Instal antivirus di server web, apakah ini ide yang bagus?

Saya baru saja mendapatkan server khusus dengan Windows 2008 Edisi Standar dan saya mencoba melakukan konfigurasi yang diperlukan untuk menjalankan aplikasi web saya di atasnya.

Apakah bertanya-tanya, apakah itu ide yang baik untuk menginstal antivirus di server web? Dalam aplikasi, pengguna tidak dapat mengunggah file apa pun kecuali gambar (dan mereka memeriksa gambar dalam kode aplikasi sebelum disimpan di server). Saya didorong untuk tidak menginstal antivirus agar tidak mempengaruhi kinerja atau menyebabkan masalah dengan aplikasi, apakah saya akan melewatkan sesuatu dengan melakukan ini?

Terima kasih

Server web yang dikelola dengan baik seharusnya IMHO tidak memiliki paket antivirus komersial (AV) yang diinstal. Jenis virus makro Office dan trojan pasar massal yang dioptimalkan untuk paket AV kurang cocok dengan masalah server web.

Yang harus Anda lakukan adalah:

1. Benar-benar terobsesi dengan validasi input. Contoh: bahwa pengguna tidak dapat mengunggah konten berbahaya ke situs Anda (virus, injeksi SQL dll); bahwa Anda tidak rentan terhadap serangan skrip lintas situs, dll.
2. Tetap perbaiki server Anda dengan pembaruan keamanan terbaru, dan konfigurasikan sesuai dengan praktik terbaik. Lihatlah hal-hal seperti toolkit keamanan Microsoft .
3. Memiliki firewall yang terpisah. Tidak banyak membantu Anda sehubungan dengan intrusi, tetapi menambah lapisan pertahanan terhadap layanan jaringan yang salah konfigurasi, dan membantu dengan serangan DOS sederhana. Ini juga banyak membantu dengan mengunci kemungkinan manajemen jarak jauh dll.
4. Instal sistem deteksi intrusi host (H-IDS) di server Anda, di sepanjang jalur Tripwire yang terhormat .

Ada banyak kebingungan tentang istilah, kata-kata sering digunakan dalam berbagai cara di sini. Agar lebih jelas, yang saya maksud dengan H-IDS di sini adalah:

• layanan di komputer
• yang terus-menerus memeriksa jumlah semua file yang dapat dieksekusi di komputer
• dan memberikan peringatan kapan pun file yang dapat dieksekusi telah ditambahkan atau dimodifikasi (tanpa izin).

Sebenarnya H-IDS yang baik akan melakukan sedikit lebih dari ini, seperti memantau izin file, akses Registry dll, tetapi di atas mendapatkan intinya.

Sistem deteksi intrusi host membutuhkan konfigurasi, karena dapat memberikan banyak kesalahan palsu jika tidak diatur dengan benar. Tapi begitu itu berjalan dan berjalan, itu akan menangkap lebih banyak intrusi daripada paket AV. Terutama H-IDS harus mendeteksi backdoor hacker satu-satunya, yang mungkin tidak akan terdeteksi oleh paket AV komersial.

H-IDS juga lebih ringan pada beban server, tapi itu manfaat sekunder - manfaat utama adalah tingkat deteksi yang lebih baik.

Sekarang, jika sumber dayanya terbatas; jika pilihan antara paket AV komersial dan tidak melakukan apa-apa, maka saya akan menginstal AV . Tetapi ketahuilah bahwa itu tidak ideal.

Tergantung. Jika Anda tidak mengeksekusi kode yang tidak dikenal, maka itu mungkin tidak perlu.

Jika Anda memiliki file yang terinfeksi virus, file itu sendiri tidak berbahaya saat berada di hard drive. Itu hanya akan berbahaya setelah Anda menjalankannya. Apakah Anda mengontrol semua yang dijalankan di server?

Variasi kecil adalah unggahan file. Mereka tidak berbahaya untuk server Anda - jika saya mengunggah gambar yang dimanipulasi atau .exe yang dipenuhi trojan, tidak ada yang akan terjadi (kecuali jika Anda menjalankannya). Namun, jika orang lain mengunduh file-file yang terinfeksi (atau jika gambar yang dimanipulasi digunakan pada halaman), maka PC mereka mungkin terinfeksi.

Jika situs Anda memungkinkan pengguna untuk mengunggah apa pun yang ditampilkan atau dapat diunduh untuk pengguna lain, maka Anda mungkin ingin menginstal Pemindai Virus di Server Web atau memiliki semacam "Server Pemindaian Virus" di Jaringan Anda yang memindai setiap file.

Opsi ketiga adalah menginstal Anti-Virus tetapi menonaktifkan Pemindaian Di-Akses untuk pemindaian terjadwal selama waktu-waktu yang tidak sibuk.

Dan untuk membalikkan jawaban ini sepenuhnya 180 °: Biasanya lebih baik aman daripada menyesal. Jika Anda bekerja di server web, mudah untuk secara tidak sengaja mengklik file yang buruk dan menghancurkan kekacauan. Tentu, Anda dapat terhubung ke sana ribuan kali untuk melakukan sesuatu melalui RDP tanpa menyentuh file apa pun, tetapi kali ke-1001 Anda secara tidak sengaja akan mengeksekusi exe itu dan menyesalinya, karena Anda bahkan tidak tahu pasti apa yang dilakukan oleh suatu virus (saat ini mereka mengunduh baru kode dari internet juga) dan harus melakukan forensik intensif di seluruh jaringan Anda.

Jika berbasis Windows, yang Anda katakan itu, saya akan. Saya juga akan mencoba menemukan beberapa bentuk deteksi intrusi host (sebuah program yang memonitor / mengaudit file yang berubah di server dan memberitahu Anda tentang perubahan).

Hanya karena Anda tidak mengubah file di server tidak berarti bahwa tidak ada buffer overflow atau kerentanan yang akan memungkinkan orang lain untuk mengubah file di server dari jarak jauh.

Ketika ada kerentanan fakta bahwa ada eksploit biasanya diketahui dalam rentang waktu antara penemuan dan perbaikan terdistribusi, maka ada jendela waktu sampai Anda mendapatkan perbaikan dan menerapkannya. Pada waktu itu biasanya ada beberapa bentuk exploit otomatis yang tersedia dan skrip kiddies menjalankannya untuk memperluas jaringan bot mereka.

Perhatikan bahwa ini juga memengaruhi AV sejak: malware baru dibuat, malware didistribusikan, sampel masuk ke perusahaan AV Anda, analisis perusahaan AV, perusahaan AV merilis tanda tangan baru, Anda memperbarui tanda tangan, Anda dianggap "aman", siklus berulang. Masih ada jendela di mana ia menyebar secara otomatis sebelum Anda "tidak bersalah".

Idealnya Anda bisa menjalankan sesuatu yang memeriksa perubahan file dan memberi tahu Anda, seperti Luxembire atau fungsi serupa, dan menyimpan log di komputer lain yang agak terisolasi dari penggunaan sehingga jika sistem dikompromikan log tidak diubah. Masalahnya adalah begitu file terdeteksi sebagai baru atau diubah Anda sudah terinfeksi dan begitu Anda terinfeksi atau penyusup sudah terlambat untuk percaya bahwa mesin tidak memiliki perubahan lain. Jika seseorang telah memecahkan sistem mereka bisa mengubah binari lainnya.

Maka itu menjadi pertanyaan apakah Anda mempercayai checksum dan host intrusi log dan keterampilan Anda sendiri bahwa Anda membersihkan semuanya, termasuk rootkit dan file Aliran Data Alternatif yang mungkin ada di sana? Atau apakah Anda melakukan "praktik terbaik" dan menghapus dan memulihkan dari cadangan, karena log intrusi setidaknya harus memberi tahu Anda ketika itu terjadi?

Sistem apa pun yang terhubung ke Internet yang menjalankan layanan dapat berpotensi dieksploitasi. Jika Anda memiliki sistem yang terhubung ke Internet tetapi tidak benar-benar berjalan dengan layanan apa pun, saya katakan Anda kemungkinan besar aman. Server web tidak termasuk dalam kategori ini :-)

Ya selalu. Mengutip jawaban saya dari superuser :

Jika terhubung ke mesin apa pun yang mungkin terhubung ke Internet, maka tentu saja ya.

Sudah banyak pilihan yang tersedia. Meskipun saya pribadi tidak suka McAfee atau Norton, mereka ada di luar sana. Ada juga AVG , F-Secure , ClamAV (meskipun port win32 tidak lagi aktif), dan saya yakin ratusan lagi :)

Microsoft bahkan telah bekerja pada satu - saya tidak tahu apakah itu tersedia di luar beta, tetapi memang ada.

ClamWin , disebutkan oleh @ J Pablo .