Moin, ;) Dirk Schneider scribbled on 20.01.2005 08:34:
Torsten E. schrieb:
N'Abend,
N' Morgen! ;-)
Nur frage ich mich, ob DG nicht auch eine Funktion hat wie bspw. vioralator: Dateianhänge mit einer AV Engine zu überprüfen.
Verstehe jetzt nicht ganz, was Du mit "Dateianhängen" bei http-Streams meinst. Es sind ja keine EMails, die von DG gescannt werden. Meinst Du "embedded objects" und Downloads?
Nein. Ich meine bspw. zip Dateien, welche aus dem Internet heruntergeladen werden - und da verdutzte es mich, daß darüber offenbar nichts geloggt wird ... Die Datei /etc/dansguardian/bannedextensionlist listet alle nicht erlaubten Dateitypen nach ihren Extensionen auf. Steht dort bspw. der Eintrag: .tgz # Unix compressed file drin (ist per default so), so ist ein herunterladen von Archivdateien des Typs .tgz nicht möglich. Ist dieser Eintrag aber nicht vorhanden, so ist das herunterladen möglich. Soweit, sogut ... allerdings bietet der squid Zusatz viralator bspw. auch die Möglichkeit, herunterzuladende Dateien auf Viren zu überprüfen - und eben dies scheint DG nicht zu tun, denn wenn ich den o. g. Eintrag in .tgz /etc/dansguardian/bannedextensionlist deaktiviere, wird laut Protokolldatei /var/log/dansguardian/access.log die Datei ohne jede Überprüfung heruntergeladen (zumindest gibt es über einen Scan keinen Eintrag in /var/log/dansguardian/access.log). Zum Testen habe ich bspw. die aktuelle AV-Definitionen von Symantec (http://definitions.symantec.com/defs/20050119-017-i32.exe) heruntergeladen (.exe ist gestattet). Ins Logfile wurde von DG eingetragen: 2005.1.20 8:51:21 - 192.168.10.100 http://www.symantec.com/index.htm *SCANNED* GET 28458 2005.1.20 8:51:21 - 192.168.10.100 http://www.symantec.com/gglobal.css *SCANNED* GET 4007 2005.1.20 8:51:25 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/download.html *SCANNED* GET 8610 2005.1.20 8:51:25 - 192.168.10.100 http://securityresponse.symantec.com/techsupp/service.css *SCANNED* GET 3276 2005.1.20 8:51:25 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/new.sarc.style.css *SCANNED* GET 1129 2005.1.20 8:51:26 - 192.168.10.100 http://securityresponse.symantec.com/sabu/style.css *SCANNED* GET 398 2005.1.20 8:51:37 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/defs.download.html *SCANNED* GET 10684 2005.1.20 8:51:44 - 192.168.10.100 http://securityresponse.symantec.com/avcenter/download/pages/DE-N95.html *SCANNED* GET 16892 2005.1.20 8:51:44 - 192.168.10.100 http://www.symantec.com/techsupp/service.css *SCANNED* GET 3276 Es wird nichts bzgl. der heruntergeladenen Datei geloggt ...
Gefunden habe ich lediglich eine Liste namens 'bannedextensionlist', in welcher all jene Extensionen aufgeführt sind, welche nicht zulässig sind
Diese Datei bezieht sich auf's "content filtering", und das hat erstmal nichts mit dem Virenscan zu tun - das sind 2 verschiedene Dinge. Bei uns z.B. ist's "content filtering" komplett abgeschaltet.
Was wir benutzen ist die Virenscan-Funktion von DG. Und die schaltest Du mit der Option
virusscan = on
Habe ich ebenfalls. Plus: virusengine = 'clamav' tricklelength = -1 firsttrickledelay = 30 followingtrickledelay = 60 maxcontentscansize = 0 etc.
in der "dansguardian.conf" ein (die "virusscanner.conf" muss natürlich an Deine Gegebenheiten angepasst werden). Dann kommen die Listen
exceptionvirusextensionlist exceptionvirusmimetypelist
Yep.
zum Einsatz. Dateitypen, die dort aufgeführt sind, werden - wie die Namen dieser Dateien schon sagen - nicht auf Viren geprüft.
So hatte ich es auch verstanden. Mich verwundert halt nur, daß kein entsprechender Eintrag ins Logfile gemacht wird - und daraus resultierte nun einmal die Frage, ob überhaupt herunterzuladende Dateien überprüft werden.
Grüße Dirk
Danke Dir! :) -- Gruß Torsten