Встановіть антивірус на веб-сервері, це гарна ідея?

14

Щойно я отримав виділений сервер з Windows 2008 Standard Edition і намагаюся зробити необхідну конфігурацію, щоб запустити на ньому свій веб-додаток.

Цікавилось, чи гарна ідея встановити антивірус на веб-сервері? У програмі користувачі не можуть завантажувати будь-які файли, крім зображень (і перевіряли наявність зображень у коді програми, перш ніж зберігати їх на сервері). Мені рекомендується не встановлювати антивірус, щоб не впливати на продуктивність або спричиняти будь-які проблеми з додатком, я щось пропускаю, роблячи це?

Спасибі

windows  web-server  anti-virus 
Мей
джерело
Ви кажете, що файли перевіряються на наявність зображень у коді додатка, перш ніж їх зберегти - це означатиме, що завантажений файл знаходиться у деякому тимчасовому каталозі, перш ніж ваша програма побачить його? У такому випадку він вже знаходиться на сервері, перш ніж ви переходите до його перевірки! Який веб-сервер ви використовуєте?
Стів Фоллі
Насправді зображення перевіряються в пам'яті, вони не зберігаються у жодній тимчасовій папці. Вони зберігаються на диску, лише якщо передають чек у програмі. Я використовую IIS, це додаток ASP.NET
Mee
Окрім того, навіть якщо ви збережете файл у тимчасовій папці, але не запустите його, це не спричинить жодних проблем. Але знову це не так.
Mee

Відповіді:

18

Хорошо запущений веб-сервер повинен IMHO не встановити комерційний антивірусний пакет (AV). Вид макровірусів Office та троянів масового ринку, для яких оптимізовані AV-пакети, погано відповідає проблемам веб-сервера.

Що ви повинні зробити:

  1. Абсолютно нав'язливий щодо перевірки вхідних даних. Приклади: користувачі не можуть завантажувати шкідливий вміст на ваш сайт (вірус, ін'єкція SQL тощо); що ви не вразливі до перехресних атак на сценарії тощо.
  2. Слідкуйте за тим, щоб ваш сервер був зафіксований останніми оновленнями безпеки та налаштований відповідно до кращих практик. Подивіться на такі речі, як інструментарій безпеки Microsofts .
  3. Мають окремий брандмауер. Не дуже допомагає вторгненням, але це додає ще один рівень захисту від неправильно налаштованих мережевих служб та допомагає з простими DOS-атаками. Це також дуже допомагає при блокуванні віддалених можливостей управління тощо.
  4. Встановіть на свій сервер систему виявлення вторгнень хостів (H-IDS), відповідно до поважного Tripwire .

Існує багато плутанини щодо термінів, слова тут часто вживаються у багатьох різних способах. Щоб було зрозуміло, що я маю на увазі під H-IDS тут:

  • послуга на комп’ютері
  • який постійно перевіряє підсумки всіх виконуваних файлів на комп’ютері
  • і видає попередження щоразу, коли доданий або змінений виконуваний файл (без авторизації).

Насправді хороший H-IDS зробить трохи більше, ніж це, наприклад, моніторинг дозволів до файлів, доступ до реєстру тощо, але вищевикладене суть цього.

Система виявлення вторгнень в хост приймає певну конфігурацію, оскільки вона може давати безліч помилкових помилок, якщо їх неправильно налаштувати. Але як тільки вона буде запущена, вона спричинить більше вторгнень, ніж AV-пакети. Особливо H-IDS повинен виявляти єдиний у своєму роді хакерський бекдор, який комерційний пакет AV, ймовірно, не виявить.

H-IDS також полегшується при завантаженні сервера, але це вторинна перевага - головна перевага - краща швидкість виявлення.

Тепер, якщо ресурси обмежені; якщо вибір між комерційним пакетом AV і нічого не робити, я б встановив AV . Але знайте, що це не ідеально.

Джеспер М
джерело
Спасибі. Мені не дуже хочеться встановлювати AV, але вперше керував веб-сервером, я переживав, що щось може мені не вистачити. Думаю, мені було б краще без АВ. Я просто спробую бути більш уважним до того, що я запускаю на сервері.
Mee
1

Це залежить. Якщо ви не виконуєте жодного невідомого коду, це може бути непотрібним.

Якщо у вас є заражений вірусом файл, сам файл нешкідливий, поки він знаходиться на жорсткому диску. Це стає шкідливим лише після того, як ви його виконаєте. Ви контролюєте все, що виконується на сервері?

Невелика різниця - це завантаження файлів. Вони нешкідливі для вашого сервера - якщо я завантажую маніпульоване зображення або заражене трояном .exe, нічого не відбудеться (якщо ви його не виконаєте). Однак якщо інші люди завантажують ці заражені файли (або якщо маніпульоване зображення використовується на сторінці), то їх ПК може заразитися.

Якщо ваш сайт дозволяє користувачам завантажувати що- небудь, що відображається або завантажується для інших користувачів, ви можете встановити сканер вірусів на веб-сервері або мати якийсь "сервер сканування вірусів" у вашій мережі, який сканує кожен файл.

Третім варіантом буде встановити Антивірус, але відключити сканування під час доступу на користь запланованого сканування в неробочий час.

І повністю повернути цю відповідь на 180 °: Зазвичай краще бути безпечним, ніж шкодувати. Якщо ви працюєте на веб-сервері, легко випадково натиснути поганий файл і зламати хаос. Звичайно, ви можете підключитися до нього тисячу разів, щоб зробити щось над RDP, не торкаючись жодного файлу, але в 1001-й раз ви випадково виконаєте цей exe і пошкодуєте про це, тому що навіть не можете точно знати, що робить вірус (сьогодні вони завантажують новий код з Інтернету), і доведеться проводити інтенсивну криміналістику у всій вашій мережі.

Михайло Стум
джерело
Велике спасибі, ще одна чудова відповідь, яка підтверджує, що я можу обійтися без AV.
Mee
1

Якби це Windows, як ви це сказали, я б сказав. Я також спробую знайти якусь форму виявлення вторгнень в хост (програма, яка відстежує / перевіряє зміни файлів на сервері та оповіщає про зміни).

Тільки тому, що ви не змінюєте файли на сервері, це не означає, що не існує переповнення буфера або вразливості, що дозволить комусь іншому віддалено змінювати файли на сервері.

Коли є вразливість, той факт, що існує експлуатація, зазвичай відомий у вікні часу між відкриттям та розподіленим виправленням, тоді є вікно часу, поки ви не отримаєте виправлення та застосуєте його. У той час зазвичай доступна якась форма автоматизованого використання, а діти-скрипти запускають його для розширення своїх ботових мереж.

Зауважте, що це також впливає на аудіо-відео: оскільки створено нове зловмисне програмне забезпечення, розповсюджується зловмисне програмне забезпечення, зразок передається вашій AV-компанії, компанія AV-аналіз аналізує, компанія AV випускає новий підпис, ви оновлюєте підпис, ви нібито "безпечні", повторіть цикл. Ще є вікно, де воно автоматично поширюється перед тим, як вас "прищеплюють".

В ідеалі ви можете просто запустити щось, що перевіряє зміни файлів і попереджає вас, як-от TripWire або подібний функціонал, і зберігати журнали на іншій машині, яка є ізольованою від використання, тому якщо система порушена, журнали не змінюються. Проблема полягає в тому, що як тільки файл буде виявлений як новий або змінений, ви вже заражені, і коли ви заразилися або зловмисник, вже пізно, щоб повірити, що машина не мала інших змін. Якщо хтось зламав систему, він міг змінити інші файли.

Тоді стає питання про те, чи довіряєте ви контрольним сумам та журналам вторгнень хостів та власним навичкам, що ви очистили все, включаючи руткіти та файли альтернативного потоку даних, які, можливо, там? Або ви робите «найкращі практики» та витираєте та відновлюєте їх із резервного копіювання, оскільки журнали про вторгнення повинні принаймні повідомляти про те, коли це сталося?

Будь-яка система, підключена до Інтернету, яка працює з послугою, може використовуватися потенційно. Якщо у вас є система, підключена до Інтернету, але насправді не працює з будь-якими службами, я б сказав, що ви, швидше за все, в безпеці. Веб-сервери не підпадають під цю категорію :-)

Барт Сільверстрім
джерело
0

Так, завжди. Цитуючи свою відповідь від суперпользователя :

Якщо він підключений до будь-яких машин, які можуть бути підключені до Інтернету, то абсолютно так.

Є багато варіантів. Хоча мені особисто не подобається Макфей чи Нортон, вони там. Є також AVG , F-Secure , ClamAV (хоча порт win32 вже не активний), і я впевнений, що ще сотні :)

Майкрософт навіть працював над одним - я не знаю, чи він ще доступний поза бета-версією, але він існує.

ClamWin , згаданий @ J Pablo .

Уоррен
джерело
2
Дякую за вашу відповідь, але .. це не будь-який сервер Windows, це веб-сервер, тому продуктивність тут має надзвичайно важливе значення. Зауважте, що антивірусне програмне забезпечення буде сканувати кожен доступ до файлу, тобто. будь-який файл, запитуваний відвідувачем. Мені потрібна вагома причина встановити антивірус і ризикувати виникненням проблем із продуктивністю, окрім лише інструкцій щодо безпеки комп'ютерів загалом.
Mee
він не скануватиме всі файли, до яких звертається, якщо їх правильно налаштувати - і немає ніякої причини для цього сканувати файли під час доступу, коли вони подаються - лише для атак тощо
warren
1
@ unknown-Performance має надзвичайно важливе значення на веб-сервері? Щодо того, я б запропонував, що якщо ви настільки низькі на доступних накладних витратах, що стискання декількох циклів процесора для сканування файлів вплине на досвід кінцевого користувача через мережу, у вас може виникнути ще одна проблема щодо способу встановлення програми вгору
Барт Сільверстрім
@warren, я знаю, що ви можете виключити будь-які каталоги, які ви хочете, від сканування доступу, але в цьому випадку який сенс встановлювати AV насамперед? Я маю на увазі, якщо користувачі все ще зможуть завантажувати файли, не скануючись, тоді в цьому випадку немає сенсу запускати AV на сервері.
Mee
2
@Bart, що стосується антивірусного програмного забезпечення, що потребує декількох циклів процесора для сканування файлів, вони сповільнюють ваш власний персональний комп’ютер, який використовується лише вами, і що ви очікуєте від веб-сервера, до якого звертаються сотні чи тисячі людей?
Mee
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.