2 zeigt die Einstellung/Setup unter AMON
Bild 3 zeigt die Möglich Verzeichnisse auszuschließen auch unter AMON
Also, das ist natürlich nicht konfiguriert. Ich kenne nun nicht die Servervariante, aber das sollte da ähnlich konfigurierbar sein.
MFG Michael
-
ja danke.
es war aber eher als frage in die runde gemeint, wer das an bzw aus gemacht hat und unterschiede festgestellt hat.
-
Also ich habe es mal für Notes und Sametime testweise deaktiviert, mal sehen ob das dann besser wird, denn die Auslastung an meinem Client ist schon sehr hoch.
MFG Michael
-
Client = Notes Client oder Rechner selber?
Wenn ja welcher Notes Client benutzt du denn, dass dir das langsam erscheint ?
-
Der Rechner selbst ist lahm mit dem was drauf installiert ist. Ist auch nur ein Celeron 2,8 Ghz (Single), mit 1,5 GB RAM und Onboard Graphikkarte.
Zuhause mit AMD X2 5600+ und 6 GB RAM rennt LN 8.0.1 (Eclipse) ;).
MFG Michael
-
Ich kenne nun nicht die Servervariante, aber das sollte da ähnlich konfigurierbar sein.
Ähnlich ja, leider unterscheiden sie sich im Bezug auf Archive :-\
-
Ich muß nochmal einhaken. Für was verwendet Ihr eigentlich Onlinevirenscanner. Bei mir werden alle e-mails Virengescanned und ich scanne auch alle USB Sticks oder ähnliches bevor ich Sie mir ins System kopiere. Also für was soll bei jedem Programmzugriff nach Virengescanned werden. Ich verwende auf meinen PC überhaupt keinen Virenscanner und scanne dann ab und zu mit Knoppicilin und hatte noch nie einen Virus auf meinem Rechner. Dagegen Rechner die mit Symantec Internet Security ausgerüstet waren von irgendwelchen Bekannten die waren voller Spyware Trojaner und was weiß ich noch. Die sind dann zu mir gekommen, da sie wenn sie Google aufrufen wollten auf irgendwelche Sexseiten gekommen sind.
Grüße
Ralf
-
ist google denn keine sexseite? :)
naja den online scanner auszuschalten finde ich nicht so prickelnd. Gerade der schützt dich doch vor neuhinzugekommenen files die evtl. infected sein könnten.
Da kommt dein späterer richtiger scan eigentlich schon zu spät.
-
Ja aber wo sollen diese Dateien den herkommen. Die müsste ich doch aktiv downloaden. Und damit sich der Virus bei mir einnisten kann, müsste er auch noch eine Sicherheitslücke im OS finden, dass er Admin Rechte bekommt. Wie gesagt, ich arbeite jetzt seit 1996 im Internet und hatte noch nie einen Onlinevirenscanner aktiv. Übrigens genausowenig wie eine Personalfirewall (natürlich verwende ich eine Hardwarefirewall) und hatte noch nie einen Virus oder einen anderen Schändling auf meinem Rechner.
Glück oder einfach nur vernünftiger Umgang mit dem Medium.
Grüße
Ralf
-
Glück oder einfach nur vernünftiger Umgang mit dem Medium
oder du hast es einfach nicht bemerkt ;)
klar natürlich müsstest du das runtergeladen haben oder sonst woher bekommen haben. Aber wieviele öffentliche unfixed issues gibts denn allein beim internet explorer? Da reicht nen driveby und du hast das Ding drauf. Klar für nen 1 Mann Unternehmen, der selbst den Laden schmeißt und noch IT Fachmann ist, kein Ding. Aber für nen mehrere hundert Mann Firma ist das finde ich einfach nur verantwortungslos oder blindes Vertrauen in die Ausgereiftheit des OS oder beispielsweise des Browsers.
-
Glück oder einfach nur vernünftiger Umgang mit dem Medium
oder du hast es einfach nicht bemerkt ;)
Ich denke ich hätte es schon bemerkt, da ich meine Windows VM regelmäßig auf verdächtige Aktivitäten überprüfe. Aber jeder wie er meint. Meine Meinung ist, dass Onlinecanner viel mehr Probleme verursachen als Sie helfen. Das wichtigste ist doch, dass der Benutzer überlegt und vernünftig handelt. Übrigens halte ich es für einen Riesenschwachsinn zu glauben, dass die meisten Infektionen durch irgendwelche Securitylücken am Client ausgelöst wurden. Alle Viren die ich in der letzten Zeit bei uns im e-mail Gateway gesehen habe sind immer noch geschickt gemachte Aufforderungen ein Attachment zu öffnen.
Grüße
Ralf
-
Ich möchte mal feststellen, dass diesen Monat von ca 1400 erkannten Viren Mails, 1200 einen Zip Anhang haben!!
Für mich steigt einfach die Wahrscheinlichkeit, dass mal ein Datenträger auftaucht, der solche Dateien beinhaltet.
Zum "false positive" Thema:
Wenn ich Software Entwickler mal auslasse, welcher Anwender schreibt denn ständig neue Archivdateien auf seine Festplatte?
-
Das Problem ist nicht dass beim Schreiben gescanned wird sondern bei Online Virenscannern wird bei jedem Lesevorgang gescanned und ein Großteil des 8er Programmcodes ist in JAR Dateien abgelegt, die ähnlich wie ZIP Dateien sind. Bei jedem Zugriff auf diese Dateien machen manche Virenscanner dann einen Scan des ganzen Archivs. Dann ist Notes 8 unverwendbar. Am besten suchst du in Google mal nach Notes 8 und Mcaffe Oder du liest di offizielle Technote von der IBM http://www-1.ibm.com/support/docview.wss?rs=475&context=SSKTWP&dc=DB520&dc=DB560&uid=swg21291932&loc=en_US&cs=UTF-8&lang=en&rss=ct475lotus
Grüße
Ralf
-
Ok das Ausschalten des On Access scan auf das Lotus\Notes Verzeichnis scheint etwas zu bringen. Allerdings halte ich es für übertrieben, dass ein Arbeiten unmöglich wird, wenn der noch an ist. Da spielt wohl HW und der Virenscanner auch eine Rolle, obwohl ich hier selbst mit EndPoint Protection und relativ schwachem Client keine Probleme habe.
@Ralf, du magst Kenntnisse haben, aber das bietet nicht mehr Schutz als ein Virenprog ;). Ich dachte auch mal sowas brauch ich nicht zwingend. Auch mit Virenprogs hatte ich so einige Probleme mit Viren etc, und ich bin auch immer sehr Vorsichtig. Naja und seitdem ich bei Freunden/Bekannten Virenprogs einsetze, werde ich weniger angerufen als vorher grins. Und bei Firmen ist das ja wohl undenkbar, dass diese ohne Schutz arbeiten.
MFG Michael
-
Das wird vom Virenscanner abhängen. wieviel es bringt. Bei dem in der Technote beschriebenen war es so, dass sich die Leute geweigert haben mit dem 8er Client zu arbeiten.
Grüße
Ralf
-
Hm, die Frage die sich mir stellt ist eigentlich werden Mails dann noch auf Viren geprüft wenn ich den On Access Scanner für das Notes Verzeichnis deaktiviere?
Bei Symantec sehe ich kein Hinweis, wenn er oder ob er Mails scannt.
Bei Bitdefender zeigt er mir ja an ob Mails geprüft werden.
MFG Michael
-
@Michael Was soll das eine mit dem anderen zu tun haben. Um e-mail Viren erkennen zu können, muss der Virenscanner erstens das Datenverzeichnis scannen und nicht das Programmverzeichnis und zweitens wird er über das API von Notes zugreifen müssen um einen erfolgreichen Scan zu machen. Da die mail Datenbank im Standardfall mit der ID verschlüsselt ist. Eventuell kann er auch den NRPC Traffic zwischen Client und Server belauschen, was aber auch nicht einfach ist, da dieser nicht dokumentiert ist. Daher bleibe ich dabei Virenscanner für Mail sollen auf dem Server laufen und nicht auf dem Client.
Grüße
Ralf
-
AFAIK kommuniziert der Client mit dem Server über Port 25, bezüglich senden und empfangen von Notes Mails. Die Mail ist doch nur in der Maildatei verschlüsselt nicht bei der Übertragung. Also da sollten keine Probleme auftauchen.
Und generell kann das ja auch nicht zutreffen?! Wenn doch würden ja alle ihre Mails verschlüsselt senden, damit Virenscanner die nicht erkennen.
Allerdings überleg ich grade wie ich nachvollziehen kann, ob eingehende Mails über Notes gescannt werden, wenn On Access, für das Notes Verzeichnis gesperrt ist. Bitdefender zeigt mir nur bei POP Nachrichten an, das gescannt wird, Symantec zeigt mir nichts an. Hm...
MFG Michael
-
Die Clients kommunizieren über Port 1352. Und sowie das auf dem Domino eingestellt ist (und das sollte eingestellt sein!), werden die Daten verschlüsselt.
Bernhard
-
Sorry wenn ich es hier nochmal drastisch sage, aber ein Virenscanner auf dem PC von dem ich nicht mal weiß was genau erkennt ist viel schlimmer als gar kein Virenscanner. Ich weiß genau, auf was ich aufpassen muß, aber einer der einen Virenscanner verwendet und nicht weiß ob sein Mailtraffic gescanned wird oder nicht, ist doch 100mal riskanter als Mailtraffic zuverlässig am Server scannen zu lassen und Downloads auf der Firewall scannen zu lassen.
Grüße
Ralf
-
Ups ja vertan, bin irgendwie mit den Gedanken woanders gewesen. ::)
Trozdem kann es ja wohl nicht sein, dass verschlüsselte Mails nicht scanbar sein sollen. Dann würden die alle Hacker so schicken.
Ist eine kostenfrage, Ralf, hast aber Recht. Sicher ist es sinnvoller die vorher scannen zu lassen. Bzw ist es auch nicht verkehrt die nochmal im nachhinein mit einem anderen Prog zu prüfen.
MFG Michael
-
Auch da liegst Du falsch: Der Hacker müsste wissen, wie der Key der Empfänger aussieht, damit dort wieder entschlüsselt werden kann.
Es wäre ausgemacht freundlich, wenn SPAMmer ihre Mails vor dem Versenden verschlüsseln würden ;D
Bernhard
-
Okay, aber EndPoint Protection kann den Notes Client beim Eingang neuer Mails prüfen und blockieren. Soweit ich weiss, oder war das der On Access Scanner, muss ich nochmal nachschauen...
MFG Michael
-
Ihr driftet nun schon aber ein bisschen ab, oder? ;)
Nein, dass in einem Betrieb der lokale Virenscanner nur ein Glied einer Kette ist, liegt auf der Hand.
Und genau da liegen meine Bedenken:
Per Mail und per Browser wird kein Virus reinkommen (auch nicht über die Verschlüsselung).
Aber über den USB Stick kann ich ohne Probleme ein verseuchtes Zip Archiv auf die Festplatte kopieren.
In meinen Augen ist das nicht schlüssig...