Propenderei per la comodita' di AV che interagisca con il firewall,
se non altro per avere un ulteriore dispositivo che protegga anche
il protocollo applicativo con un fixup (es: Cisco, Checkpoint).

In ogni caso e' sempre consigliabile che ogni host abbia un proprio
antivirus, a prescindere che eroghi servizi internet/intranet.

ciao
Berry
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Mi sembra una soluzione un pò overkill, francamente, a meno che non si parli
veramente di giga di traffico. Mi pare un pò fantascientifico immaginare un
upload/download contemporaneo che vada ad eludere l'antivirus (unico caso che
mi venga in mente per cui serve sul serio un antvirus sul gateway).

Piuttosto secondo me per una cosa del genere è più elegante una combo vsftpd +
dazuko + clamav su debian (e costa un infinitesimo ;) ).

Ed in ogni caso: è sensato fare scambio file con i fornitori (quindi dati
probabilmente di un certo rilievo) via ftp nel 2006? Poi magari siamo su VPN
e allora come non detto...

Ciao,
penso che il livello di protezione che otterresti in entrambi i casi sarebbe
comparabile, previa l'accortezza di abilitare la scansione in accesso
dell'antivirus in scrittura piuttosto che in lettura (se possibile) al fine
di bloccare eventuali virus ancora prima che vengano resi disponibili sul
filesystem ed eventualmente richiesti da altri client.

Propenderei invece leggermente per la soluzione al gateway per la possibilità
di notificare ai client via codici di errore ftp la natura maligna di un file
che si sta cercando di trasferire, cosa che tramite la tradizionale scansione
sul filesystem sarebbe quantomeno complicato realizzare.

Qualsiasi di queste soluzioni si voglia implementare, consiglio comunque di
verificare con la massima precisione possibile le dimensioni dei file che ci
si aspetta di rendere disponibili sull'ftp e valutare il fattore performance.
La vulnerabilità WMF di qualche tempo fa (identificata con successo da
diversi antivirus) ha infatti sottolineato ancora una volta come non si possa
limitare la scansione ai classici vettori di codice virale quali eseguibili e
affini, ma debba essere condotta su tutti i tipi di file.

Buon weekend

Onestamente per la mia esperienza i gateway AV sono delle grandi
porcherie. L'interazione dell'antivirus con il FW e' un concetto che mi
da i brividi solo a sentirlo nominare. Non sono sicuro di cosa tu
intenda, comunque.
1 - mettere una rule che blocchi il client che sta mandando un virus
non ci vedo alcun vantaggio.
2 - il firewall intercetta il protocollo ftp e passa il contenuto
all'antivirus (utilizzando ovviamente un protocollo proprietario)
lascia stare, davvero, e' un idea malata, e le implementazioni che
ho visto meritano definizioni che obbligherebbero i moderatori della
lista a rifiutare il mio messaggio.
3 - .....

Piuttosto, stai bene attento a non diventare vittima dei vari w4r3z d00d
(si chiamano ancora cosi?).
il modo migliore e' assicurarsi che il client ftp veda una directory
incoming con i permessi di scrittura, ma non di lettura e una directory
da cui scaricare su cui non puo' scrivere.

L.