In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

VirusScan at DESY

Werbung 
Antivirus @ DESY
Allgemeine Informationen
Installation
Konfiguration
Update und Upgrade
3/12/2004
H. Schwendicke
1
Aufbau eines Viruses
z
Installationsteil:
„
„
„
z
Reproduktionsteil:
„
z
Installiert den Virus nach seinem Aufruf im Hauptspeicher
Ev. Test, ob bereits vorhanden
Kann Funktionen zur Selbsttarnung enthalten
Anweisungen zum Kopieren (Vermehrung)
Payload (Schadensteil):
„
„
„
Muss nicht zwingend vorhanden sein
Viele Viren beschränken sich auf das Vervielfältigen und Ausbreiten
(Verlangsamung des System, Belegung von Speicherplatz usw.)
Schadfunktionen: z.B. Formatieren der Festplatte
DESY
3/12/2004
H. Schwendicke
2
Typen von Computerviren - 1
z
Systemviren (Bootviren)
„
„
z
Dateiviren
„
„
„
z
Steht im Bootsektor von Disketten + Festplatten
z.B.: Parity Familie, Delwin
Verbreiten sich über die Infektion ausführbarer Dateien
Code kann am Anfang, Ende oder in unbenutzten Bereichen stehen
z.B. Pate
Makroviren
„
„
„
„
Infizieren Dokumentdateien (Excel, Word)
Sind im ausführbaren Code (Makros) enthalten
Werden beim Öffnen eines infizierten Dokumentes aktiv
z.B. Klez, Marker, Magister, Elkern
DESY
3/12/2004
H. Schwendicke
3
Typen von Computerviren - 2
z
Trojanische Pferde
„
„
Programme, die neben der gewünschten Funktion auch noch verborgene und
unerwünschte Funktionen enthalten
Zusätzliche Funktionalität:
„
„
z
zerstörerisch
Ausspähen von Informationen
Sind nicht selbst reproduzierend, verteilen sich über Würmer
z.B.: Backdoor
Hostile Agents (“feindselige Agenten”)
„
„
„
Bedrohung über das Internet
Ausführen von unerwünschten Applets auf lokalen PCs
Applets können z.B.
„
Daten ausspionieren
Daten löschen oder verändern
Viren installieren
z.B. JS-Seeker, Hantaner
DESY
3/12/2004
H. Schwendicke
4
Typen von Computerviren - 3
z
Würmer
„
„
„
„
„
„
z
Breiten sich aus, indem sie sich selbst über Netze kopieren
Befallen das Netz als Gesamtheit
Sind nicht an ein Wirtsprogramm gebunden
Bewegen sich selbständig von Rechner zu Rechner, indem sie in den
Speicher des Rechners eindringen, dort weitere Netzwerkadressen
ermitteln und Kopien von sich selbst dahin schicken
Besonders gefährlich durch ihre hohe Ausbreitungsgeschwindigkeit
z.B. Lovesan, Bagle, Netsky, Mydoom, Funlove
Hoaxes
„
„
„
Falsche Warnmeldungen über nicht wirklich existierende Viren
Verbreitung im Internet
Ziel: Panik unter Nutzern verursachen
DESY
3/12/2004
H. Schwendicke
5
Der Warhol Wurm - Theoretischer Superwurm I
z
z
z
z
z
z
Ist der Ansatz für einen Superwurm
Andy Warhol: “In the future, everybody will have 15 minutes of fame.”
Nicholas C. Weaver (University of California) beschreibt, wie sich solch ein
Wurm innerhalb von 15 Minuten im gesamten Internet ausbreiten könnte.
Wurm muss sehr effizient neue Ziele finden, d.h. neue
Ausbreitungsmechanismen sind notwendig.
Suche nach neuen Zielen nennt man “Scannen”
Wurm generiert ein IP-Adresse und verschickt eine Kopie von sich dorthin,
vorherige Analyse des Zielsystem möglich (Dienst oder Schwachstelle)
DESY
3/12/2004
H. Schwendicke
6
Der Warhol Wurm - Theoretischer Superwurm II
z
3 Methoden des Scannens:
1.
Scannen nach Hitliste
„
„
2.
Erstellen einer Hitliste von verwundbaren Systemen (10000 bis 50000 Einträge)
Je grösser die Hitliste, desto schneller die Infektion
Zufälliges Scannen (random scanning)
„
„
„
Zufällige Auswahl von IP Adressen (keine Überprüfung, ob Systeme
infizierbar)
Guter Ausbreitungsmechanismus
Nachteile:
Systeme können mehrfach ausgewählt werden.
Keine Prüfung, ob Systeme bereits infiziert Æ Mehrfachinfektionen
Keine Garantie, dass der Wurm sich beendet, wenn alle verwundbaren Systeme
infiziert sind (unkoordiniert + unkontrollierbar für den Wurmautor)
DESY
3/12/2004
H. Schwendicke
7
Der Warhol Wurm - Theoretischer Superwurm III
3.
Permutiertes (Verteiltes) Scannen
„
„
„
„
„
„
„
„
Erkennbar, ob System schon infiziert
IP-Adressraum wird in Permutationen aufgeteilt
Jedem Wurm wird ein IP-Adressraum zugewiesen (Zufallsalgorithmus)
Jede Wurmkopie wählt einen zufälligen Startpunkt in der Permutation
Wird ein verwundbares System gefunden und infiziert, beginnt die dortige
Wurmkopie ebenfalls mit dem permutierten Scannen.
Steht hinter einer IP kein verwundbares System oder hat der Wurm ein System
infiziert, setzt er den Scan mit der nächsten Adresse fort.
Findet er ein infiziertes System, initialisiert er sich mit einem neuen Startpunkt
Vorteil:
z
IP Adressen werden nicht mehrfach gescannt Æ keine Mehrfachinfektionen
Nach einer bestimmten Anzahl von infizierten Systemen , Stopp des Scannens, weil
dann alle Systeme der Permutation infiziert sind.
Ungewiss, ob der Warhol Wurm, das in 15 Min. schaffen könnte Æ größere
Anzahl schneller Netzwerkverbindungen notwendig, als derzeit verfügbar.
DESY
3/12/2004
H. Schwendicke
8
Phasen eines Superwurms
z
Vorbereitungsphase
„
z
Aktionsphase
„
„
z
Sammeln von Informationen, wie z.B. Schwächen von Systemen oder
das Erstellen der Hitliste
Implementierung, Start und Ausbreitung
ev. Verwendung der Daten aus der Vorbereitungsphase
Nachbereitungsphase
„
„
Autor kann mit dem Wurm durch Senden von Nachrichten in
Verbindung bleiben
Ziel: Gezieltes Ausspionieren von Systemen oder Verbesserung des
Wurmcodes
DESY
3/12/2004
H. Schwendicke
9
Viren mit Superwurm- Eigenschaften
z
z
z
z
z
Code Red I
Code Red II
Nimda
Lioten
SQL Slammer/ Sapphire
„
„
Benutzt die Methode des zufälligen Scannens
Gehört zu den derzeit schnellsten Computerwürmern
DESY
3/12/2004
H. Schwendicke
10
Warum McAfee?
z
z
z
z
z
1993: Antivirenkit von GDATA (Zeuthen)
Sophos (Hamburg) und andere Virenscanner
1997: VirusScan von Network Associates (Zeuthen)
2000: Total Virus Defense (HH und Zeuthen)
Entscheidung für VirusScan (McAfee), weil
„
„
„
„
Gut managebar
Hohe Erkennungsrate
Einfach zu konfigurieren
Gute Lizenzbedingungen
DESY
3/12/2004
H. Schwendicke
11
Network Associates Active Virus Defense
Lizenzen:
2000 Knoten (für HH und ZN)
Beinhaltet:
File Server Protection (Netshield)
Desktop protection (Alle Windows Systeme)
e-mail Schutz (Groupshield)
Internet Gateway Schutz (Webshield)
auch für Solaris und Linux
McAfee Prime support – 24 Stunden, 7 Tage/ Woche
Management tools
DESY
3/12/2004
H. Schwendicke
12
Total Virus Defense
3 Tools
1. Auto Update Architect
„
„
2.
Installation Designer – VSE7.1
„
„
3.
Schaut mehrmals täglich nach Updates auf dem McAfee Server
Unterstützt verteilte Repositories
Vorkonfiguration des Installationspaketes
neues .MSI file wird erzeugt
ePolicy Orchestrator
„
„
Management Tool
Überblick, Updates, Installation
DESY
3/12/2004
H. Schwendicke
13
Installierte Versionen
DESYNT
VirusScan 4.03 (NT4)
VirusScan 4.51 (WXP, W2K)
VirusScan Enterprise V 7.1 (WXP, W2003)
WIN
VirusScan Enterprise V 7.1 (WXP, W2003)
DESY
3/12/2004
H. Schwendicke
14
Gründe für das Update
z
z
z
z
z
z
z
z
Support für die Version 4.03 wird eingestellt
Neue Scan Engine bringt Rechner zum Absturz
Supportaufwand für 3 verschiedene Versionen zu hoch
Version 4.51 schlecht managebar (Alert)
Ziel: eine Version für alle unterstützten Windows Plattformen
Version 7 läuft auf allen Windowssystemen (WS + Server)
Installation Designer für Konfiguration
Bessere Remote Konfiguration möglich
DESY
3/12/2004
H. Schwendicke
15
Overview Client Management
McAfee Installation
DESY Konfiguration
Auto Update Architect
AVS
repository
update
running av-service
on the PC
e-Policy orchestrator
DESY
3/12/2004
H. Schwendicke
16
Installation - I
●
DESYNT:
●
●
●
●
Win.desy.de:
●
●
●
●
●
NetInstall Paket unter Tools (startet die native Installation)
Samba Server: \\desyntavsh\avs\systems\VirusScan71-EN
bzw.
\\desyntavsz\avs\systems\VirusScan71-EN
S:\products\avs\systems\VirusScan71-EN
RIS
WXP Installations-CD
Samba Server
\\adavsh\avs
Workgroup
●
Samba Server
DESY
3/12/2004
H. Schwendicke
17
Installation - II
z
z
z
z
z
z
z
z
Vorkonfiguriert mit Installation Designer
stille Installation (wenn Reboot notwendig Æ Message)
Installation ins Systemlaufwerk
Alte Versionen von McAfee und andere Virenscanner werden
automatisch deinstalliert während der Installation
On Access Scanner wird nach der Installation gestartet
1. Update der Virensignaturen erfolgt unmittelbar nach der
Installation (ausser RIS und CD)
\\desyntavsh\avs Samba Server: Hamburg
\\desyntavsz\avs Samba Server: Zeuthen
„
Vorteil: Leserechte für alle (DESYNT, WIN, keine Domain)
DESY
3/12/2004
H. Schwendicke
18
Konfiguration VSE 7.1
z
z
In Absprache mit den Sicherheitsbeauftragten
allgemeine Einstellungen:
„
„
„
„
„
„
z
z
Scannen bei Zugriff
Säubern des infizierten Files, anderenfalls löschen
Scannen von Netzlaufwerken + gepackten Files
Filescan: Defaultfiles + Macroviren
Suche nach unerwünschten Programmen (Adware, Dialer, Hackertools)
Ausschluss der NetInstall Server (nur Lesen)
Update Schedule: täglich von DESYNTAVSH bzw.
DESYNTAVSZ bzw. McAfee Server
Alerting:
„
„
Popup Fenster auf dem PC
E-mail an [email protected]
DESY
3/12/2004
H. Schwendicke
19
Update Schedule
McAfee
Server ftp/http
5:00
13:00
21:00
DESY Master
Repository
6:30 -18:30
jede 2. Stunde
Update
Architect
distributed
Repository
dat
Update
Script
für Kompatibilität mit den
Versionen
V4.0.3 & V4.5.x
SaMBa-Server
Clients
DESY
3/12/2004
H. Schwendicke
20
AVS repository
Auf den Samba Servern
erlaubt guest access
Lesezugriff für alle
Å Vorkonfiguriertes Installationspaket
Å Enthält die aktuellen dat-xxxx.zip & update.ini
Å Sprachabhängige SuperDAT’s
Å Enterprise repository (dat-xxxx.zip, sitelist.xml)
DESY
3/12/2004
H. Schwendicke
21
Mail + Virenscanner
[email protected]
mailsweeper
postfix
mail.ifh.de
mail.desy.de
ntmail.desy.de
Groupshield
SpamAssassin
f5switch
User (HH oder ZN)
DESY
3/12/2004
H. Schwendicke
22
Policies – Was ist wichtig?
z
z
z
z
z
z
Flächendeckende Versorgung (Workstation + Server)
Regelmäßige Updates der Virensignaturen (täglich + bei akuten
Vorfällen sofort)
Regeln für die Bearbeitung von Vorfällen
Wer ist wofür zuständig? (Update, Virenvorfälle, Installationen)
Kontrolle der PCs auf Aktualität + Installation
Tool für Gruppenadministratoren unter s:\service\tools\avscan\
(Beschreibung + PerlScript)
„
Ausgabe von 4 Textfiles:
kein Virenscanner
nicht erreichbar
OK
Virenscanner mit Problemen
DESY
3/12/2004
H. Schwendicke
23
Hinweise zum Vermeiden von Infektionen
z
z
z
z
z
z
z
z
Virenscanner nicht deaktivieren!
Virensignaturen immer aktuell halten!
Systemupdates installieren
Suspekte E-Mails nicht öffnen, sondern gleich löschen!
Dateianhänge an E-Mails nicht öffnen, wenn schon das Subjekt
fraglich und unerwartet ist
Vorsicht beim Download von Files aus dem Internet
Nutzer sollte sich über den Schedule seines PCs informieren
Ggf. Updates von Hand durchführen
DESY
3/12/2004
H. Schwendicke
24
Besonderheiten bei der Benutzung von Notebooks
z
z
z
z
Virenscanner so konfigurieren, dass man auch unterwegs neue
Signaturfiles installieren kann (z.B. NAI)
Selbst auf die Installation neuer Signaturen achten, da
automatischer Update nicht immer möglich
Firewall Software aktivieren
Vor dem Anschluss ans Netz: Stinger Diskette benutzen!
„
„
„
http://www-it.desy.de/systems/services/security/stinger.html.de
Stinger ist kostenfrei von Network Associates (McAfee)
Scannt und beseitigt eine Vielzahl von Würmern und Viren
DESY
3/12/2004
H. Schwendicke
25
FAQ’s
z
Wie wird gescannt?
„
„
z
Warum nicht 2 Virenscanner gleichzeitig?
„
„
z
Vergleich von Mustern (Patterns), die in den Signaturfiles enthalten sind,
bevor ein File geöffnet wird
Beim Dateiexplorer schon beim Markieren
Zugriff erfolgt auf niederer Schicht im BS
Die beiden Scanner würden sich gegenseitig behindern
Warum ist das Scannen auf den Mailservern und
Windowsservern nicht ausreichend?
„
„
„
Disketten, CDs
Notebooks
Problem: Serverperformance
DESY
3/12/2004
H. Schwendicke
26
Dokumentationen
z
z
z
z
z
z
z
http://www-it.desy.de/support/services/software/virus_scanner/index.html.de
http://www.desy.de/d4/intern/Virenwarnungen.html/
http://www-it.desy.de/systems/services/security/stinger.html/
http://agn-www.informatik.uni-hamburg.de/vtc/
http://de.mcafee.com/
http://www.symantec.com/region/de/
http://www.bsi.bund.de/
DESY
3/12/2004
H. Schwendicke
27
Was ist zu tun ?
z
z
Testen des ePolicy Orchestrator – Management Tool
Zentrale Erfassung der Alarme
DESY
3/12/2004
H. Schwendicke
28
Zugehörige Unterlagen
Lebenslauf
Lebenslauf
2.7.3.Zyklotron Massenspektr
2.7.3.Zyklotron Massenspektr
Plakat - DESY
Plakat - DESY
Femtosekunden-Synchronisations- messung am Freie
Femtosekunden-Synchronisations- messung am Freie
ppt - ECAP
ppt - ECAP
Besprechung vom 2
Besprechung vom 2
Umbau des Verwaltungsgebäudes der Firma USM.
Umbau des Verwaltungsgebäudes der Firma USM.
Ein Enzym mit enger Verwandtschaft zu humanen Mono
Ein Enzym mit enger Verwandtschaft zu humanen Mono
ZEUHA SMS
ZEUHA SMS
HESS, unsere Milchstraße und die Große Magellansche Wolke
HESS, unsere Milchstraße und die Große Magellansche Wolke
Informationsblatt Server Betreuung
Informationsblatt Server Betreuung
Document
Document
Matlab-Oracle Database Tool - DESY
Matlab-Oracle Database Tool - DESY
PDF
PDF
Pressemitteilung - International Masterclasses
Pressemitteilung - International Masterclasses
ppt 1MB - Schul
ppt 1MB - Schul
Zentrale Softwareverteilung
Zentrale Softwareverteilung
Microsoft System Update Server der TU Wien ("WSUS")
Microsoft System Update Server der TU Wien ("WSUS")
Microsoft System Update Server der TU Wien ("WSUS")
Microsoft System Update Server der TU Wien ("WSUS")
Ein Enzym mit enger Verwandtschaft zu humanen
Ein Enzym mit enger Verwandtschaft zu humanen
Dokument Anleitung-Neuinstallation-Update-Agentlog von
Dokument Anleitung-Neuinstallation-Update-Agentlog von
Herunterladen
Werbung