Hi IT-Experten,
was haltet ihr vom Sicherheitsprinzip her davon, vor ein LAN einen extra Rechner als Sandbox vorzuschalten ?
Alle Internetanfragen und Antworten müssen zuerst diesen Rechner passieren.
Auf diesem Rechner laufen auch diverse Virenscanner und Firewall, damit die Sxchadprogramme nicht erst ins LAN kommen können bzw. damit Trojaner keine Wirkung haben (können).
In diesem Rechner sind (als Firewall) auch alle Programme eingetragen, die Verbindung „nach draußen“ aufnehmen dürfen.
(Einsatz also eher im Firmenbereich, wo die User keine Programme aufspielen dürfen)
Sinn der Aktion:
- Die Einzelrechner sollen keine Ressourcen mehr für Virenscanner & Co. verschwenden, sondern diese für nötige Anwendungen zur Verfügung haben.
- Wenn 4 von 5 Rechner im LAN das neueste AV-Update schon drauf haben, Nr. 5 aber später eingeschaltet wird und daher erst mit (z.B.) 1/2 Stunde verspätung ein Update zieht, ist er ja in dieser Zeit angreifbar. Im schlimmsten Fall werden dann seine Daten verseucht, bevor das Update da ist.
Und (noch schlimmer) wenn währenddessen eine Sicherung angelegt wird, ist sie verseucht bzw. wird dann unbrauchbar als Backup.
Wenn ein Backup nötig ist, ist oft ein großes Problem beim Rechner entstanden,. Lasst ihr vor jeder Rücksicherung einen Virenscanner über das Backup laufen ?
Eure Meinung nun zum vorgeschalteten „Antiviren/Anti-Spam“-Rechner um das Netzwerk vorher schon vor Angriffen zu schützen ?
Gruß
BigJohn
Hallo großer Hans
- Die Einzelrechner sollen keine Ressourcen mehr für
Virenscanner & Co. verschwenden, sondern diese für nötige
Anwendungen zur Verfügung haben.
Du weißt wie Malware auf den Rechner kommt? Ich frage nur mal.
Carsten Eilers gibt sich seit mehr als einem Jahr hier bei http://entwickler.de/zonen/portale/psecom,ps_lo,80,i… eine unheimlich große Mühe, es allgemein verständlich und populärwissenschaftlich den Fachleuten zu erzählen. Das bedeutet aber nicht, das es für Laien unverständlich sein muß.
der hinterwäldler
Hallo Bigjohn
was haltet ihr vom Sicherheitsprinzip her davon, vor ein LAN
einen extra Rechner als Sandbox vorzuschalten ?
Kommt drauf an.
Alle Internetanfragen und Antworten müssen zuerst diesen
Rechner passieren.
Router bzw. Proxy.
Auf diesem Rechner laufen auch diverse Virenscanner und
Firewall, damit die Sxchadprogramme nicht erst ins LAN kommen
können bzw. damit Trojaner keine Wirkung haben (können).
Das gibt es, ist aber je nachdem relativ teuer und in jedem Fall einigermassen kompliziert einzurichten und zu pflegen. Da ist entsprechendes fachliches Know How absolut zwingend.
In diesem Rechner sind (als Firewall) auch alle Programme
eingetragen, die Verbindung „nach draußen“ aufnehmen dürfen.
Such mal nach dem Begriff ‚Application Filtering‘.
- Die Einzelrechner sollen keine Ressourcen mehr für
Virenscanner & Co. verschwenden, sondern diese für nötige
Anwendungen zur Verfügung haben.
Keine gute Idee. Ein solcher Filter kann sicherlich vieles erkennen und blockieren. Aber niemals alles. Es kann jederzeit passieren, dass der Virenscanner, der auf dem Filter eingesetzt wird, etwas nicht erkennt und die betreffenden E-Mails durchlässt.
- Wenn 4 von 5 Rechner im LAN das neueste AV-Update schon
drauf haben, Nr. 5 aber später eingeschaltet wird und daher
erst mit (z.B.) 1/2 Stunde verspätung ein Update zieht, ist er
ja in dieser Zeit angreifbar. Im schlimmsten Fall werden dann
seine Daten verseucht, bevor das Update da ist.
Und (noch schlimmer) wenn währenddessen eine Sicherung
angelegt wird, ist sie verseucht bzw. wird dann unbrauchbar
als Backup.
Weder o.g. Filter-Rechner noch lokale AV-Tools können den vorsichtigen Umgang der Benutzer mit E-Mails, Internet etc. ersetzen. Höchstens ergänzen. Es ist also auch dafür zu sorgen, dass die Benutzer sich entsprechend verhalten, dann ist dieses Risiko relativ gering.
Eure Meinung nun zum vorgeschalteten
„Antiviren/Anti-Spam“-Rechner um das Netzwerk vorher schon vor
Angriffen zu schützen ?
Informier Dich auch mal über das Thema ‚DMZ‘ (Demilitarized Zone).
CU
Peter
verbesserte Beschreibung & Dank
Hi Peter,
ich habe es wohl nicht gut genug ausgedrückt.
Wenn ich manchmal sehe, dass auf jeder Arbeitsstation ein eigener AV werkelt, der sich frei schnauze updatet…
wenn ich sozusagen alle Daten aus dem Netz durch einen Extra Rechner schicke, der sie scannt…
… könnte ich mir doch den „einzelscan“ an jedem angeschlossenen Rechner schenken.
Dieser „Vorscanner“ schafft natürlich nicht mehr als der einzelne… er scannt halt einfach alles, bevor es ins LAN kommt.
Vorausgesetzt, es wird z.B. an allen PC nur ein bestimmter AV eingesetzt.
Es bringt mir doch keine extra Sicherheit, wenn jede Kiste für sich selbst scannt… oder?
Das meinte ich.
Von Filtersystemen/Firewall etc. wollte ich granicht erst anfangen.
Auch DAU -Probleme sind bekannt.
Gruß
BJ
Hi Hinterwäldler,
Danke für den Link. Interessant. Muss mich jetzt mal richtig mit „Angriffsszenarien“ auseinander setzen.
Hallo,
ich habe es wohl nicht gut genug ausgedrückt.
Wenn ich manchmal sehe, dass auf jeder Arbeitsstation ein
eigener AV werkelt, der sich frei schnauze updatet…
Nervig. Braucht man den denn wirklich?
wenn ich sozusagen alle Daten aus dem Netz
Was für Daten?
Dieser „Vorscanner“ schafft natürlich nicht mehr als der
einzelne…
Ach echt? So in Echtzeit? Auch wenn jemand mit Skype eine Datei verschickt?
er scannt halt einfach alles, bevor es ins LAN
kommt.
Und was machst Du mit verschlüsselten Verbindungen?
HTH,
Sebastian
Hi IT-Experten,
was haltet ihr vom Sicherheitsprinzip her davon, vor ein LAN
einen extra Rechner als Sandbox vorzuschalten ?
Ein Router tut´s auch.
Alle Internetanfragen und Antworten müssen zuerst diesen
Rechner passieren.
Auf diesem Rechner laufen auch diverse Virenscanner und
Firewall, damit die Sxchadprogramme nicht erst ins LAN kommen
können bzw. damit Trojaner keine Wirkung haben (können).
Welche AV soll den Datenverkehr denn in Echtzeit scannen?
Und mehrere schon mal gar nicht, das führt unweigerlich zum bsod.
Wenn ein Backup nötig ist, ist oft ein großes Problem beim
Rechner entstanden,. Lasst ihr vor jeder Rücksicherung einen
Virenscanner über das Backup laufen ?
Logisch.
Eure Meinung nun zum vorgeschalteten
„Antiviren/Anti-Spam“-Rechner um das Netzwerk vorher schon vor
Angriffen zu schützen ?
Quatsch.
Gruß
BigJohn
die Kisten müssen auf jeden Fall alle n eigenen
Scanner haben. Schon weil ja jeder Rechner auch USB
und CD-Roms usw. hat. Dann gibt es ja noch viele
andere Wege wie Daten auf einen PC kommen.
Allerdings gibt es IMHO auch Netzwerkversionen mehrerer
Virenscanner. Das heisst die Clients laden die entsprechenden
Programme und Daten vom Server. Vorteil ist dann, dass nur
der Server entsprechend geupdated werden muss und alle somit
immer auf dem gleichen Stand sind.
LG
ALex