Installer un antivirus sur un serveur web, est-ce une bonne idée?


14

Je viens de recevoir un serveur dédié avec Windows 2008 Standard Edition et j'essaie de faire la configuration nécessaire pour exécuter mon application Web dessus.

Je me demandais, est-ce une bonne idée d'installer un antivirus sur le serveur Web? Dans l'application, les utilisateurs ne peuvent pas télécharger de fichiers à l'exception des images (et ils ont vérifié qu'il s'agissait d'images dans le code de l'application avant d'être enregistrés sur le serveur). Je suis encouragé à ne pas installer d'antivirus afin de ne pas affecter les performances ou causer des problèmes avec l'application, vais-je manquer quelque chose en faisant cela?

Merci


Vous dites que les fichiers sont vérifiés pour être des images dans le code de l'application avant d'être enregistrés - cela impliquerait-il que le fichier téléchargé se trouve dans un répertoire temporaire avant que votre application ne le voie? Dans ce cas, il est déjà sur le serveur avant de pouvoir le vérifier! Quel serveur Web utilisez-vous?
Steve Folly

En fait, les images sont vérifiées en mémoire, elles ne sont enregistrées dans aucun dossier temporaire. Ils ne sont enregistrés sur le disque que s'ils réussissent la vérification dans l'application. J'utilise IIS, c'est une application ASP.NET
Mee

De plus, même si vous enregistrez un fichier dans un dossier temporaire mais ne l'exécutez pas, cela ne posera aucun problème. Mais encore une fois, ce n'est pas le cas.
Mee

Réponses:


18

Un serveur Web bien géré ne devrait à mon humble avis pas installé de package antivirus commercial (AV). Le type de virus de macro Office et de chevaux de Troie de masse pour lesquels les packages AV sont optimisés ne correspond pas aux problèmes d'un serveur Web.

Ce que vous devez faire, c'est:

  1. Absolument obsédé par la validation des entrées. Exemples: que les utilisateurs ne peuvent pas télécharger de contenu malveillant sur votre site (virus, injection SQL, etc.); que vous n'êtes pas vulnérable aux attaques de script intersite, etc.
  2. Gardez votre serveur mis à jour avec les dernières mises à jour de sécurité et configuré selon les meilleures pratiques. Regardez des choses comme la boîte à outils de sécurité Microsofts .
  3. Avoir un pare-feu séparé. Ne vous aide pas beaucoup en ce qui concerne les intrusions, mais il ajoute une autre couche de défense contre les services réseau mal configurés et aide aux attaques DOS simples. Cela aide également beaucoup à verrouiller les possibilités de gestion à distance, etc.
  4. Installez un système de détection d'intrusion hôte (H-IDS) sur votre serveur, sur le modèle du vénérable Tripwire .

Il y a beaucoup de confusion sur les termes, les mots sont souvent utilisés de différentes manières ici. Pour être clair, ce que je veux dire par un H-IDS ici est:

  • un service sur un ordinateur
  • qui contrôle en continu tous les fichiers exécutables sur l'ordinateur
  • et lance une alerte chaque fois qu'un fichier exécutable a été ajouté ou modifié (sans autorisation).

En fait, un bon H-IDS fera un peu plus que cela, comme la surveillance des autorisations de fichiers, l'accès au registre, etc., mais ce qui précède en donne l'essentiel.

Un système de détection d'intrusion hôte prend une certaine configuration, car il peut donner beaucoup de fausses erreurs s'il n'est pas configuré correctement. Mais une fois qu'il sera opérationnel, il détectera plus d'intrusions que les packages AV. En particulier, H-IDS devrait détecter une porte dérobée de pirate unique en son genre, qu'un package AV commercial ne détectera probablement pas.

H-IDS est également plus léger sur la charge du serveur, mais c'est un avantage secondaire - le principal avantage est un meilleur taux de détection.

Maintenant, si les ressources sont limitées; si le choix est entre un package AV commercial et ne rien faire, j'installe l'AV . Mais sachez que ce n'est pas idéal.


Merci. Je ne me sens pas vraiment encouragé à installer un AV mais comme c'est la première fois que je gère un serveur web, je craignais qu'il puisse y avoir quelque chose qui me manque. Je pense que je serais mieux sans l'AV. Je vais juste essayer d'être plus prudent avec ce que j'exécute sur le serveur.
Mee

1

Ça dépend. Si vous n'exécutez aucun code inconnu, cela peut ne pas être nécessaire.

Si vous avez un fichier infecté par un virus, le fichier lui-même est inoffensif lorsqu'il se trouve sur le disque dur. Il ne devient dangereux qu'une fois que vous l'exécutez. Contrôlez-vous tout ce qui est exécuté sur le serveur?

Une légère variation est le téléchargement de fichiers. Ils sont inoffensifs pour votre serveur - si je télécharge une image manipulée ou un .exe infesté de chevaux de Troie, rien ne se passera (sauf si vous l'exécutez). Cependant, si d'autres personnes téléchargent ensuite ces fichiers infectés (ou si l'image manipulée est utilisée sur la page), leurs PC peuvent être infectés.

Si votre site permet aux utilisateurs de télécharger tout ce qui est affiché ou téléchargeable pour d'autres utilisateurs, vous pouvez soit installer un antivirus sur le serveur Web, soit disposer d'une sorte de "Virus Scanning Server" sur votre réseau qui analyse chaque fichier.

Une troisième option serait d'installer Anti-Virus mais de désactiver l'analyse à l'accès au profit d'une analyse planifiée pendant les heures creuses.

Et pour inverser complètement cette réponse de 180 °: il vaut généralement mieux prévenir que guérir. Si vous travaillez sur le serveur Web, il est facile de cliquer accidentellement sur un mauvais fichier et de faire des ravages. Bien sûr, vous pouvez vous y connecter mille fois pour faire quelque chose sur RDP sans toucher à aucun fichier, mais la 1001e fois, vous exécuterez accidentellement cet exe et le regretterez, car vous ne pouvez même pas savoir avec certitude ce que fait un virus (de nos jours, ils téléchargent de nouveaux code à partir d'Internet également) et devrait effectuer des analyses approfondies sur l'ensemble de votre réseau.


Merci beaucoup, une autre excellente réponse qui confirme que je peux me passer de l'AV.
Mee

1

Si c'est basé sur Windows, ce que vous avez dit, je le ferais. J'essaierais également de trouver une forme de détection d'intrusion d'hôte (un programme qui surveille / audite les fichiers qui changent sur le serveur et vous alerte des changements).

Ce n'est pas parce que vous ne modifiez pas les fichiers sur le serveur qu'il n'y a pas de débordement de tampon ou de vulnérabilité qui permettra à quelqu'un d'autre de modifier les fichiers à distance sur le serveur.

Lorsqu'il y a une vulnérabilité, le fait qu'il y ait un exploit est généralement connu dans un laps de temps entre la découverte et la distribution du correctif, alors il y a une fenêtre de temps jusqu'à ce que vous obteniez le correctif et l'appliquiez. Pendant ce temps, il existe généralement une forme d'exploitation automatisée disponible et les script kiddies l'exécutent pour étendre leurs réseaux de robots.

Notez que cela affecte également les AV depuis: nouveau malware créé, malware distribué, l'échantillon va à votre entreprise AV, analyse de l'entreprise AV, entreprise AV publie une nouvelle signature, vous mettez à jour la signature, vous êtes censé être "sûr", répétez le cycle. Il y a encore une fenêtre où il se propage automatiquement avant d'être «inoffensé».

Idéalement, vous pouvez simplement exécuter quelque chose qui vérifie les modifications de fichiers et vous avertit, comme TripWire ou des fonctionnalités similaires, et conserver les journaux sur une autre machine qui est un peu isolée de l'utilisation, donc si le système est compromis, les journaux ne sont pas modifiés. Le problème est qu'une fois que le fichier est détecté comme nouveau ou modifié, vous êtes déjà infecté et une fois que vous êtes infecté ou qu'un intrus est arrivé, il est trop tard pour croire que la machine n'a pas subi d'autres modifications. Si quelqu'un a piraté le système, il aurait pu modifier d'autres fichiers binaires.

Ensuite, il s'agit de faire confiance aux sommes de contrôle et aux journaux d'intrusion de l'hôte et à vos propres compétences pour tout nettoyer, y compris les rootkits et les fichiers de flux de données alternatifs qui s'y trouvent éventuellement? Ou faites-vous les «meilleures pratiques» et effacez et restaurez à partir de la sauvegarde, car les journaux d'intrusion devraient au moins vous dire quand cela s'est produit?

Tout système connecté à Internet exécutant un service peut être potentiellement exploité. Si vous avez un système connecté à Internet mais ne fonctionne pas avec des services, je dirais que vous êtes très probablement en sécurité. Les serveurs Web n'entrent pas dans cette catégorie :-)


0

Oui toujours. Citant ma réponse du superutilisateur :

S'il est connecté à des machines qui peuvent être connectées à Internet, alors absolument oui.

De nombreuses options sont disponibles. Bien que je n'aime pas personnellement McAfee ou Norton, ils sont là-bas. Il y a aussi AVG , F-Secure , ClamAV (bien que le port win32 ne soit plus actif), et je suis sûr que des centaines d'autres :)

Microsoft a même travaillé sur un - je ne sais pas s'il est disponible en dehors de la version bêta, mais il existe.

ClamWin , mentionné par @ J Pablo .


2
Merci pour votre réponse mais .. ce n'est pas un serveur Windows, c'est un serveur web, donc les performances sont de la plus haute importance ici. Notez que le logiciel antivirus analysera tous les fichiers auxquels vous accédez, c'est-à-dire. tout fichier demandé par un visiteur. J'ai besoin d'une bonne raison pour installer un antivirus et je risque d'avoir des problèmes de performances, autres que de simples consignes de sécurité pour les ordinateurs en général.
Mee

il n'analysera pas tous les fichiers auxquels il accède s'il est configuré correctement - et il n'y a aucune raison pour qu'il analyse les fichiers lors de leur accès - juste pour les attaques, etc.
warren

1
@ unknown-Les performances sont de la plus haute importance sur le serveur Web? Avec égards, je dirais que si vous manquez de temps système disponible que le fait de serrer quelques cycles CPU pour une analyse de fichiers va affecter l'expérience de l'utilisateur final sur le réseau, vous pouvez avoir un autre problème avec la façon dont l'application est définie. vers le haut.
Bart Silverstrim

@warren, je sais que vous pouvez exclure tous les répertoires de l'analyse d'accès, mais dans ce cas, à quoi bon installer un AV en premier lieu? Je veux dire si les utilisateurs seront toujours en mesure de télécharger des fichiers sans être analysés, alors il n'y a aucun intérêt à faire tourner un AV sur le serveur dans ce cas.
Mee

2
@Bart, en ce qui concerne les logiciels antivirus, prend plus de quelques cycles CPU pour une analyse de fichiers, ils ralentissent votre propre ordinateur personnel qui n'est utilisé que par vous, alors qu'attendez-vous d'un serveur Web auquel des centaines ou des milliers de personnes accèdent?
Mee
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.