Instal antivirus di server web, apakah ini ide yang bagus?

14

Saya baru saja mendapatkan server khusus dengan Windows 2008 Edisi Standar dan saya mencoba melakukan konfigurasi yang diperlukan untuk menjalankan aplikasi web saya di atasnya.

Apakah bertanya-tanya, apakah itu ide yang baik untuk menginstal antivirus di server web? Dalam aplikasi, pengguna tidak dapat mengunggah file apa pun kecuali gambar (dan mereka memeriksa gambar dalam kode aplikasi sebelum disimpan di server). Saya didorong untuk tidak menginstal antivirus agar tidak mempengaruhi kinerja atau menyebabkan masalah dengan aplikasi, apakah saya akan melewatkan sesuatu dengan melakukan ini?

Terima kasih

windows web-server anti-virus Mee
sumber
Anda mengatakan file diperiksa sebagai gambar dalam kode aplikasi sebelum disimpan - ini akan menyiratkan kepada saya bahwa file yang diunggah berada di beberapa direktori sementara sebelum aplikasi Anda melihatnya? Dalam hal ini sudah ada di server sebelum Anda memeriksanya! Server web mana yang Anda gunakan?
Steve Folly
Sebenarnya gambar diperiksa dalam memori, mereka tidak disimpan ke folder sementara. Mereka hanya disimpan ke disk jika mereka lulus pemeriksaan di aplikasi. Saya menggunakan IIS, ini adalah aplikasi ASP.NET
Mee
Selain itu, bahkan jika Anda menyimpan file dalam folder sementara tetapi tidak merobohkannya, itu tidak akan menimbulkan masalah. Tetapi sekali lagi ini bukan masalahnya.
Mee

Jawaban:

18

Server web yang dikelola dengan baik seharusnya IMHO tidak memiliki paket antivirus komersial (AV) yang diinstal. Jenis virus makro Office dan trojan pasar massal yang dioptimalkan untuk paket AV kurang cocok dengan masalah server web.

Yang harus Anda lakukan adalah:

  1. Benar-benar terobsesi dengan validasi input. Contoh: bahwa pengguna tidak dapat mengunggah konten berbahaya ke situs Anda (virus, injeksi SQL dll); bahwa Anda tidak rentan terhadap serangan skrip lintas situs, dll.
  2. Tetap perbaiki server Anda dengan pembaruan keamanan terbaru, dan konfigurasikan sesuai dengan praktik terbaik. Lihatlah hal-hal seperti toolkit keamanan Microsoft .
  3. Memiliki firewall yang terpisah. Tidak banyak membantu Anda sehubungan dengan intrusi, tetapi menambah lapisan pertahanan terhadap layanan jaringan yang salah konfigurasi, dan membantu dengan serangan DOS sederhana. Ini juga banyak membantu dengan mengunci kemungkinan manajemen jarak jauh dll.
  4. Instal sistem deteksi intrusi host (H-IDS) di server Anda, di sepanjang jalur Tripwire yang terhormat .

Ada banyak kebingungan tentang istilah, kata-kata sering digunakan dalam berbagai cara di sini. Agar lebih jelas, yang saya maksud dengan H-IDS di sini adalah:

  • layanan di komputer
  • yang terus-menerus memeriksa jumlah semua file yang dapat dieksekusi di komputer
  • dan memberikan peringatan kapan pun file yang dapat dieksekusi telah ditambahkan atau dimodifikasi (tanpa izin).

Sebenarnya H-IDS yang baik akan melakukan sedikit lebih dari ini, seperti memantau izin file, akses Registry dll, tetapi di atas mendapatkan intinya.

Sistem deteksi intrusi host membutuhkan konfigurasi, karena dapat memberikan banyak kesalahan palsu jika tidak diatur dengan benar. Tapi begitu itu berjalan dan berjalan, itu akan menangkap lebih banyak intrusi daripada paket AV. Terutama H-IDS harus mendeteksi backdoor hacker satu-satunya, yang mungkin tidak akan terdeteksi oleh paket AV komersial.

H-IDS juga lebih ringan pada beban server, tapi itu manfaat sekunder - manfaat utama adalah tingkat deteksi yang lebih baik.

Sekarang, jika sumber dayanya terbatas; jika pilihan antara paket AV komersial dan tidak melakukan apa-apa, maka saya akan menginstal AV . Tetapi ketahuilah bahwa itu tidak ideal.

Jesper M
sumber
Terima kasih. Saya tidak benar-benar merasa terdorong untuk menginstal AV tetapi ini adalah pertama kalinya untuk mengelola server web, saya khawatir mungkin ada sesuatu yang saya lewatkan. Saya pikir saya akan lebih baik tanpa AV. Saya hanya akan mencoba untuk lebih berhati-hati dengan apa yang saya jalankan di server.
Mee
1

Tergantung. Jika Anda tidak mengeksekusi kode yang tidak dikenal, maka itu mungkin tidak perlu.

Jika Anda memiliki file yang terinfeksi virus, file itu sendiri tidak berbahaya saat berada di hard drive. Itu hanya akan berbahaya setelah Anda menjalankannya. Apakah Anda mengontrol semua yang dijalankan di server?

Variasi kecil adalah unggahan file. Mereka tidak berbahaya untuk server Anda - jika saya mengunggah gambar yang dimanipulasi atau .exe yang dipenuhi trojan, tidak ada yang akan terjadi (kecuali jika Anda menjalankannya). Namun, jika orang lain mengunduh file-file yang terinfeksi (atau jika gambar yang dimanipulasi digunakan pada halaman), maka PC mereka mungkin terinfeksi.

Jika situs Anda memungkinkan pengguna untuk mengunggah apa pun yang ditampilkan atau dapat diunduh untuk pengguna lain, maka Anda mungkin ingin menginstal Pemindai Virus di Server Web atau memiliki semacam "Server Pemindaian Virus" di Jaringan Anda yang memindai setiap file.

Opsi ketiga adalah menginstal Anti-Virus tetapi menonaktifkan Pemindaian Di-Akses untuk pemindaian terjadwal selama waktu-waktu yang tidak sibuk.

Dan untuk membalikkan jawaban ini sepenuhnya 180 °: Biasanya lebih baik aman daripada menyesal. Jika Anda bekerja di server web, mudah untuk secara tidak sengaja mengklik file yang buruk dan menghancurkan kekacauan. Tentu, Anda dapat terhubung ke sana ribuan kali untuk melakukan sesuatu melalui RDP tanpa menyentuh file apa pun, tetapi kali ke-1001 Anda secara tidak sengaja akan mengeksekusi exe itu dan menyesalinya, karena Anda bahkan tidak tahu pasti apa yang dilakukan oleh suatu virus (saat ini mereka mengunduh baru kode dari internet juga) dan harus melakukan forensik intensif di seluruh jaringan Anda.

Michael Stum
sumber
Terima kasih banyak, jawaban bagus lain yang menegaskan bahwa saya dapat melakukannya tanpa AV.
Mee
1

Jika berbasis Windows, yang Anda katakan itu, saya akan. Saya juga akan mencoba menemukan beberapa bentuk deteksi intrusi host (sebuah program yang memonitor / mengaudit file yang berubah di server dan memberitahu Anda tentang perubahan).

Hanya karena Anda tidak mengubah file di server tidak berarti bahwa tidak ada buffer overflow atau kerentanan yang akan memungkinkan orang lain untuk mengubah file di server dari jarak jauh.

Ketika ada kerentanan fakta bahwa ada eksploit biasanya diketahui dalam rentang waktu antara penemuan dan perbaikan terdistribusi, maka ada jendela waktu sampai Anda mendapatkan perbaikan dan menerapkannya. Pada waktu itu biasanya ada beberapa bentuk exploit otomatis yang tersedia dan skrip kiddies menjalankannya untuk memperluas jaringan bot mereka.

Perhatikan bahwa ini juga memengaruhi AV sejak: malware baru dibuat, malware didistribusikan, sampel masuk ke perusahaan AV Anda, analisis perusahaan AV, perusahaan AV merilis tanda tangan baru, Anda memperbarui tanda tangan, Anda dianggap "aman", siklus berulang. Masih ada jendela di mana ia menyebar secara otomatis sebelum Anda "tidak bersalah".

Idealnya Anda bisa menjalankan sesuatu yang memeriksa perubahan file dan memberi tahu Anda, seperti Luxembire atau fungsi serupa, dan menyimpan log di komputer lain yang agak terisolasi dari penggunaan sehingga jika sistem dikompromikan log tidak diubah. Masalahnya adalah begitu file terdeteksi sebagai baru atau diubah Anda sudah terinfeksi dan begitu Anda terinfeksi atau penyusup sudah terlambat untuk percaya bahwa mesin tidak memiliki perubahan lain. Jika seseorang telah memecahkan sistem mereka bisa mengubah binari lainnya.

Maka itu menjadi pertanyaan apakah Anda mempercayai checksum dan host intrusi log dan keterampilan Anda sendiri bahwa Anda membersihkan semuanya, termasuk rootkit dan file Aliran Data Alternatif yang mungkin ada di sana? Atau apakah Anda melakukan "praktik terbaik" dan menghapus dan memulihkan dari cadangan, karena log intrusi setidaknya harus memberi tahu Anda ketika itu terjadi?

Sistem apa pun yang terhubung ke Internet yang menjalankan layanan dapat berpotensi dieksploitasi. Jika Anda memiliki sistem yang terhubung ke Internet tetapi tidak benar-benar berjalan dengan layanan apa pun, saya katakan Anda kemungkinan besar aman. Server web tidak termasuk dalam kategori ini :-)

Bart Silverstrim
sumber
0

Ya selalu. Mengutip jawaban saya dari superuser :

Jika terhubung ke mesin apa pun yang mungkin terhubung ke Internet, maka tentu saja ya.

Sudah banyak pilihan yang tersedia. Meskipun saya pribadi tidak suka McAfee atau Norton, mereka ada di luar sana. Ada juga AVG , F-Secure , ClamAV (meskipun port win32 tidak lagi aktif), dan saya yakin ratusan lagi :)

Microsoft bahkan telah bekerja pada satu - saya tidak tahu apakah itu tersedia di luar beta, tetapi memang ada.

ClamWin , disebutkan oleh @ J Pablo .

warren
sumber
2
Terima kasih atas jawaban Anda tetapi .. ini bukan server Windows, ini adalah server web, jadi, kinerja adalah yang paling penting di sini. Perhatikan bahwa perangkat lunak antivirus akan memindai setiap file yang diakses, yaitu. file apa pun yang diminta oleh pengunjung. Saya memerlukan alasan yang bagus untuk menginstal antivirus dan berisiko mengalami masalah dengan kinerja, selain dari sekadar pedoman keamanan untuk komputer pada umumnya.
Mee
itu tidak akan memindai setiap file yang diakses jika dikonfigurasi dengan benar - dan tidak ada alasan untuk itu untuk memindai file pada akses ketika mereka dilayani - hanya untuk serangan, dll
warren
1
@ unknown-Kinerja sangat penting di server web? Dengan hormat, saya akan menyarankan bahwa jika Anda sangat rendah pada overhead yang tersedia yang menekan beberapa siklus CPU untuk pemindaian file akan mempengaruhi pengalaman pengguna akhir melalui jaringan, Anda mungkin memiliki masalah lain dengan cara aplikasi diatur. naik.
Bart Silverstrim
@warren, saya tahu Anda dapat mengecualikan direktori yang Anda inginkan dari pemindaian akses, tetapi dalam hal ini, apa gunanya menginstal AV? Maksud saya jika pengguna masih dapat mengunggah file tanpa dipindai, maka tidak ada gunanya menjalankan AV di server dalam kasus seperti itu.
Mee
2
@Bart, dengan hormat perangkat lunak antivirus membutuhkan lebih dari beberapa siklus CPU untuk pemindaian file, mereka memperlambat komputer pribadi Anda yang hanya digunakan oleh Anda, jadi apa yang Anda harapkan dari server web yang diakses oleh ratusan atau ribuan orang?
Mee