ComputerBase Menü
Aktuelles

Datenträger Schleuse mit Virenscanner

M

Muhfragezeichen

Cadet 3rd Year
Registriert
Apr. 2011
Beiträge
50
Hallo zusammen,
ich würde gerne eine Datenträger Schleuse errichten!
Meine vorstellung ist, dass die Leute die ihren Datenträger an einen meiner Computer im Netzwerkstecken wollen vorher das Gerät scannen lassen. Ich wollte das irgendwie mit einer Live Betriebssystem CD-Readonly (Linux/UNIX-Basierend) auf einem Computer läuft an dem bloß Arbeitsspeicher und eine Netzwerkkarte eingebaut ist. So das es möglichst wenig Hardware gibt in die sich ein pfiffiger schädling sich hinein verziehn kann.
Die Netzwerkkarte mit Anschluss an das Internet brauche ich um immer aktuelle Signaturen von den Virenscanner Betreiber zu laden so, dass das Betirebssystem bzw der Virenscanner der sich darauf befindet, immer auf dem aktuellsten stand ist obwohl die CD Readonly ist.

Habt ihr eine Idee wie man soetwas umsetzen könnte? Gibt es bereits vorgefertigte Lösungen? Was gibt es für solch ein unterfangen für Anbieter die sich evtl. lohnen zu vergleichen?

Ich hoffe Ihr könnt mir weiter helfen.

Gruß
Muh?
 
Habt ihr eine Idee wie man soetwas umsetzen könnte?
Zum Vergrößern anklicken....

Mit jedem beliebigen Virenscanner der die Option "Automatisches Scannen von Wechseldatenträgern" unterstützt (google hilft da weiter). Du müsstest nur irgendwie verhindern das der Scan vom Nutzer abgebrochen werden kann, es sei denn Du bleibst daneben stehen bis der Scan durchgelaufen ist. Das mit dem separaten Rechner zum scannen ist ein wenig übertrieben, am Ende hast Du den gleichen Effekt wie mit einem guten Virenscanner direkt auf dem Host, hier könntest Du den Scan von Wechseldatenträgern per separaten Nutzer erzwingen und dem Nutzer per Policy auch gleich verbieten das er den Scan abrechen kann.

MfG
 
Zuletzt bearbeitet:
Hi,

@Graphixx

Naja, man weiß ja nicht was er auf seinem eigenen Rechner für Daten drauf hat, wie wichtig die sind und ob es nicht vielleicht auch in einem Büro / Betrieb engesetzt wird. Dann finde ich das Vorgehen an sich schon ok :) Zumal sich der finanzielle Aufwand in Grenzen hält (da reicht im Grunde schon ein absolutes Mini-System mit einem CD-Laufwerk und einem Netzwerkanschluß).

@TE

Kaspersky Live CD

Scheint genau das zu sein was du brauchst.

VG,
Mad
 
@Madman

Klar, da hast Du natürlich recht, ich denke mir nur immer ob der Aufwand wirklich lohnt wenn sich das ganze auch anders umsetzen lässt. Aber Leute mit Basteltrieb soll man ja bekanntlich nicht aufhalten ;)

MfG
 
hihi nen rasperrypi mit paar scannern drauf dürfte gut sein da ja der pi kein x86 ist kann auch nur wenig schadcode ausgeführt werden ;)
 
Hallo,
vielen dank für die Guten Tipps Madman1209 ich werde jetzt beginnen mir das ganze mal durch zu lesen.
Du hast es ganz richtig erfasst!
Dieses System soll später nicht Privat sondern Dienstlich genutzt werden in einem Betrieb mit über 500 Arbeitern und über 100 Dienstlichen USB Sticks + Private USB Sticks die die leute gerne dienstlich nutzen wollen. Außerdem werden zum Transfer von Daten teilweise auch USB Sticks von Fremdfirmen zugesendet mit Inhalt der selbstverständlich auch vorher auf unbedenklichkeit geprüft werden muss.
Außerdem versuchen wir nach BSI normen zu arbeiten deshalb dieser Aufwand
 
Hi,

sehr löblich! Bin gespannt was es am Ende wird. Vielleicht kannst du ja wenn alles steht kurz Feedback geben, wie und was du genau umgesetzt hast und wie du damit zufrieden bist. Wäre interessant.

VG,
Mad
 
Ich bin momentan auf der Suche nach einem Abschlussprojekt für meine Ausbildung als Fachinformatiker-Systemintegration sollte es dieses Projekt werden wird es sicher eine ausführliche Dokumentation geben ;)

Gruß
Muh?
 
ich hab sowas auch geplant (auf arbeit) und es mir so überlegt:

- Normaler Rechner mit DVD Laufwerk und USB Anschlüssen sowie SATA HotSwap Wechelsteckplatz
- Windows 7 installieren und Virenscanner drauf
- via Firewall alle Verbindungen blockieren außer die von Virenscannerupdate
- den ganzen Rechner "einfrieren" sodass er bei jedem neustart wieder den gleichen Zustand hat (da gibts Progamme für, aktuell bevorzuge ich Shadow Defender)
- vor jedem Scanvorgang den Virenscanner updaten und die Protokolle auf ein anderes Laufwerk schieben

ich bin hier leider an einen ganz bestimmten Virenscanner gebunden, drum kein Linux! Am Liebsten wäre mir sogar WindowsPE, aber da läuft der Virenscanner nicht drin :(
 
Hi,

wobei ich bei der Virenthematik den Live-System-Ansatz eigentlich besser finde, muss ich ganz ehrlich zugeben :)

VG,
Mad
 
Ja es spricht einiges für eine Live CD. Man könnte sich ja auch selbst eine Live CD Erstellen mit den nötigen Programmen. Leider ist mir das Prinzip des Updatens noch nicht ganz klar. Werden die Updates dann in den Arbeitsspeicher gezogen?
Der Aktuelle Workflow sieht so aus, dass der Netzwerkstecker während des Scannens ab gezogen wird. Eine Firewalllösung wäre da natürlich eleganter enthält aber dann auch wieder Sicherheitslücken die gestopft werden müssten welches dann aber das Projekt auf eine annehmbare größe für eine Abschlussprojekt aufblauen würde. Weil nur Live-CD rein Updaten ist evtl etwas zu einfach in der Umsetzungsphase
Momentan besteht außerdem noch nicht die Anforderung Mobile Festplatten zu scannen.
 
Ja, die Updates würden in den Arbeitsspeicher gezogen. Was wir bei uns in der Firma gemacht haben, war eine Dose direkt auf DSL zu patchen (also nicht ins Netzwerk). Dann kann das Live System sich updates ziehen ohne dass Gefahr für das netzwerk besteht. Ein tolles Live System genau für solche Zwecke ist cie c't Desinfect Live CD. Die bekommt man aber nur über das Heft (schreib mir ne PN bei Interesse...). Wenn man allerdings diese Desinfect CD auf einen USB Stick packt, dann kann man die Signaturen auf einer zweiten Partition dieses USB Sticks speichern und er muss sich nicht jedes mal die Signaturen von Null an ziehen. Das schöne an Desindect ist, dass es mit mehreren Scanner hintereinander scannt. Hier mal ein weiterführender Artikel: KLICK
 
Zuletzt bearbeitet:
naja, LiveCD kommt zB bei mir nicht in Frage, hab nur 1 Laufwerk und da soll die gescannte CD/DVD rein.

Wie gesagt, wenn du einen Virenscanner findest der unter WindowsPE läuft, dann könntest du auch was via WinPE machen. Das bootet auch immer schreibgeschützt und immer wieder zurückgesetzt.

Allerdings hast du sowohl bei WinPE als auch LiveCDs das Problem der Updates/Aktualität. Du musste jedes mal die Virendefinitionen neu laden, die sind jedes mal weg ...
 
@HaZu so wird das bei uns wohl zukünftig auch laufen. Trozdem sollte evtl noch eine Firewall vor dem "Virenscanner" stehen. Evtl gibt es pfiffige Viren die versuchen direkt über das Internet bevor der Scanner greift Software in den Arbeitsspeicher zu laden und so die Entdeckung evtl. zu verhindern. Um solch ein Szenario zu fast 100% auszuschließen könnte man eine Firewall Konfigurieren die von außen garnichts zu lässt und von innen bloß einen Port+Adresse+Protokoll welches auf "state" steht durch gehen lässt.
 
Bei dem Desinfect image handelt es sich um ein ganz normales ubuntu, da ist die firewall ufw standardmäßig an bord. Über die Konsole sollte sich die einfach konfigurieren lassen. Könnte das dein problem lösen? Hier ein Weiterführender Link: KLICK
 
Vielen Dank für die Information das Desinfect auf Ubuntu basiert. Das dort IPtables funktioniert ist zwar cool und erweitert die Konfigurierbarkeit allerdings wäre eine "mehr Tier" Architektur noch cooler und sicherer und würde in einem moderaten Umfang das Projekt erweitern, so das es für die IHK ausschaut als hätte ich mir unendlich viel mühe gegeben :D
 
Es sollte Firewall und Scanner Physisch getrennt werden. War jetzt abgeleitet von dem Schichtenmodell bei Server Landschaften.

Grunsätzlich meinte ich damit das einfach die Applikation (der Virenscanner), über eine Firewall die Physisch da sein soll, geschützt wird. Was so Sicherheit in Netzwerken angeht muss man ja auch einwenig Paranoid sein. Ich könnte mir vorstellen, wenn eine Personal Firewall auf dem Applikations Client direkt läuft und ein Virus die Chance hat durch ein Bug oder sonst etwas ein Root rechte kommt und so die Firewall ausschalten kann ist die Firewall überfällig und der Virus könnte aus dem Netz evtl Software Ziehen und im Arbeitspseicher ablegen die evtl. die Entdeckung des Virus verhindert. Mit einer getrennten Firewall wäre das nicht möglich mit der richtigen Konfiguration.
Deshalb will ich wie im Schichtenmodell z.B. Datenbank und Applikation am besten Physich trennen haben. Bei mir ist es ganz einfach Applikation und Firewall getrennt.
 
Was hältst du von zwei VMs eine ist Firewall Distribution (zB Endian) und deie Scan Distribution. Könnte das gehen? war nur so eine idee...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Virenscanner mit Browser und VPN?
2
Antworten
27
Aufrufe
1.904
Vindoriel
Vindoriel
Oc3an
  • Gesperrt
Update Ende für W10 --> Braucht man einen Virenscanner?
2 3 4
Antworten
71
Aufrufe
4.199
Markchen
Markchen
Holzohrwascherl
Bootfähiger USB-Stick mit Windows und Virenscanner
Antworten
9
Aufrufe
1.751
Metalveteran
Metalveteran
OpenMedia
Schlanker Virenscanner ohne viel schnick schnack ?
2
Antworten
27
Aufrufe
3.952
cyberpirate
cyberpirate
P
Tipps für und zu Offline Virenscanner
3 4 5
Antworten
97
Aufrufe
8.248
petzi
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz