Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 2478 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Frage zur Web Proxy AV-Scanengines

Ichbins
Guten Morgen zusammen,

aus aktuellem Anlass möchte ich hier ein paar Fragen zur 8.201 stellen.

Das Problem war/ist Folgendes:

Wenn das Dual Scanning aktiviert ist, werden encrypted und unscanabled Files blockiert während des Down- und Uploads. Dies betraf hier zum Beispiel mehrere PDF Dokumente.

Aktiviert man den Single-Scan werden die Dateien nicht geblockt.

Nun ist meine erste Frage: Warum ist das so? 
Ist diese Funktion nur in einer AV-Engine enthalten und in der anderen nicht? Oder werden diese Attribute durch beispielsweise Squid blockiert aber bei single-scan nicht angewendet? 
Das finde ich mitunter relativ kritisch da wohl nicht nur wir davon ausgehen dass reguläre Blockierungen auch mit einer Engine funktionieren sollten.

2. welche Scanengines werden mitlerweile verwendet und welche gehört zum Single-Scan?

3. was fällt alles unter "unscannbare und verschlüsselte" Dateien?

Vielen Dank und Grüße,

Daniel


This thread was automatically locked due to age.
Parents
  • 0
    1. jede scan-engine entscheidet fuer sich welche dateien sie nicht scannen kann(es kann z.B. vorkommen das die av-engine ein Archiv nicht entpacken kann, dann wird geblockt). 
    Gilt natuerlich nur wenn 'block unscannable files' aktiviert ist. 
    Da jede scan engine unterschiedliche Formate bzw. Archive entpacken und oder erkennen kann, ist ein unterschiedliches Verhalten zwischen single und double scan grundsaetzlich auch ok(imho).

    2. Single scan: Avira. Double Scan: Avira+ClamAV.
  • 0 in reply to ulmi
    Avira.... na wer die Wahl hat, hat die Qual.... [8-)] Immerhin kein Sophos und ich HOFFE das bleibt so. Dann lieber zwei FPs die man zur Not freigeben kann... aber das nur nebenbei.

    Natürlich ist ein unterschiedliches/ergänzendes Verhalten der zwei AV-Engines okay und sicherlich auch sinnvoll. Selbst mit 5 Virenscanner beträgt die Sicherhiet kein 100%. 

    Allerdings wird niemand damit rechnen dass diese Funktion (die ja nicht speziell zugeordnet wird) nur im Dual-Scan Modus funktioniert. 

    Wenn man nun hinzuschreiben würde "unscannbare und verschlüsselte Dateien blocken - funktion nur mit DualScan" dann wäre die Sache klar.
    Ist dies nur ein FalsePositive, kann man fast darüber hinweg sehen.

    Anmerken würde ich gerne noch, dass es sinnvoll wäre eine Exception List anzulegen für bestimmte Dokumente und/oder Dateien.
    Dann könnte man PDF Dateien vom Scan ausnehmen... oder ich habs übersehen?

    Grüße und Danke

    Daniel
Reply
  • 0 in reply to ulmi
    Avira.... na wer die Wahl hat, hat die Qual.... [8-)] Immerhin kein Sophos und ich HOFFE das bleibt so. Dann lieber zwei FPs die man zur Not freigeben kann... aber das nur nebenbei.

    Natürlich ist ein unterschiedliches/ergänzendes Verhalten der zwei AV-Engines okay und sicherlich auch sinnvoll. Selbst mit 5 Virenscanner beträgt die Sicherhiet kein 100%. 

    Allerdings wird niemand damit rechnen dass diese Funktion (die ja nicht speziell zugeordnet wird) nur im Dual-Scan Modus funktioniert. 

    Wenn man nun hinzuschreiben würde "unscannbare und verschlüsselte Dateien blocken - funktion nur mit DualScan" dann wäre die Sache klar.
    Ist dies nur ein FalsePositive, kann man fast darüber hinweg sehen.

    Anmerken würde ich gerne noch, dass es sinnvoll wäre eine Exception List anzulegen für bestimmte Dokumente und/oder Dateien.
    Dann könnte man PDF Dateien vom Scan ausnehmen... oder ich habs übersehen?

    Grüße und Danke

    Daniel
Children
No Data
Unfiltered HTML