clamav - gute Idee auf alter Hardware?

[MarroniJohny]

Hi

Habe eine 10 Gbit Anbindung und eine OPNsense mit einer E3-1281 v3, 32 GB ECC 1333 DDR3, drei X540 und eine Quad NIC. Hatte eine zeitlang IDS und alles am laufen, das hat mich aber ausgebremst. Jetzt ohne IDS kriege ich so um die 7/5.5. Dürfte in etwa das sein, was der Provider her gibt.

Nun dachte ich, vielleicht installiere ich clamav. Habe eine relativ komplexe Konfiguration mit einer überschaubaren Anzahl an Geräten, wo ich eigentlich nicht viel experimentieren möchte. Ist das mit clamav easy einzurichten, und vor allem wieder problemlos rückbaubar?

An der Sense hängen atm zwei dicke ESXi, ein R Pi und 2 Windows Desktops. Mit diversen Netzwerken/VLANs. Bislang ohne Switch leider.

Auf den Servern läuft eine Gaming Community, Plesk mit e-mail, je ein NFS Filer für die VMs, NAS, zabbix, VoIP, sowas in der Art.

Probieren, oder besser bleiben lassen? Ist mehr so ein willhaben Ding. Aber wenn es mich ausbremst, dann lieber nicht.

Gruss und danke

[Patrick M. Hausen]

Was willst du denn mit dem ClamAV tun? So alleine macht der ja überhaupt nichts. Den kann man in den Email-Relay (postfix) einbinden, oder in den HTTP-Proxy (squid). Damit irgendwas, was durch die Sense durchgeht, auf Viren geprüft wird, musst du dann alle Systeme zwingen, den Proxy zu benutzen.

Ich tu mir sowas nicht mehr an. Web-Proxy ist tot.

[MarroniJohny]

Danke. Ja dachte vor allem an http/https Proxy. Der Mailserver macht nicht wirklich viel, produktiv e-mail ist eh extern. Und die beiden Plesk haben eh schon Virenschutz onboard.

Dachte vielleicht bringt es mir trotzdem was, weil klicke grundsätzlich auf jeden Link und Anhang. Wobei der e-mail/Office Client läuft eh unter Linux.

Kannst Du was dazu sagen, wie das mit der Performance aussieht? Und ob ich das ohne Probleme zurück bauen kann, sollte es für mich nicht passen? Geht eigentlich mehr um den Spieltrieb. Aber wenn Du meinst, nicht wirklich sinnvoll, lasse ich das gleich von Anfang an.

[Patrick M. Hausen]

Entweder du konfigurierst bei jedem Client den Proxy explizit. Ist halt Aufwand. Für Windows-Domänen gibts da wohl irgendwas namens proxy.pac oder ähnlich. Also: funktioniert aber nervt. Ist in manchen Großunternehmen vielleicht sinnvoll, kann man ja auch per Group Policy ausrollen.

Ich bin in der Situation, dass ich weder zuhause noch in der Firma Windows-Desktops habe. Wir sind ja nicht blöd :-) Unsere Mitarbeiter*innen haben alle Macs.

Willst du einen transparenten Proxy, bei dem der Client nicht merkt, dass da ein Proxy dazwischen ist, dann musst du eine Certification Authority aufsetzen und bei jedem Client als vertrauenswürdig installieren. Wieder Advantage Grossunternehmen - kannst du über die Windows-Domain und Group Policies ausrollen.

Dann generiert der Proxy für jede HTTPS-Anfrage on the fly ein Zertifikat, also z.B. für https://meinebank.de, und dein Client akzeptiert das, weil er ja die CA intus hat. Das muss zwangsläufig so sein, sonst kannst du ja in eine HTTPS-Verbindung nicht reingucken und nach Malware suchen.

Und heutzutage ist praktisch alles HTTPS.

Und dann kommen halt modernere TLS-Standards ins Spiel wie Certificate Pinning.

Da treffen sich weltweit Kryptologen der Top-Liga und tun alles, was möglich ist, damit man TLS-Verbindungen vom Client zum Server nicht aufbrechen kann, und irgendwelche Administratoren meinen "ich will aber, weil!".

TLS per Man in the Middle aufbrechen ist eine Scheiß-Idee. Virencheck von HTTPS auf der Firewall ist unmöglich. Das ist sinnvoll und richtig so - das ist die Idee von HTTPS. Ein sicherer Kanal von deinem Browser zum Server deiner Bank.

Isso.
Patrick

[MarroniJohny]

Okay, danke für Deine Einschätzung. Dann lass ich das so wie es ist.