Zainstaluj program antywirusowy na serwerze internetowym, czy to dobry pomysł?

Właśnie dostałem dedykowany serwer z systemem Windows 2008 Standard Edition i próbuję wykonać konfigurację niezbędną do uruchomienia na nim mojej aplikacji internetowej.

Zastanawiałem się, czy warto zainstalować program antywirusowy na serwerze sieciowym? W aplikacji użytkownicy nie mogą przesyłać żadnych plików oprócz obrazów (i sprawdzili, czy są obrazami w kodzie aplikacji przed zapisaniem na serwerze). Zachęcam do nie instalowania programu antywirusowego, aby nie wpływać na wydajność ani nie powodować problemów z aplikacją. Czy coś mi w tym pominie?

Dzięki

Dobrze działający serwer WWW nie powinien mieć zainstalowanego komercyjnego pakietu antywirusowego (IMHO). Rodzaj wirusów makr pakietu Office i trojanów masowych, dla których pakiety AV są zoptymalizowane, źle dopasowuje się do problemów serwera WWW.

Co powinieneś zrobić:

1. Absolutna obsesja na punkcie sprawdzania poprawności danych wejściowych. Przykłady: użytkownicy nie mogą przesyłać złośliwych treści do Twojej witryny (wirus, wstrzyknięcie SQL itp.); że nie jesteś narażony na ataki typu cross site scripting itp.
2. Zadbaj o to, aby Twój serwer był aktualizowany o najnowsze aktualizacje zabezpieczeń i skonfigurowany zgodnie z najlepszymi praktykami. Spójrz na takie rzeczy, jak zestaw narzędzi bezpieczeństwa Microsofts .
3. Posiadaj oddzielną zaporę ogniową. Nie pomaga ci bardzo w przypadku włamań, ale dodaje kolejną warstwę obrony przed źle skonfigurowanymi usługami sieciowymi i pomaga w prostych atakach DOS. Bardzo pomaga również w blokowaniu możliwości zdalnego zarządzania itp.
4. Zainstaluj system wykrywania włamań hosta (H-IDS) na swoim serwerze, podobnie jak czcigodny Tripwire .

Istnieje wiele nieporozumień co do terminów, słowa są tutaj często używane na wiele różnych sposobów. Aby być jasnym, rozumiem przez H-IDS tutaj:

• usługa na komputerze
• który stale sprawdza sumy wszystkich plików wykonywalnych na komputerze
• i generuje alert za każdym razem, gdy plik wykonywalny został dodany lub zmodyfikowany (bez autoryzacji).

Właściwie dobry H-IDS zrobi nieco więcej, na przykład monitorowanie uprawnień do plików, dostęp do rejestru itp., Ale powyższe informacje mają sens.

System wykrywania włamań hosta wymaga pewnej konfiguracji, ponieważ może powodować wiele fałszywych błędów, jeśli nie zostanie poprawnie skonfigurowany. Ale kiedy już uruchomi się, złapie więcej włamań niż pakiety AV. Zwłaszcza H-IDS powinien wykryć jedyny w swoim rodzaju backdoor hakera, którego komercyjny pakiet AV prawdopodobnie nie wykryje.

H-IDS jest również lżejszy przy obciążeniu serwera, ale jest to dodatkowa korzyść - główną korzyścią jest lepsza częstotliwość wykrywania.

Teraz, jeśli zasoby są ograniczone; jeśli wybór jest pomiędzy komercyjnym pakietem AV a nie robieniem nic, to zainstalowałbym AV . Ale wiedz, że to nie jest idealne.

To zależy. Jeśli nie wykonujesz nieznanego kodu, może być niepotrzebny.

Jeśli masz plik zainfekowany wirusem, sam plik jest nieszkodliwy, gdy znajduje się na dysku twardym. Staje się szkodliwy dopiero po jego wykonaniu. Czy kontrolujesz wszystko, co zostanie wykonane na serwerze?

Niewielką różnicą jest przesyłanie plików. Są nieszkodliwe dla twojego serwera - jeśli prześlę zmanipulowany obraz lub zainfekowany trojanem plik .exe, nic się nie wydarzy (chyba że go wykonasz). Jeśli jednak inne osoby pobiorą te zainfekowane pliki (lub jeśli na stronie zostanie użyty zmanipulowany obraz), ich komputery mogą zostać zainfekowane.

Jeśli witryna umożliwia użytkownikom przesyłanie czegokolwiek , co jest widoczne lub do pobrania dla innych użytkowników, możesz zainstalować skaner antywirusowy na serwerze sieci Web lub mieć w swojej sieci „serwer skanowania antywirusowego”, który skanuje każdy plik.

Trzecią opcją byłoby zainstalowanie antywirusa, ale wyłączenie skanowania podczas uzyskiwania dostępu na rzecz zaplanowanego skanowania poza godzinami szczytu.

I całkowicie odwrócić tę odpowiedź o 180 °: zwykle lepiej być bezpiecznym niż żałować. Jeśli pracujesz na serwerze internetowym, łatwo jest przypadkowo kliknąć zły plik i zniszczyć. Oczywiście, możesz połączyć się z nim tysiąc razy, aby zrobić coś przez RDP bez dotykania żadnego pliku, ale po raz pierwszy przypadkowo wykonasz exe i pożałujesz, ponieważ nie możesz nawet mieć pewności, co robi wirus (obecnie pobierają nowe kod również z Internetu) i musiałby przeprowadzić intensywne analizy kryminalistyczne w całej sieci.

Jeśli jest oparty na systemie Windows, o którym mówiłeś, że tak. Spróbowałbym również znaleźć jakąś formę wykrywania włamań hosta (program, który monitoruje / kontroluje pliki, które zmieniają się na serwerze i ostrzega o zmianach).

Tylko dlatego, że ty nie zmieniają plików na serwerze nie znaczy, że nie ma przepełnienia bufora lub luka, która pozwoli kogoś do plików zmian na serwerze zdalnie.

Kiedy istnieje luka w zabezpieczeniach, fakt, że istnieje exploit, jest zwykle znany w przedziale czasu między wykryciem a dystrybucją poprawki, wtedy jest okno czasu, aż pojawi się poprawka i zastosuje ją. W tym czasie zwykle dostępna jest jakaś forma zautomatyzowanego wykorzystania, a dzieciaki skryptowe uruchamiają ją w celu rozszerzenia sieci botów.

Pamiętaj, że wpływa to również na AV, ponieważ: nowe złośliwe oprogramowanie zostało utworzone, rozpowszechniono złośliwe oprogramowanie, próbka trafia do Twojej firmy AV, analizy firmy AV, firma AV wydaje nowy podpis, aktualizujesz podpis, podobno jesteś „bezpieczny”, powtarzaj cykl. Wciąż jest okno, w którym rozprzestrzenia się automatycznie, zanim zostaniesz „niewinny”.

Idealnie byłoby po prostu uruchomić coś, co sprawdza zmiany plików i ostrzega, takie jak TripWire lub podobna funkcjonalność, i przechowywać dzienniki na innym komputerze, który jest w pewnym sensie odizolowany od użycia, więc jeśli system zostanie przejęty, dzienniki nie zostaną zmienione. Problem polega na tym, że gdy plik zostanie wykryty jako nowy lub zmieniony, jesteś już zainfekowany, a gdy jesteś zarażony lub intruz jest już za późno, jest za późno, aby zaufać, że na maszynie nie wprowadzono innych zmian. Jeśli ktoś złamał system, mógł zmienić inne pliki binarne.

Potem staje się pytanie, czy ufasz sumom kontrolnym i dziennikom włamań do hosta oraz własnym umiejętnościom, że wszystko wyczyściłeś, w tym rootkity i pliki alternatywnego strumienia danych, które prawdopodobnie tam są? A może robisz „najlepsze praktyki” i czyścisz i przywracasz dane z kopii zapasowej, ponieważ dzienniki włamań powinny przynajmniej powiedzieć, kiedy to się stało?

Każdy system podłączony do Internetu z usługą może zostać potencjalnie wykorzystany. Jeśli masz system podłączony do Internetu, ale tak naprawdę nie działa z żadnymi usługami, powiedziałbym, że najprawdopodobniej jesteś bezpieczny. Serwery sieciowe nie należą do tej kategorii :-)

Tak zawsze. Cytując moją odpowiedź od administratora :

Jeśli jest podłączony do dowolnego komputera, który może być podłączony do Internetu, to absolutnie tak.

Dostępnych jest wiele opcji. Chociaż osobiście nie lubię McAfee ani Norton, są tam. Są też AVG , F-Secure , ClamAV (choć port win32 nie jest już aktywny), a na pewno setki więcej :)

Microsoft nawet pracował nad jednym - nie wiem, czy jest dostępny poza wersją beta, ale istnieje.

ClamWin , wspomniany przez @ J Pablo .