mimemmm
Goto Top

Antivirus HTTP Proxy sinnvoll?

Hallo,

haltet ihr es für sinnvoll in einem mittelständischen Unternehmen einen zentralen HTTP Proxy zu betreiben um Traffic auf Viren zu scannen?

Ich sehe das etwas Kritisch:

- Auf den Clients ist eh ein Virenscanner installiert
- Der HTTP-Proxy bietet eine zusätzliche Angriffsfläche
- Er scannt nur HTTP außer man baut nen "Man in the middle Proxy", der noch mehr Angriffsfläche hat. (Ja Viren gibts mittlerweile auch per https)

Wie steht ihr zu dem Thema?

Content-ID: 292573

Url: https://administrator.de/forum/antivirus-http-proxy-sinnvoll-292573.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

C.R.S.
C.R.S. 09.01.2016 um 04:24:17 Uhr
Goto Top
Kommt drauf an; die Mehrheit wird dem positiv gegenüber stehen oder es gar als Standard ansehen.

Gegen einen AV-Proxy ist auch an sich nichts einzuwenden. Das Problem ist halt, dass er dann meist mit begrenztem, wenn nicht minimalen, Ressourceneinsatz realisiert wird.

D.h. er muss schon mal mit auf die Firewall-Router-Appliance, oft genug die einzige im Unternehmen, für Perimeter- und interne Isolation zugleich. Wenn es ganz "sicher" gemacht wird, kommt noch ein IDS drauf.
Damit haben wir den Eigenbau einer der beliebten "UTMs", deren Angriffsfläche normalerweise mit "High-Security"-Stickern namhafter Hersteller abgeklebt werden muss.

Also deine Bedenken sind m.E. schon richtig und gerade vor dem Hintergrund des aggressiven UTM-Verkaufs muss jede Organisation dankbar sein, dass jemand diese Bedenken überhaupt hat. Schaut euch halt an, wie das konkret umgesetzt werden soll.

Grüße
Richard
Lochkartenstanzer
Lochkartenstanzer 09.01.2016 um 11:34:19 Uhr
Goto Top
Zitat von @Mimemmm:

Hallo,

haltet ihr es für sinnvoll in einem mittelständischen Unternehmen einen zentralen HTTP Proxy zu betreiben um Traffic auf Viren zu scannen?

Ja, wenn es richtig gemacht wird udn nicht am falschen Ende gespart wird. Es soll tatsächlich leute geben, die sowas auf eine Raspberry implementieren wollen. face-smile


Ich sehe das etwas Kritisch:

- Auf den Clients ist eh ein Virenscanner installiert

Der aber oft nciht anhsclägt. Durch wahl eines andrenherstellers auf dem Proxy hat man zumindest eine geringfügig höhere Chance, daß eine rvon beiden etwas schneller die passenden Updates rausgebracht hat. Außerdem ist der Virenscanner selbst oft ein EAngriffspunkt, insbesondere der auf den Desktops. Da ist eine zweite verteidigungslinie nicht unbedingt verwerflich.

- Der HTTP-Proxy bietet eine zusätzliche Angriffsfläche

Die man aber sehr stark minimieren kann. Auerdem ist es einfacher an eine rzentralen Stelle die Schrauben fester z udrehen, als hunderete einzelne rechner individuell einstellen zu müssen.

- Er scannt nur HTTP außer man baut nen "Man in the middle Proxy", der noch mehr Angriffsfläche hat. (Ja Viren gibts mittlerweile auch per https)

Ja, das liegt in der Natur der Sache. Aber ein Firmeneigener MITM ist noch relativ gut zu verwalten. man mu0 duie Mitarbeiter natürlich in kenntnis setzen daß die jetzt nciht einfach Ihr Baniking in der Firma machen können. face-smile

Fazit:

Ob man eine Proxy einsetzt oder nicht, hängt vorwiegend vom Gesamtkonzept ab.Der Proxy hat ja nicht nur die Fuktion malware abzuswähren, sonder auch ggf authentifizierung, caching und filterung der Webseiten durchzuführen. z.B., daß Mitarbieter ncit auf irgendwelchen Anatomiestudienseiten sich herumtreiben ode rnur diejenigen das dürfen.für die das für die Arbeit notwendig ist.

daher ist die frage eigentlich nich tper se mit ja oder nein zu beantworten sondern Ihr müßt euch erstmal überlagen, was ihr eigentlich erreichen wollt und dann das passende dazu installieren.

lks

Wie steht ihr zu dem Thema?
Mimemmm
Mimemmm 15.01.2016 um 20:33:55 Uhr
Goto Top
Würdet ihr denn einen HTTPS Antivir Proxy betreiben oder nur einen reinen HTTP? (Ins besondere, wenn man z.B. squid einsetzen möchte, was doch ein deutlicher Einrichtungs-Aufwand ist und zusätzlich auch die Gefahr von Fehl-Konfigurationen und Sicherheitslücken bietet)

Gibt es Statistiken die zeigen wie hoch der Anteil von malware über https tatsächlich ist?