Instale um antivírus em um servidor da Web. Essa é uma boa ideia?

14

Acabei de receber um servidor dedicado com o Windows 2008 Standard Edition e estou tentando fazer a configuração necessária para executar meu aplicativo da web nele.

Estava pensando, é uma boa idéia instalar um antivírus no servidor web? No aplicativo, os usuários não podem fazer upload de nenhum arquivo, exceto imagens (e verificaram se eram imagens no código do aplicativo antes de serem salvas no servidor). Sou encorajado a não instalar um antivírus para não afetar o desempenho nem causar problemas com o aplicativo. Será que estou com saudades de alguma coisa ao fazer isso?

Obrigado

    
por Mee 13.09.2009 / 08:57

4 respostas

18

Um servidor da Web bem executado deve IMHO não ter um pacote antivírus comercial (AV) instalado. O tipo de vírus de macro do Office e os cavalos de Troia de mercado de massa pelos quais os pacotes AV são otimizados são incompatíveis com os problemas de um servidor da Web.

O que você deve fazer é:

  1. Absolutamente obcecado com a validação de entrada. Exemplos: que os usuários não podem enviar conteúdo malicioso para seu site (vírus, injeção de SQL, etc.); que você não está vulnerável a ataques de script entre sites, etc.
  2. Mantenha seu servidor atualizado com as atualizações de segurança mais recentes e configure de acordo com as práticas recomendadas. Veja coisas como Kit de ferramentas de segurança da Microsoft. .
  3. Tenha um firewall separado. Não ajuda muito no que diz respeito a intrusões, mas adiciona outra camada de defesa contra serviços de rede configurados incorretamente, e ajuda com simples ataques DOS. Também ajuda muito com o bloqueio de possibilidades de gerenciamento remoto, etc.
  4. Instale um sistema de detecção de intrusões do host (H-IDS) em seu servidor, nos moldes do venerável Tripwire .

Há muita confusão sobre os termos, as palavras são frequentemente usadas de muitas maneiras diferentes aqui. Para ser claro, o que quero dizer com um H-IDS aqui é:

  • um serviço em um computador
  • que verifica continuamente todos os arquivos executáveis no computador
  • e emitem um alerta sempre que um arquivo executável foi adicionado ou modificado (sem autorização).

Na verdade, um bom H-IDS fará um pouco mais do que isso, como monitoramento de permissões de arquivos, acesso ao Registro, etc., mas o que está acima fica com a essência dele.

Um sistema de detecção de invasões do host requer alguma configuração, pois pode gerar muitos erros falsos se não for configurado corretamente. Mas uma vez instalado e funcionando, ele irá capturar mais intrusões do que os pacotes AV. Especialmente o H-IDS deve detectar um backdoor de hacker único, que um pacote AV comercial provavelmente não detectará.

O H-IDS também é mais leve na carga do servidor, mas esse é um benefício secundário - o principal benefício é uma melhor taxa de detecção.

Agora, se os recursos forem limitados; se a escolha for entre um pacote AV comercial e não fazer nada, então eu instalaria o AV . Mas saiba que não é ideal.

    
por 13.09.2009 / 11:06
1

Depende. Se você não está executando nenhum código desconhecido, então pode ser desnecessário.

Se você tiver um arquivo infectado por vírus, o arquivo em si é inofensivo enquanto estiver no disco rígido. Só é prejudicial quando você o executa. Você controla tudo o que é executado no servidor?

Uma pequena variação é o upload de arquivos. Eles são inofensivos para o seu servidor - se eu fizer upload de uma imagem manipulada ou .exe trojan-infested, nada vai acontecer (a menos que você executá-lo). No entanto, se outras pessoas fizerem o download desses arquivos infectados (ou se a imagem manipulada for usada na página), seus PCs poderão ser infectados.

Se o seu site permitir que os usuários carreguem qualquer item exibido ou baixado para outros usuários, talvez você queira instalar um Verificador de Vírus no Servidor da Web ou ter algum tipo de "Servidor de Verificação de Vírus". "na sua rede que analisa cada arquivo.

Uma terceira opção seria instalar o Antivírus, mas desabilitar a varredura ao acessar em favor de uma varredura programada durante os horários de pico.

E para transformar completamente essa resposta em 180 °: geralmente é melhor prevenir do que remediar. Se você trabalha no servidor da web, é fácil clicar acidentalmente em um arquivo incorreto e destruir o caos. Claro, você pode se conectar a ele mil vezes para fazer algo sobre o RDP sem tocar em nenhum arquivo, mas na 1001 vez você executará acidentalmente esse exe e se arrependerá, porque você não pode nem saber ao certo o que um vírus faz (atualmente eles baixam novos arquivos) código da internet também) e teria que executar alguma perícia forense em toda a sua rede.

    
por 13.09.2009 / 10:17
1

Se é baseado no Windows, o que você disse que é, eu faria. Eu também tentaria encontrar alguma forma de detecção de invasão do host (um programa que monitora / audita arquivos que estão sendo alterados no servidor e alerta você sobre as alterações).

Só porque você não está alterando os arquivos no servidor, não significa que não haja um estouro de buffer ou vulnerabilidade que permita que outra pessoa altere os arquivos no servidor remotamente.

Quando há uma vulnerabilidade, o fato de que há um exploit geralmente é conhecido dentro de uma janela de tempo entre a descoberta e a correção distribuída. Depois, há uma janela de tempo até você obter a correção e aplicá-la. Naquela época, geralmente há alguma forma de exploração automatizada disponível e os script kiddies a estão executando para expandir suas redes de bots.

Observe que isso também afeta os antivírus, uma vez que: novos malwares criados, malwares distribuídos, amostras vão para sua empresa de antivírus, análises de empresas de AV, empresa de antivírus libera novas assinaturas, você atualiza assinatura, supostamente "seguro", ciclo de repetição. Ainda há uma janela em que ela está se espalhando automaticamente antes de você ser "inoculado".

O ideal é que você execute algo que verifique as alterações de arquivo e avise, como o TripWire ou uma funcionalidade semelhante, e mantenha os logs em outra máquina que esteja isolada do uso. Assim, se o sistema estiver comprometido, os logs não serão alterados. O problema é que, uma vez que o arquivo é detectado como novo ou alterado, você já está infectado e, uma vez que você esteja infectado ou um intruso, é tarde demais para confiar que a máquina não teve outras alterações. Se alguém quebrou o sistema, eles poderiam ter alterado outros binários.

Em seguida, torna-se uma questão de você confiar nas somas de verificação e nos logs de invasões do host e em suas próprias habilidades que você limpou tudo, incluindo rootkits e arquivos de fluxo de dados alternativos que possivelmente estão lá? Ou você faz as "melhores práticas" e limpa e restaura a partir do backup, já que os logs de intrusão devem pelo menos informar quando isso aconteceu?

Qualquer sistema conectado à Internet que esteja executando um serviço pode ser explorado potencialmente. Se você tem um sistema conectado à Internet, mas não está funcionando com nenhum serviço, eu diria que você está mais seguro. Os servidores da Web não se enquadram nesta categoria: -)

    
por 13.09.2009 / 14:25
0

Sim, sempre. Citando minha resposta do superusuário :

Se estiver conectado a qualquer máquina que possa estar conectada à Internet, então sim.

Existem muitas opções disponíveis. Embora eu pessoalmente não goste do McAfee ou do Norton, eles estão por aí. Há também o AVG , F-Secure , ClamAV (embora a porta do win32 não esteja mais ativa), e tenho certeza que centenas mais:)

A Microsoft já trabalhou em uma delas - não sei se está disponível ainda fora da versão beta, mas existe.

ClamWin , mencionado por @ J Pablo .

    
por 13.09.2009 / 09:08