DansGuardian-Virus unter SuSE 9.2
N'Abend, habe mich heute abend mal den DansGuardian angenommen. Er läuft auch einwandfrei (RPM erstellt) in Verbindung mit ClamAV, da gibt es (bis jetzt) kein Problem. Nur frage ich mich, ob DG nicht auch eine Funktion hat wie bspw. vioralator: Dateianhänge mit einer AV Engine zu überprüfen. Gefunden habe ich lediglich eine Liste namens 'bannedextensionlist', in welcher all jene Extensionen aufgeführt sind, welche nicht zulässig sind (sie werden gesperrt). Ist eine Extension nicht in dieser Liste, so ist sie generell gestattet ... aber es findet dann halt offenbar keine Überprüfung mehr statt. Habe ich etwas übersehen oder mißverstanden? Hat da jemand eine Idee? -- Danke & Gruß Torsten
Torsten E. schrieb:
N'Abend,
N' Morgen! ;-)
Nur frage ich mich, ob DG nicht auch eine Funktion hat wie bspw. vioralator: Dateianhänge mit einer AV Engine zu überprüfen.
Verstehe jetzt nicht ganz, was Du mit "Dateianhängen" bei http-Streams meinst. Es sind ja keine EMails, die von DG gescannt werden. Meinst Du "embedded objects" und Downloads?
Gefunden habe ich lediglich eine Liste namens 'bannedextensionlist', in welcher all jene Extensionen aufgeführt sind, welche nicht zulässig sind
Diese Datei bezieht sich auf's "content filtering", und das hat erstmal nichts mit dem Virenscan zu tun - das sind 2 verschiedene Dinge. Bei uns z.B. ist's "content filtering" komplett abgeschaltet. Was wir benutzen ist die Virenscan-Funktion von DG. Und die schaltest Du mit der Option virusscan = on in der "dansguardian.conf" ein (die "virusscanner.conf" muss natürlich an Deine Gegebenheiten angepasst werden). Dann kommen die Listen exceptionvirusextensionlist exceptionvirusmimetypelist zum Einsatz. Dateitypen, die dort aufgeführt sind, werden - wie die Namen dieser Dateien schon sagen - nicht auf Viren geprüft. Grüße Dirk
Moin, ;) Dirk Schneider scribbled on 20.01.2005 08:34:
Torsten E. schrieb:
N'Abend,
N' Morgen! ;-)
Nur frage ich mich, ob DG nicht auch eine Funktion hat wie bspw. vioralator: Dateianhänge mit einer AV Engine zu überprüfen.
Verstehe jetzt nicht ganz, was Du mit "Dateianhängen" bei http-Streams meinst. Es sind ja keine EMails, die von DG gescannt werden. Meinst Du "embedded objects" und Downloads?
Nein. Ich meine bspw. zip Dateien, welche aus dem Internet heruntergeladen werden - und da verdutzte es mich, daß darüber offenbar nichts geloggt wird ... Die Datei /etc/dansguardian/bannedextensionlist listet alle nicht erlaubten Dateitypen nach ihren Extensionen auf. Steht dort bspw. der Eintrag: .tgz # Unix compressed file drin (ist per default so), so ist ein herunterladen von Archivdateien des Typs .tgz nicht möglich. Ist dieser Eintrag aber nicht vorhanden, so ist das herunterladen möglich. Soweit, sogut ... allerdings bietet der squid Zusatz viralator bspw. auch die Möglichkeit, herunterzuladende Dateien auf Viren zu überprüfen - und eben dies scheint DG nicht zu tun, denn wenn ich den o. g. Eintrag in .tgz /etc/dansguardian/bannedextensionlist deaktiviere, wird laut Protokolldatei /var/log/dansguardian/access.log die Datei ohne jede Überprüfung heruntergeladen (zumindest gibt es über einen Scan keinen Eintrag in /var/log/dansguardian/access.log). Zum Testen habe ich bspw. die aktuelle AV-Definitionen von Symantec (http://definitions.symantec.com/defs/20050119-017-i32.exe) heruntergeladen (.exe ist gestattet). Ins Logfile wurde von DG eingetragen: 2005.1.20 8:51:21 - 192.168.10.100 http://www.symantec.com/index.htm *SCANNED* GET 28458 2005.1.20 8:51:21 - 192.168.10.100 http://www.symantec.com/gglobal.css *SCANNED* GET 4007 2005.1.20 8:51:25 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/download.html *SCANNED* GET 8610 2005.1.20 8:51:25 - 192.168.10.100 http://securityresponse.symantec.com/techsupp/service.css *SCANNED* GET 3276 2005.1.20 8:51:25 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/new.sarc.style.css *SCANNED* GET 1129 2005.1.20 8:51:26 - 192.168.10.100 http://securityresponse.symantec.com/sabu/style.css *SCANNED* GET 398 2005.1.20 8:51:37 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/defs.download.html *SCANNED* GET 10684 2005.1.20 8:51:44 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/download/pages/DE-N95.html *SCANNED* GET 16892 2005.1.20 8:51:44 - 192.168.10.100 http://www.symantec.com/techsupp/service.css *SCANNED* GET 3276 Es wird nichts bzgl. der heruntergeladenen Datei geloggt ...
Gefunden habe ich lediglich eine Liste namens 'bannedextensionlist', in welcher all jene Extensionen aufgeführt sind, welche nicht zulässig sind
Diese Datei bezieht sich auf's "content filtering", und das hat erstmal nichts mit dem Virenscan zu tun - das sind 2 verschiedene Dinge. Bei uns z.B. ist's "content filtering" komplett abgeschaltet.
Was wir benutzen ist die Virenscan-Funktion von DG. Und die schaltest Du mit der Option
virusscan = on
Habe ich ebenfalls. Plus: virusengine = 'clamav' tricklelength = -1 firsttrickledelay = 30 followingtrickledelay = 60 maxcontentscansize = 0 etc.
in der "dansguardian.conf" ein (die "virusscanner.conf" muss natürlich an Deine Gegebenheiten angepasst werden). Dann kommen die Listen
exceptionvirusextensionlist exceptionvirusmimetypelist
Yep.
zum Einsatz. Dateitypen, die dort aufgeführt sind, werden - wie die Namen dieser Dateien schon sagen - nicht auf Viren geprüft.
So hatte ich es auch verstanden. Mich verwundert halt nur, daß kein entsprechender Eintrag ins Logfile gemacht wird - und daraus resultierte nun einmal die Frage, ob überhaupt herunterzuladende Dateien überprüft werden.
Grüße Dirk
Danke Dir! :) -- Gruß Torsten
Meinst Du "embedded objects" und Downloads? Nein. Ich meine bspw. zip Dateien, welche aus dem Internet heruntergeladen werden
Also, ich nenne sowas "Download" ... ;-)
Die Datei /etc/dansguardian/bannedextensionlist listet alle nicht erlaubten Dateitypen nach ihren Extensionen auf. Steht dort bspw. der Eintrag: .tgz # Unix compressed file drin (ist per default so), so ist ein herunterladen von Archivdateien des Typs .tgz nicht möglich. Ist dieser Eintrag aber nicht vorhanden, so ist das herunterladen möglich.
Ja, klar. Aber das ist "_content_ filtering", und _nicht_ "_virus_ scanning".
Soweit, sogut ... allerdings bietet der squid Zusatz viralator bspw. auch die Möglichkeit, herunterzuladende Dateien auf Viren zu überprüfen - und eben dies scheint DG nicht zu tun, denn wenn ich den o. g. Eintrag in .tgz /etc/dansguardian/bannedextensionlist deaktiviere, wird laut Protokolldatei /var/log/dansguardian/access.log die Datei ohne jede Überprüfung heruntergeladen (zumindest gibt es über einen Scan keinen Eintrag in /var/log/dansguardian/access.log).
Nochmal: Wir haben das "_content_ filtering" komplett abgeschaltet. Und trotzdem werden Download-Dateien nach _Viren_ gescannt. Das eine (Content) hat mit dem anderen (Viren) erstmal nichts zu tun.
Zum Testen habe ich bspw. die aktuelle AV-Definitionen von Symantec (http://definitions.symantec.com/defs/20050119-017-i32.exe) heruntergeladen (.exe ist gestattet). [...] Es wird nichts bzgl. der heruntergeladenen Datei geloggt ...
Hab's eben mal ausprobiert. Bei uns wird's gescannt. Und auch geloggt: Scanned <...>/fileZciw10, 6201831 bytes, url http://definitions.symantec.com/defs/20050119-017-i32.exe in 0 seconds
Mich verwundert halt nur, daß kein entsprechender Eintrag ins Logfile gemacht wird - und daraus resultierte nun einmal die Frage, ob überhaupt herunterzuladende Dateien überprüft werden.
Naja, dann ist irgendwo doch noch eine Einstellung faul. Denn prinzipiell funktionieren tut's. Am besten probierste es mal mit dem eicar-File (www.eicar.com, dann das eicar-Ding runterladen). Da siehste recht schnell, ob's ausgefiltert wird, oder eben nicht. Info am Rande: Hier läuft DG-2.6.1 mit dem Virus-Patch 3.1 (SuSE 8.2). Mir scheint's, dass Du eine spätere Version benutzt, denn einige Optionen und auch die Log-Einträge sind anders als bei uns. Gruß Dirk
Dirk Schneider scribbled on 20.01.2005 10:11:
Meinst Du "embedded objects" und Downloads?
Nein. Ich meine bspw. zip Dateien, welche aus dem Internet heruntergeladen werden
Also, ich nenne sowas "Download" ... ;-)
Geschenkt ... aber ge-download-ed macht optisch eher Augenprobleme ;) [...]
Ja, klar. Aber das ist "_content_ filtering", und _nicht_ "_virus_ scanning".
Diese Trennung geht so aus der Konfigdatei nicht hervor ... aber s. u. [...]
Nochmal: Wir haben das "_content_ filtering" komplett abgeschaltet. Und trotzdem werden Download-Dateien nach _Viren_ gescannt. Das eine (Content) hat mit dem anderen (Viren) erstmal nichts zu tun.
Das kann ich nun bestätigen!
Zum Testen habe ich bspw. die aktuelle AV-Definitionen von Symantec (http://definitions.symantec.com/defs/20050119-017-i32.exe) heruntergeladen (.exe ist gestattet). [...] Es wird nichts bzgl. der heruntergeladenen Datei geloggt ...
Hab's eben mal ausprobiert. Bei uns wird's gescannt. Und auch geloggt:
Scanned <...>/fileZciw10, 6201831 bytes, url http://definitions.symantec.com/defs/20050119-017-i32.exe in 0 seconds
Mich verwundert halt nur, daß kein entsprechender Eintrag ins Logfile gemacht wird - und daraus resultierte nun einmal die Frage, ob überhaupt herunterzuladende Dateien überprüft werden.
Naja, dann ist irgendwo doch noch eine Einstellung faul. Denn prinzipiell funktionieren tut's.
Am besten probierste es mal mit dem eicar-File (www.eicar.com, dann das eicar-Ding runterladen). Da siehste recht schnell, ob's ausgefiltert wird, oder eben nicht.
Das war ein sehr guter Tip! Ich wußte gar nicht, daß es dort auch eine Testdatei gibt (kannte nur den automatischen Emailversanddienst). Ein download-Versuch ergab: 2005.1.20 10:22:18 - 192.168.10.100 http://www.eicar.com/anti_virus_test_file.htm *INFECTED:* GET 13632 Es werden also nur infiziert Dateien protokolliert.
Info am Rande: Hier läuft DG-2.6.1 mit dem Virus-Patch 3.1 (SuSE 8.2). Mir scheint's, dass Du eine spätere Version benutzt, denn einige Optionen und auch die Log-Einträge sind anders als bei uns.
Dansguardian 2.8.0.3 with AV patch 6.3.4 (von http://www.harvest.com.br/asp/afn/wcfp.nsf)
Gruß Dirk
Jetzt löppt et transparent ... :) -- Danke & Gruß Torsten
participants (2)
-
Dirk Schneider -
Torsten E.