Transcription
(unter Linux)Sicherheitstage SS 2006Hergen ionales Rechenzentrum für NiedersachsenUniversität Hannover
SAV für Linux:4.05.xSophos SAV:6.0 für WindowsAnkündigungenRegionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 2Universität Hannover
SAV für Linux:Überblick erkennt Viren etc., die für Windows oder MacOS sind nur x86-Plattform (64-Bit ab Version 5)Einsatzszenarien File-Server (Samba) Mail-Storage Web-Server, der Binaries/MS-Office-Dateien/PDFs bereitstelltScanning von Medien: USB-Stick (z.B. vor Versendung per Mail)Scanning vor dem CD-Brennen nach Software-Download Windows-Partition aus sauberem System (z.B. Boot-CD) Regionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 4Universität Hannover
SAV für Linux: 4.0FunktionenSweep Erkennung von Windows- & MacOS-Malware nur Kommandozeilen-Tool,Aufruf z.B. als cron-Job Auto-Update (Signaturen & Engine)Intercheck ermöglicht zentrale Auswertung von verschiedenen Hosts müsste manuell konfiguriert werden Verwendung unnötig, insb. mit SAV 4.0 zweifelhaftRegionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 5Universität Hannover
SAV für Linux: 4.0Installationuh-sauWie bisheriges sau.exe, nur für Linux: uh-saulin.tar.gz-Datei uh-saulin *.deb-Datei für Debian/Ubuntu-Systeme .rpm-Datei: nehmen wir gerne auf . . .manuell Sophospaket linux.intel.libc6.glibc.2.2.tar.Z installieren entpacken mit uncompress, meist auch gunzip; tarausführen von sav-install/install.shErstellen von /etc/eminstall.conf,Dokumentation in sav-intsall/eminstall.txtRegionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 6Universität Hannover
SAV für Linux: 4.0Pfade in UH-SAU-Paket /usr/local/bin lib man: wie üblich /var/local/cache/Sophos: SAU-Downloadbereich /var/local/lib/Sophos: Engine, Signaturen /etc/eminstall.conf: SAU-KonfigurationDebian-Paket nicht standardkonform (z.B. /usr/local/-Pfade) legt Cron-Job für Auto-Update an Auto-Update/Vollinstallation direkt nach Paketinstallation Installation mit dpkg -i uh-saulin *.deb läuft als User root (schwer änderbar)Regionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 7Universität Hannover
SAV für Linux: 5.xneue Funktionen etc. on-access-scanning Web-Interface Standardsupport für Redhat, Suse, Turbolinux,aber auch sonst einsetzbar (z.B. problemlos unter Debian) Integration in Enterprise-Manager/Enterprise-ConsoleRegionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 8Universität Hannover
SAV für Linux: 5.xon-access-scanning benötigt Kernel-Module „binary packs for supported kernels“ (gewisse Distributionen)vom Installer compilierte für andere Kernels,Kernel-Sourcen und gcc müssen installiert sein aus Doku „talpa“-Technik (passt sich automatisch evt. ohne SupportauskunftNeukompilierung an neue Kernels an) optionale Komponente (ohne heißt keine Kernel-Abhängigkeit)installierbar sein.Obige Aussagen scheinen widersprüchlich, bisher unklar. Tests auf Systemohne gcc/Kernel-Sourcen stehen aus . . .Auf Debian-System mit Kernel-Updates (Kernel-Sourcen: nein; gcc: ja)bisher keine Probleme, automatische Anpassung ist erfolgt.Regionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 9Universität Hannover
SAV für Linux: 5.xUser-InterfaceCommandline Scannen mit savscan manuelles Update mit /opt/sophos-av/bin/savupdate unklar: Konfiguration auch ohne Web-GUI?Web-Interface optionale Komponente lokaler Webserver (normalerweise Port 8081),Authentifizierung nötig dient eigentlich nur der Konfiguration & Log-AnsichtRegionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 10Universität Hannover
SAV für Linux: 5.x standardmäßig saubere Installation nach /opt/sophos-av,symbolische Links für Commandline-Tools nach/usr/local/* wohl gewisse Rechtetrennung (neben root auch sophosav) teilweise python-basiert, Python 2.4 nötig(zumindest wohl fürs Web-Frontend)RRZN ist noch in der Testphase.Regionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 11Universität Hannover
Sophos SAV: 6.0 für Windowsneue Funktionen Support für 64-Bit zunehmend Signaturen für Virenfamilien („GenoType“) Informationen zum Scannen gepackter Viren nicht in Enginesondern in Signatur-Dateien Removal (z.B. auch von Registry-Einträgen; für zunächstneue/wichtige Viren) Erkennung von Adware, Dialern Verbot bzw. nötige Genehmigung gewisser fragwürdigerApplikationen Personal-Firewall (Lizenznahme durch UH/RRZN nochunklar)Regionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 13Universität Hannover
Sophos SAV: 6.0 für WindowsUmstellung Windows-ClientsSophos Support derzeit für 4.0 nur noch Signatur-Updates Support für 4.0 endet 02/2007RRZN & UH Engine-Download endet 07/2006 Support endet 11/2006 Neuinstallationen demnächst mit 6.0 möglich,nach Testphase zwingend für Neuinstallationen automatische Client-Umstellung von 5 auf 6 per Auto-UpdateRegionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 14Universität Hannover
Sophos SAV: AnkündigungenWeb-Adressen / TestsDirekt-DownloadDie Programmpakete sind innerhalb der Universität auch ohneWebbrowser aus dem Sophos-Downloadbereich direkt downloadbar(für automatische Installationen etc.), OS/uh-sauxp.exeZugriffstest für SAUFunktioniert das Auto-Update nicht, testen Sie zunächst dieVerbindung mittels Webbrowser okay lokales Problem mit Sophos oder Personal-FirewallFehler Netzwerkverbindung, Personal-Firewall, RRZN-Server ?Regionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 15Universität Hannover
Sophos SAV: AnkündigungenSophos Support für NT 4.0 nur noch bis Ende 2008 langfristig Support für Legacy-Netware derzeit unklar Support für Windows-Mobile (PDA, Phones) verhaltensbasierte Rootkiterkennung, RootkitentfernungRRZN demnächst Knoppicillin in UH-Variante mit Sophos evt. vorkonfigurierte, tagesaktuelle Offsite-Installer evt. Übergang von MailMonitor auf Puremessage (beiInstitutsinstallationen)Regionales Rechenzentrum für NiedersachsenHergen Harnisch Sophos 16.06.2006 Folie 16Universität Hannover
SAV für Linux: 4.0 5.x Sophos SAV: 6.0 für Windows Ankündigungen Regionales Rechenzentrum für Niedersachsen Hergen Harnisch Sophos 16.06.2006 Folie 2 Universit at Hannover. SAV für Linux: Überblick erkennt Viren etc., die für Windows oder MacOS sind nur x86-Plattform (64-Bit ab Version 5)
