Frage an die ITs hier im Forum

[fox070]

Tach...

Es gibt ja hier auch einige unter Euch, die sich mit dem IT-Kram ganz gut auskennen.

Als ich mit G-Data Antivirus angefangen hab, belegte der Virenwächter im Speicher mal so gerade 30-40MB. Jetzt sind es schon 162MB. Gut... ich habe 2GB RAM, und könnte noch was abgegen, aber mir geht das gewaltig auf den Pinsel, das hier so nach und nach mein Speicher aufgefressen wird.

Ich bau mir jetzt gerade einen Gateway-Server auf, auf dem ich auch einen eigenen Mailserver installiere. Das ja nicht das Problem. Kann da natürlich auch ein Antivirenprogramm aufspielen, welches halt weiterhin die Mails prüft. Soweit auch klar...

Das ganze macht natürlich nur Sinn, wenn ich dann das Antivirenprogramm auf meinem Rechner runterschmeisse. Allerdings verliere ich dann auch den HTTP-Schutz, also wenn ich beim Surfen mal auf was infiziertes tappe. G-Data schlägt dann Alarm. Kommt zwar super selten vor, aber immerhin.

Jetzt die Frage.
Wie kann ich das anstellen, dass auch der Gateway-Rechner die HTTP-Zugriffe überwacht?
Da gibt es doch sicherlich auch Programme für. Aber ich hab da keinen Plan von.

Jemand 'ne Idee oder Erfahrung damit?

Gruss Maddin

[Tempest]

Kurze Antwort: Linux verwenden, weil´s wesentlich resistenter gegen Viren ist als Windows.

Im Ernst: Wenn´s denn Windows bleiben soll, fallen mir so auf Anhieb keine Virenscanner ein, die auch auf einem Gateway (Router)-Rechner laufen und allen durchgehenden Datenverkehr überwachen, aber eine Suche mit Google müsste Ergebnisse bringen. Vielleicht macht sogar unser Liebling F-Secure (Data Fellows) sowas ja.

Zumindest kannst Du beim Gateway schon mal Ports sperren und dergleichen, um die Sicherheit beim Surfen erheblich zu verbessern.

Es gibt auch zig. Dritt-Anbieter Produkte mit denen man einen Gateway weiter konfigurieren bzw. zusätzlich absichern kann.

Tempest

[fox070]

Also der Gateway-Rechner erhält auf jeden Fall ein Linux-System.

Hmm... also hieße das, den Gateway manuell einzurichten.
Wobei es sich ja dann eher um Firewalleinstellungen handelt.

Die FW kann ich aber auch direkt am DSL-Router konfigurieren. Der Router ist ja eh das erste Glied in der Kette.

Aber genau da ist ja das Problem. Wenn ich beispielsweise Port 80 freigebe, um surfen zu können, dann ist ja alles, was darüber reinkommt und authorisiert ist (also wenn ich eine Anfage starte ist die Rückmeldung über den Port ja autom. authorisiert), ist etwaiger Schadcode auch automatisch legitimiert, den Router zu passieren zu dürfen.

Die Porteinstellungen helfen mir ja nur dann, wenn ich verhindern will, dass nichtauthorisierte Datenströme durch den Router gelangen. Eine Paketüberprüfung findet ja in dem Sinne nicht statt.

Ich weiss... die größte Gefahrenquelle ist immer noch der User... schon klar. Aber Du kannst aufpassen, wie ein Lux.... man merkt ja nicht auf Anhieb, wenn man in die Scheisse tritt.

Also ich werd jetzt mal mit den Stichpunkten von Dir googlen. Aber wenn Du zufällig mal auf ein paar Links stößt, kannst Du die ja mal hier posten.

Danke.

Gruss Maddin

[Angel]

wieso willst du den datenstrom filtern? es gibt da sicher lösungen für, aber eher im unternehmensumfeld und preisregion. wenn es dir nur drum geht, dass dein rechner sicher ist würde ich folgenden aufbau empfehlen:

1. am router nur benötigte ports öffnen (sollte standardeinstellung sein)
2. an deinem arbeitsplatzrechner nicht mit administratorrechten arbeiten. da 80% aller viren würmer und sonstwer adminrechte braucht, senkst du das risiko enorm.
3. virenscanner am arbeitsplatzrechner verwenden. ich nutze den kostenlosen von avira.

zu 2. im falle von vista: glück für dich, die uac regelt das für dich. im falle von xp hilft hier http://sudown.sourceforge.net/ sowie http://kay-bruns.de/wp/2007/03/08/sudow ... weiterung/. ich sehe grade, dass es auf diesem blog auch http://kay-bruns.de/wp/software/surun/ gibt. klingt gut, hab ich aber selbst noch keine erfahrungen damit.

gruß angel

[Tempest]

Die Porteinstellungen helfen mir ja nur dann, wenn ich verhindern will, dass nichtauthorisierte Datenströme durch den Router gelangen. Eine Paketüberprüfung findet ja in dem Sinne nicht statt.

Nicht ganz, denn die meisten Viren und Spyware Sachen kommen gerade durch andere Ports als Port 80 rein (die oft-zitierte Hintertür). Daher hilft eine gute Portkonfiguration am Router schon mal enorm.

Desweiteren sollte man den Browser richtig konfigurieren. Das geht sogar bei IE. Zum richtigen Konfigurieren des IE gibt es auch einige sehr gute Webseiten. Bei IE ist das Problem, dass es nach Installtion eigentlich zu offen ist. Deswegen muss man dann nach einer Frischinstalltion den IE konfigurieren (Zones usw. richtig einstellen).

Man kann auch Linux statt Windows auf den Arbeits-PC laufen lassen. OK, ich weiß jetzt nicht, welche Windows-spezifischen Anwendungen Du brauchst, aber meistens gibt es schon Linux-Varianten, legal und kostenlos selbstverständlich

Tempest

Tempest

[fox070]

jou... das mit den Adminrechten ist so eine Sache. Normalerweise arbeite ich nicht mit Adminrechten auf meinem Rechner. Aber das ist mit XP teilweise recht unbequem. Paar Dinge laufen da nicht so recht. Gut... hält sich in Grenzen.

Aber ich hab das auch mal geglaubt, dass da die meisten Schädlinge dran scheitern, wenn man mit eingeschränkten Benutzerrechten arbeitet. Kannst aber unter XP knicken, weil die meisten wichtigsten Dienste auf Systemebene laufen, und nicht auf Userebene. Das bringt also mal garnix. Jedenfalls hab ich trotzdem mal den Zonk gezogen. Die Diensteverwaltung ist da bei XP doch noch recht kulant. Das war unter Win 2K besser. Wesentlich besser sogar.

Da hilft nur eins. Dienste, die man nicht braucht, einfach abklemmen.

Aber die Links sind recht informativ.
Danke.

Gruss Maddin

[fox070]

@Eric

Jou... das mit dem Port 80 war jetzt mal ein Prinzipbeispiel. Hast schon recht mit der Portkonfiguration. Ich hab auch die ganzen Desktop-FWs satt. Der Kram macht nichts als Ärger. Habe jetzt auch die FW über den Router konfiguriert. Ich mach selbst FTP nur auf, wenn ich ihn brauche.

Aber wie gesagt... mein Problem ist der Browser (das Browsen) an sich.

Gruss Maddin

[djacme]

Wenn du den eigendlichen Datenstrom der über den regulären port des Service läuft analysieren willst wäre für http ein proxy-server mit Vorenschutz auf deinem GW eine Lösung.

Ich glaube es war Kerio - die hatten mal einen solchen Dienst im Verkaufsprogramm, einen Proxy, der hat denn entsprechend den Webtransfer analysiert wie es ein guter Desktop-virenscanner mit "böser-code-detection" auch kann und entsprechend schädlingsfrei an die Clients weitergegeben.

[Angel]

den wurm, der bei einem aktuell gepatchten betriebssystem über eine lücke in einem dienst dein system infiziert musst du mir erstmal zeigen. da gibt vielleicht eine handvoll, die einfach so im netz rumgeistern. alles andere ist für einen gezielten angriff programmiert worden.

man muss sich immer die fragen, wie hoch der eigene schutzbedarf (vertrauliche, wertvolle daten, datenredundanz vorhanden etc) und dem vorhandenen risiko. und so wie ich es verstanden habe, geht es nur um dein privat pc. ein intrusion detection system bzw ein analysetool auf paketebene ist da wohl der totale overkill

gruß angel

[fox070]

stimmt auch... Proxy.... das werd ich gleich mal näher betrachten.

@Angel:
Also grundsätzlich hast Du mit dem Overkill nicht ganz Unrecht. Aber in meinem Fall hoste ich auch sensible Daten Dritter, die ich derzeit aus Sichergeitsgründen immer extern speicher. Es geht nicht nur um meine Daten. Außerdem gibt es noch einen anderen Standpunkt. Wenn mein System einigermaßen sicher ist, schütze ich damit auch andere. Ich denke, ich muss Dir nicht erklären, was damit gemeint ist.

Aber grundsätzlich will ich nicht auf einen Schutz verzichten, nur weil er nicht auf dem Rechner installiert ist, auf dem ich arbeite. Das ergibt einfach keinen Sinn. Das muss auch anders gehen. Ich hab einfach keinen Bock darauf, dass irgendwann über 200MB eines Antivirenprogramms resident im Speicher liegen, nur weil die Virendatenbank immer größer wird. Das macht doch keinen Spass mehr.

Gut... um Mails auf dem Mailserver zu checken, kann man auch ein Antivirenprogramm auf dem Server laufen lassen. Das ist ja kalter Kaffee.

Die Sache mit dem Proxy werd ich mal genauer betrachten. Es geht mir im Augenblick nur darum, den Datenstream, der beim Browsen stattfindet, zu überwachen. Der Rest ist Oldstuff, um es mal so zu sagen.

Gruss Maddin

Und ein Dankeschön für den Response.