Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1830 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

http proxy antivirus protection techniques

Edviins
Hello,
I'm astaro security linux newbie.
I am interested in http/ftp virus scanning feature.
What is used to do the job? I see squid(proxy) process running, but it seems ordinary squid process with sample squid.conf where is nowhere mentioned about virus scanning or smth.

I see few kav rpms and clamav, which antivirus bases are used to virusscan http/ftp traffic?
which methood is used: packet-by-packet or conventional virus scanning?
Can someone describe how is that done?


This thread was automatically locked due to age.
Parents
  • 0
    Off the top of my head,

    I believe ASL buffers the entire file, scans it, and then passes it to the client.

    I believe the process is called hyperdyper, and calls kapersky.

    Also, IIRC, caching is not done when doing content filtering, which means squid may not be needed in that case.

    Barry
Reply
  • 0
    Off the top of my head,

    I believe ASL buffers the entire file, scans it, and then passes it to the client.

    I believe the process is called hyperdyper, and calls kapersky.

    Also, IIRC, caching is not done when doing content filtering, which means squid may not be needed in that case.

    Barry
Children
  • 0 in reply to BarryG
    *I believe the process is called hyperdyper, and calls kapersky.*
    I thought hyperdyper is administration httpd, which runs on 443. for proxy is used squid.

    *I believe ASL buffers the entire file, scans it, and then passes it to the client.*
    so, if  press download, I see 0% in statusbar[while squid is downloading it], and then suddenly 100%, because I got gb connection to proxy?
  • 0 in reply to Edviins
    Squid is the http caching proxy, but, IIRC, it is not used if you have content filtering enabled. Or, if it is used, it doesn't do caching. (at least in v3, 4, and 5.x. I'm not sure how 6.x does content filtering.)
    I may be wrong though about the process name for the content filter.

    Yes, the buffering is why the download status acts that way.

    Barry
  • 0 in reply to BarryG
     The Symantec Gateway Security firewalls have a nice feature called "User Comforting".  What the firewall does is pass the bytes as it is downloaded to the desktop, so the status bar increments, but witholds a last chunk of the file until the firewall completely scans it.  If it is clean, that last section of the firewall is passed to the workstation.

    The theory there is that a virus infected file is harmless if it is an incomplete download, so it doesn't matter if all of the file but a small last portion is transferred to the desktop prior to it being scanned.

    This feature helps remove the question of what is going on to end users.