Zainstaluj program antywirusowy na serwerze internetowym, czy to dobry pomysł?

14

Właśnie dostałem dedykowany serwer z systemem Windows 2008 Standard Edition i próbuję wykonać konfigurację niezbędną do uruchomienia na nim mojej aplikacji internetowej.

Zastanawiałem się, czy warto zainstalować program antywirusowy na serwerze sieciowym? W aplikacji użytkownicy nie mogą przesyłać żadnych plików oprócz obrazów (i sprawdzili, czy są obrazami w kodzie aplikacji przed zapisaniem na serwerze). Zachęcam do nie instalowania programu antywirusowego, aby nie wpływać na wydajność ani nie powodować problemów z aplikacją. Czy coś mi w tym pominie?

Dzięki

windows web-server anti-virus Mee
źródło
Mówisz, że pliki są sprawdzane pod kątem obecności obrazów w kodzie aplikacji przed ich zapisaniem - oznaczałoby to dla mnie, że przesłany plik znajduje się w jakimś tymczasowym katalogu, zanim Twoja aplikacja go zobaczy? W takim przypadku jest już na serwerze, zanim będzie można go sprawdzić! Z którego serwera korzystasz?
Steve Folly,
W rzeczywistości obrazy są sprawdzane w pamięci, nie są zapisywane w żadnym folderze tymczasowym. Są one zapisywane na dysku tylko wtedy, gdy przejdą kontrolę w aplikacji. Używam IIS, jest to aplikacja ASP.NET
Mee
Poza tym, nawet jeśli zapiszesz plik w folderze tymczasowym, ale go nie uruchomisz, nie spowoduje to żadnych problemów. Ale znowu tak nie jest.
Mee

Odpowiedzi:

18

Dobrze działający serwer WWW nie powinien mieć zainstalowanego komercyjnego pakietu antywirusowego (IMHO). Rodzaj wirusów makr pakietu Office i trojanów masowych, dla których pakiety AV są zoptymalizowane, źle dopasowuje się do problemów serwera WWW.

Co powinieneś zrobić:

  1. Absolutna obsesja na punkcie sprawdzania poprawności danych wejściowych. Przykłady: użytkownicy nie mogą przesyłać złośliwych treści do Twojej witryny (wirus, wstrzyknięcie SQL itp.); że nie jesteś narażony na ataki typu cross site scripting itp.
  2. Zadbaj o to, aby Twój serwer był aktualizowany o najnowsze aktualizacje zabezpieczeń i skonfigurowany zgodnie z najlepszymi praktykami. Spójrz na takie rzeczy, jak zestaw narzędzi bezpieczeństwa Microsofts .
  3. Posiadaj oddzielną zaporę ogniową. Nie pomaga ci bardzo w przypadku włamań, ale dodaje kolejną warstwę obrony przed źle skonfigurowanymi usługami sieciowymi i pomaga w prostych atakach DOS. Bardzo pomaga również w blokowaniu możliwości zdalnego zarządzania itp.
  4. Zainstaluj system wykrywania włamań hosta (H-IDS) na swoim serwerze, podobnie jak czcigodny Tripwire .

Istnieje wiele nieporozumień co do terminów, słowa są tutaj często używane na wiele różnych sposobów. Aby być jasnym, rozumiem przez H-IDS tutaj:

  • usługa na komputerze
  • który stale sprawdza sumy wszystkich plików wykonywalnych na komputerze
  • i generuje alert za każdym razem, gdy plik wykonywalny został dodany lub zmodyfikowany (bez autoryzacji).

Właściwie dobry H-IDS zrobi nieco więcej, na przykład monitorowanie uprawnień do plików, dostęp do rejestru itp., Ale powyższe informacje mają sens.

System wykrywania włamań hosta wymaga pewnej konfiguracji, ponieważ może powodować wiele fałszywych błędów, jeśli nie zostanie poprawnie skonfigurowany. Ale kiedy już uruchomi się, złapie więcej włamań niż pakiety AV. Zwłaszcza H-IDS powinien wykryć jedyny w swoim rodzaju backdoor hakera, którego komercyjny pakiet AV prawdopodobnie nie wykryje.

H-IDS jest również lżejszy przy obciążeniu serwera, ale jest to dodatkowa korzyść - główną korzyścią jest lepsza częstotliwość wykrywania.

Teraz, jeśli zasoby są ograniczone; jeśli wybór jest pomiędzy komercyjnym pakietem AV a nie robieniem nic, to zainstalowałbym AV . Ale wiedz, że to nie jest idealne.

Jesper M.
źródło
Dzięki. Naprawdę nie czuję się zachęcony do zainstalowania AV, ale po raz pierwszy do zarządzania serwerem internetowym martwiłem się, że coś może mi brakować. Myślę, że lepiej byłoby bez AV. Postaram się bardziej uważać na to, co uruchamiam na serwerze.
Mee
1

To zależy. Jeśli nie wykonujesz nieznanego kodu, może być niepotrzebny.

Jeśli masz plik zainfekowany wirusem, sam plik jest nieszkodliwy, gdy znajduje się na dysku twardym. Staje się szkodliwy dopiero po jego wykonaniu. Czy kontrolujesz wszystko, co zostanie wykonane na serwerze?

Niewielką różnicą jest przesyłanie plików. Są nieszkodliwe dla twojego serwera - jeśli prześlę zmanipulowany obraz lub zainfekowany trojanem plik .exe, nic się nie wydarzy (chyba że go wykonasz). Jeśli jednak inne osoby pobiorą te zainfekowane pliki (lub jeśli na stronie zostanie użyty zmanipulowany obraz), ich komputery mogą zostać zainfekowane.

Jeśli witryna umożliwia użytkownikom przesyłanie czegokolwiek , co jest widoczne lub do pobrania dla innych użytkowników, możesz zainstalować skaner antywirusowy na serwerze sieci Web lub mieć w swojej sieci „serwer skanowania antywirusowego”, który skanuje każdy plik.

Trzecią opcją byłoby zainstalowanie antywirusa, ale wyłączenie skanowania podczas uzyskiwania dostępu na rzecz zaplanowanego skanowania poza godzinami szczytu.

I całkowicie odwrócić tę odpowiedź o 180 °: zwykle lepiej być bezpiecznym niż żałować. Jeśli pracujesz na serwerze internetowym, łatwo jest przypadkowo kliknąć zły plik i zniszczyć. Oczywiście, możesz połączyć się z nim tysiąc razy, aby zrobić coś przez RDP bez dotykania żadnego pliku, ale po raz pierwszy przypadkowo wykonasz exe i pożałujesz, ponieważ nie możesz nawet mieć pewności, co robi wirus (obecnie pobierają nowe kod również z Internetu) i musiałby przeprowadzić intensywne analizy kryminalistyczne w całej sieci.

Michael Stum
źródło
Wielkie dzięki, kolejna świetna odpowiedź, która potwierdza, że ​​mogę obejść się bez AV.
Mee
1

Jeśli jest oparty na systemie Windows, o którym mówiłeś, że tak. Spróbowałbym również znaleźć jakąś formę wykrywania włamań hosta (program, który monitoruje / kontroluje pliki, które zmieniają się na serwerze i ostrzega o zmianach).

Tylko dlatego, że ty nie zmieniają plików na serwerze nie znaczy, że nie ma przepełnienia bufora lub luka, która pozwoli kogoś do plików zmian na serwerze zdalnie.

Kiedy istnieje luka w zabezpieczeniach, fakt, że istnieje exploit, jest zwykle znany w przedziale czasu między wykryciem a dystrybucją poprawki, wtedy jest okno czasu, aż pojawi się poprawka i zastosuje ją. W tym czasie zwykle dostępna jest jakaś forma zautomatyzowanego wykorzystania, a dzieciaki skryptowe uruchamiają ją w celu rozszerzenia sieci botów.

Pamiętaj, że wpływa to również na AV, ponieważ: nowe złośliwe oprogramowanie zostało utworzone, rozpowszechniono złośliwe oprogramowanie, próbka trafia do Twojej firmy AV, analizy firmy AV, firma AV wydaje nowy podpis, aktualizujesz podpis, podobno jesteś „bezpieczny”, powtarzaj cykl. Wciąż jest okno, w którym rozprzestrzenia się automatycznie, zanim zostaniesz „niewinny”.

Idealnie byłoby po prostu uruchomić coś, co sprawdza zmiany plików i ostrzega, takie jak TripWire lub podobna funkcjonalność, i przechowywać dzienniki na innym komputerze, który jest w pewnym sensie odizolowany od użycia, więc jeśli system zostanie przejęty, dzienniki nie zostaną zmienione. Problem polega na tym, że gdy plik zostanie wykryty jako nowy lub zmieniony, jesteś już zainfekowany, a gdy jesteś zarażony lub intruz jest już za późno, jest za późno, aby zaufać, że na maszynie nie wprowadzono innych zmian. Jeśli ktoś złamał system, mógł zmienić inne pliki binarne.

Potem staje się pytanie, czy ufasz sumom kontrolnym i dziennikom włamań do hosta oraz własnym umiejętnościom, że wszystko wyczyściłeś, w tym rootkity i pliki alternatywnego strumienia danych, które prawdopodobnie tam są? A może robisz „najlepsze praktyki” i czyścisz i przywracasz dane z kopii zapasowej, ponieważ dzienniki włamań powinny przynajmniej powiedzieć, kiedy to się stało?

Każdy system podłączony do Internetu z usługą może zostać potencjalnie wykorzystany. Jeśli masz system podłączony do Internetu, ale tak naprawdę nie działa z żadnymi usługami, powiedziałbym, że najprawdopodobniej jesteś bezpieczny. Serwery sieciowe nie należą do tej kategorii :-)

Bart Silverstrim
źródło
0

Tak zawsze. Cytując moją odpowiedź od administratora :

Jeśli jest podłączony do dowolnego komputera, który może być podłączony do Internetu, to absolutnie tak.

Dostępnych jest wiele opcji. Chociaż osobiście nie lubię McAfee ani Norton, są tam. Są też AVG , F-Secure , ClamAV (choć port win32 nie jest już aktywny), a na pewno setki więcej :)

Microsoft nawet pracował nad jednym - nie wiem, czy jest dostępny poza wersją beta, ale istnieje.

ClamWin , wspomniany przez @ J Pablo .

królikarnia
źródło
2
Dziękuję za odpowiedź, ale .. to nie jest żaden serwer Windows, to serwer WWW, więc wydajność ma tutaj ogromne znaczenie. Pamiętaj, że oprogramowanie antywirusowe skanuje każdy plik, do którego uzyskano dostęp, tj. każdy plik żądany przez gościa. Potrzebuję dobrego powodu, aby zainstalować program antywirusowy i ryzykować problemy z wydajnością, inne niż tylko wytyczne bezpieczeństwa dla komputerów w ogóle.
Mee
nie skanuje każdego pliku, do którego uzyskano dostęp, jeśli jest poprawnie skonfigurowany - i nie ma powodu, aby skanować pliki podczas uzyskiwania dostępu - tylko w poszukiwaniu ataków itp.
warren
1
@ unknown-Performance ma ogromne znaczenie na serwerze WWW? Jeśli chodzi o szacunek, sugeruję, że jeśli masz tak mało dostępnego narzutu, że ściśnięcie kilku cykli procesora podczas skanowania plików wpłynie na wrażenia użytkownika końcowego w sieci, możesz mieć inny problem ze sposobem ustawienia aplikacji w górę.
Bart Silverstrim,
@warren, wiem, że możesz wykluczyć dowolne katalogi ze skanowania dostępu, ale w takim przypadku jaki jest sens instalowania AV w pierwszej kolejności? Mam na myśli to, że jeśli użytkownicy nadal będą mogli przesyłać pliki bez skanowania, to nie ma sensu, aby AV działało na serwerze w takim przypadku.
Mee
2
@Bart, jeśli chodzi o oprogramowanie antywirusowe, zajmuje więcej niż kilka cykli procesora podczas skanowania plików, spowalniają Twój komputer osobisty, z którego korzysta tylko Ty, więc czego oczekujesz od serwera WWW, do którego dostęp mają setki lub tysiące osób?
Mee