DIY AV-appliance - wuerde diese Konzept funktionieren ?

#1 Idee:

Man nehme einen billigen (mini-)PC mit zwei LAN ports, linux, ram-disk. Dieser wird zwischen Modem und Router geschaltet. Aller Netzwerkverkehr wird auf die Ram-Disk zwischengespeichert und dort von einem (oder mehreren) kommerziellen, frei waehlbaren Virenscanner auf Malware ueberprueft und ggf. desinfiziert, und dann an den PC weitergeleitet.

Meine Fragen:

1) Gibt es dies bereits (i.e. Software oder Skripte die diesen Vorgang automatisieren und managen), unter Linux oder Windows ?

2) Abhaengig von der HW dieser DIY Appliance muesste dies doch eigentlich ohne groesseren Lag funktionieren, da alles im Ram ablauft ?

Danke fuer Feedback !

[/u]

#2 Das klingt fast nach einem Proxy-Verfahren. Für Linux gibt es bspw. den squid, der bspw. mit ClamAV unterstützt den gesamten Traffic aus dem Internet auf Viren untersuchen kann.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Gibt es bereits als fertige kommerzielle Produkte:
http://www.linogate.de/de/products/components/proxies.html

"Alles im RAM" zu halten ist natürlich eine schöne Idee, wird aber unrealistisch wenn 50 User gleichzeitig Megabytes an Windowsupdates oder ähnlichem runterladen. Davon abgesehen hat man natürlich trotzdem eine nicht gerade geringe Verzögerung, weil der Proxy größere Dateien erst komplett runterladen muss dann entpacken, auf Viren scannen usw. Da gehen schon mal ein paar Minuten in's Land bevor man an seine 100 MB Datei kommt.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#4 @Gool & asdrubael,

danke erst einmal fuer Eure Antworten.

Mir ist bekannt, dass es so etwas als fertige Appliances (mit den ensprechenden Kosten und/oder fehlender Flexibilitaet) gibt.

Das problem mit squid ist, dass es nur ClamAV zulaesst, der ja nicht gerade zu den besten scannern gehoert (daher meine Frage oben nach einer Loesung, die einem freie Wahl des eingesetzten Scanners gibt).

Liongate gibt es nur als fertige Appliance soweit ich weiss.

Wonach ich suche ist eine Loesung, die

a) auf von mir frei waehlbarer (x86)-Hardware laeuft, und
b) einen von mir frei waehlbaren Scanner einsetzt (daher meine Idee mit dem zwischenspeichern auf der RAM-disk -> da ist man nicht angewiesen auf stream-Scanner).

Mein Anwendungsszenario basiert auf 2-3 usern, daher muesste das mit der Performance schon hinhauen.

Gruss,

gumbo

#5

Zitat

gumbo postete
.....dass es nur ClamAV zulaesst, der ja nicht gerade zu den besten scannern gehoert (daher meine Frage oben nach einer Loesung, die einem freie Wahl des eingesetzten Scanners gibt).
....

Hello,

ich habe mal meine Suchmaschine gequält, aber diese Aussage kann ich so nicht bestätigen.
Es gab wohl mal ein paar Probleme in der Vergangenheit.
Und kein Scanner ist perfekt, mal ist der eine schneller mal der andere (im Sinne von: erkennt neue Gefahren)

Also woher hast Du diese Info?

TS

#6 Hallo TurnRStereO,

soweit ich zurueckdenken kann, hat ClamAV immer im unteren Drittel bei allen Vergleichstest abgeschnitten (siehe http://en.wikipedia.org/wiki/ClamAV). In einer der letzten c't (Februar?) war auch ein ausfuehrlicher Test, und ClamAV hat nicht gerade geglaenzt.

Oder hier: http://blogs.pcmag.com/securitywatch/Results-2008q1.htm - Platz 23 von 28 ...


Ein Scanner, der auch mit neuesten Signaturen im Schnitt nur 50% aller Malware(-kategorien) erkennt, verfehlt IMHO irgendwie 100% seinen Zweck.

Abgesehen davon, ist es schon richtig, dass die Erkennungsleistung einzelner Scanner von Jahr zu Jahr schwankt, und es daher Sinn macht, jedes Jahr den derzeit besten Scanner zu nehmen. Dies ist auch die Grundidee meiner Frage - ich moechte in der Lage sein, den Scanner zu waehlen und ggf. auszutauschen.

Besten Gruss,

Gumbo