Scanning for viruses

Hi, Steffen, were any of your systems infected behind Astaro?

I thought that Eset NOD32 was a kind of blacklist where attempts to connect to a site are blocked because Eset says there's something bad there; to that extent, it operates more like Astaro's URL Filtering.  Is hat right?

Astaro, on the other hand, scans inbound traffic for viruses, and blocks infected content at the gateway.   Are you seeing something else?

Cheers - Bob

Hi Bob,

at first, no system is infected.

NOD32 is a real AV software but it offers and can inspect web content to(/from) the client. And so it terminates connections with the given URL. A search results in the internet shows something like that on a hacked web site: 

I thought the ASGs are scanning web content (HTML, script files etc.) to. For using a security gateway, it's not good to trust only in AV software on client computers.
-- 
So long, Steffen

Hi Steffen and Bob,

I today played around at eicar.org - at the download page eicar | THE ANTI-VIRUS OR ANTI-MALWARE TEST FILE you can try and play around compareable riskless with the viral detection of any computer.

For me it looks like Astaro doesn't scan any html-code. The embeded viral code within the page is not detected by the the virus scanners.
HTTPS-Download of eicar.com.txt isn't scanned, too but that's no problem as I currently don't intend to break SSL-encryption between my clients and the web-servers for security reasons. 

On the other hand, scanning each .HTML-content would result in poor performance and/or require very much CPU- and probably RAM-ressources, so I wouldn't know the poison to choose.

That's the reason why I personally wouldn't trust only the security gateway....

Regards

Wolperdinger

Hi, guys!

For using a security gateway, it's not good to trust only in AV software on client computers.

That's the reason why I personally wouldn't trust only the security gateway...

Agreed! - The minimum is client AV behind an ASG running AV.  We normally precommend 3-layer security where all application servers also have their own specialized AV unless the company is too small to afford it.

If your Astaro's HTTP/S Proxy isn't AV-scanning all inbound HTTP traffic, then I think there's a configuration problem.  That is, as long as the file is smaller than the 'Max scanning size' and you aren't talking about streaming content.

Steffen, the way I understand it, NOD32 doesn't scan HTTP traffic; it works like the URL filter in that known-bad servers are never sent requests.  That's why it would "appear" to block something the Astaro missed.

But, hey, I'm just a user like you guys, so I welcome anyone telling me I've misunderstood and correcting me!

Cheers - Bob

Hi, guys!

If your Astaro's HTTP/S Proxy isn't AV-scanning all inbound HTTP traffic, then I think there's a configuration problem.  That is, as long as the file is smaller than the 'Max scanning size' and you aren't talking about streaming content.

Cheers - Bob

Hi  Bob,

I think that you've missunderstood me. I know that my box doesn't scan the HTTPS-downloads as I intentionally disabled SSL-scanning. I'm not fond in breaking the SSL-trafic as I would see any traffic which should be secure (like online-banking and so on....) For that reason there's no failure or misconfiguration - it works as designed.

Have a nice weekend

Regards

Wolperdinger

Hi Bob, Hi Wolperdinger,

sorry for my delayed reply.

I tried to find information how Esets Websecurity works...

Like Wolperdingers ASG our is working as designed too. We don't use HTTPS-Scanning and so this traffic will be scanned on client side only. But I thought all traffic seen by an ASG will be scanned for virusses.

Okay, I will trust in all 3 AV solutions: Avira, ClamAV, Eset.
-- 
So long, Steffen

Hi there,
how the ASG v7.504 scans for viruses? 

Steffen, I cannot help you, but I have a curiosity that I would expose: you said that you have 7.504. What about the certificate issue that forced admins to upgrade to 7.507 before 4th september? I thought that old version stopped to work cause this bug... I misunderstood the issue?

bye
eclipse79

Eclipse, no, the system won't stop working if it was on 7.504...  the issue arises when a new certificate is generated (such as adding a new user, etc.) -- the certificate would be generated with an expiration date that would overflow the code.  To eliminate future issues, though, they really should up2date to 7.507.

Hi there,

Today I created a new user for SSL VPN but no problem happens. I found on Astaros website that an update was given via up2date pattern to 7.506 and earlier versions. I've seen that pattern number jumps to 20K+ But I will go to 7.507 as soon as possible.
-- 
So long, Steffen