Cisco implementeert anti-virussoftware Trend Micro

Bij Reuters lezen we dat Cisco van plan is antivirussoftware van Trend Micro in zijn programma's te integreren. Het bedrijf kondigde dit maandag aan met de mededeling dat het hiermee bedrijfsnetwerken veiliger wil maken. De virus- en wormdetectie zal door Cisco verwerkt worden in de software voor intrusiedetectie die in de routers en switches gebruikt wordt. Volgens onderzoeksbureau IDC besteden bedrijven jaarlijks meer dan twintig miljard dollar aan netwerkapparatuur. Wanneer deze systemen uitgerust zouden worden met detectiesoftware voor malware als virussen en ander ongedierte, zou dit de eindgebruiker in hoge mate kunnen ontlasten.

Trend MicroDe malafide programma's zouden op die manier immers de eindsystemen niet meer kunnen bereiken en dus ook geen schade meer aanrichten in het bedrijfsnetwerk. Kosten die door dergelijke aanvallen veroorzaakt worden kunnen hoog oplopen; zo was Sasser verantwoordelijk voor uitgaven van in totaal maar liefst 20,5 miljoen dollar bij Europese providers. Geïnteresseerden zullen nog tot het derde kwartaal moeten wachten voordat de Cisco-hardware met antivirusbescherming zijn opwachting maakt.

Door Yoeri Lauwers

Eindredacteur

Feedback • 08-06-2004 12:16 37

08-06-2004 • 12:16

37

Bron: Reuters

Lees meer

Cisco-router als 's werelds snelste in Guinness Book
Cisco-router als 's werelds snelste in Guinness Book Nieuws van 3 juli 2004
Auteur Sasser-virus aan het woord
Auteur Sasser-virus aan het woord Nieuws van 18 juni 2004
Cisco en IBM maken superchip voor routers
Cisco en IBM maken superchip voor routers Nieuws van 15 juni 2004
Zafi.b bezig aan een opmars
Zafi.b bezig aan een opmars Nieuws van 14 juni 2004
Cisco onthult 1,2 terabit core-router
Cisco onthult 1,2 terabit core-router Nieuws van 26 mei 2004
Cisco is op zoek naar nieuwe afzetmarkten
Cisco is op zoek naar nieuwe afzetmarkten Nieuws van 23 mei 2004
Cisco wil patent op fix voor fout in TCP
Cisco wil patent op fix voor fout in TCP Nieuws van 21 mei 2004
Cisco en IBM samen aan internettelefonie
Cisco en IBM samen aan internettelefonie Nieuws van 17 mei 2004
Cisco en Ericsson gaan samenwerken in verkoop
Cisco en Ericsson gaan samenwerken in verkoop Nieuws van 28 april 2004
Alle Cisco WLSE's hebben niet te verwijderen backdoor
Alle Cisco WLSE's hebben niet te verwijderen backdoor Nieuws van 9 april 2004
Cisco voegt veiligheidsfuncties toe aan producten
Cisco voegt veiligheidsfuncties toe aan producten Nieuws van 11 maart 2004
Meer producten en artikelen
Software

Reacties (37)

-Moderatie-faq
37
36
24
4
0
7
Wijzig sortering
jeroen|IA 8 juni 2004 14:02
Prachtig idee (mwah...), maar wat gaat Cisco doen aan de laptopgebruikers die hun peeceetje eerst thuis onbeschermd aan het internet hangen en de volgende dag vrolijk aan het bedrijfsnetwerk koppelen? In mijn dagelijks werk (security bedrijf) blijkt dat dat verreweg de belangrijkste bron van infectie op bedrijfsnetwerken is. Samen met VPN connecties die achter de firewall op het bedrijfsnetwerk uitkomen natuurlijk.
Verwijderd @jeroen|IA8 juni 2004 14:13
Hoe geraken die Laptops dan op het bedrijfsnetwerk Jeroen? Niet via een router?
jeroen|IA @Verwijderd8 juni 2004 14:20
Nee, vaker via een switch of een hub. En bedrijven zouden wel gek zijn als ze het hele netwerk zouden uitrusten met dure Cisco hardware. Dat geldt zeker voor het MKB.
ekx @jeroen|IA8 juni 2004 21:34
tja, je hoeft het natuurlijk niet te kopen, maar nu hebben een bedrijven een extra reden om zo een router aan te schaffen....

vooral belangrijke bedrijven, zouden toch nie mogen besparen op zulke dingen... dat is juist hetzelfde als de staat zou besparen op sociale zekerheid, om ziektes te bestreiden |:(
boner 8 juni 2004 12:18
Vroegah deden we dat met ACL's. gewoon een ACL-maken en poorten van wormen en virussen dichtzetten.

Scheelt enorm en kan altijd worden aangepast zonder downtime, mits je het een beetje slim aanpakt.
vso @boner8 juni 2004 12:43
zou deze oplossing niet ontzettend vertragend kunnen werken op netwerk verkeer ?

immers je moet de content van 1 of meerdere TCP/IP pakketten gaan scannen. hoewel een virus niet groot is zal dit wel over meerdere TCP/IP pakketjes verspreid worden denk ik zo.

ACL's tja daarmee gooi je poorten dicht of weer je bepaalde IP(ranges) maar niet het probleem weren zoals een programma "filteren" daarvoor heb je dus de "content-scanners" nodig
Deze maneir van scannen kan best wel een zeer grote zware slag worden op netwerk apparatuur.

Wat dus weer vertraging kan opwekken. ik denk dat je als provider beter gebaat bent met Proxy's en content scanners

ps een content scanner hoeft niet alleen text te scannen maar kan ook scannen op mallware/virus/add-aware en bepaalde schadelijke codes op pagina's en in flash etcera
LauPro @vso8 juni 2004 15:28
Ik weet wel dat er zo'n jaar terug een aparaat gezien dat realtime 100 MBit kon 'scannen' en eventueel ingrijpen afhankelijk van de inhoud. Het kan dus wel, er zat wel een prijsje aan van een euro of 3000. Maar dan heb je dus iets waarmee je bepaalde URL's kan blokkeren of e-mails kan scannen op inhoud (als plugin.)

Dus op zich is Cisco vrij laat, want het bestaat dus allang.
StiGMaTa @LauPro8 juni 2004 17:34
Ik begrijp alleen niet hoe men datapakketjes kan scannen. Want de router doet niet meer dan het pakketje met deze header doorsturen langs die poort. Dan moet er toch een soort buffer inzitten die het bestand eerst volledig binnenhaalt, scant en dan pas doorstuurt. Lijkt mij enorm vertragend voor grotere bestanden.
LauPro @LauPro8 juni 2004 17:49
Er zat idd een soort buffer in, maar dannog is het erg snel (overdracht worden altijd opgesplitst in kleinere delen.) En grote bestanden kan je ook gewoon deel voor deel scannen lijkt me, dus als iets 100.000 pakketjes is, dan hoef je niet te wachten dat die almaal door zijn maar gewoon elk pakketje apart scanen. En mocht er in pakket 50.000 iets zitten dat niet mag. Dan blokkeer je de rest en voegt die headers (waar dus bijvoorbeeld de bestandaard en grootte in staan - in het eerste pakketje) toe aan een blacklist, dan wordt het dus de volgende keer wel meegenomen.

Dat aparaat liet webbased per protocol de activiteiten zien, dus Telnet, FTP, HTTP, SMTP etc. Ik zal eens kijken of ik een url kan vinden.
alt-92 @boner8 juni 2004 12:23
Leuk bedacht, alleen wel ietwat vervelend dat de meeste wormen van nu (sasser als voorbeeld) misbruik maken van vulns in standaard ports die je nog wel eens nodig kon hebben....
boner @alt-928 juni 2004 13:19
volgens mij gebruikt sasser 445, 9996 en 5554. Niet echt wat je zegt mainstream poorten.
Sinds gisteren waart een worm met de naam W32.Sasser.worm, Sasser.A of Worm.Win32.Sasser.a rond op het internet. De worm maakt misbruik van een beveiligingslek, veroorzaakt door een buffer overrun in de Local Security Authority Subsystem Service (LSASS) voor Windows 2000 en Windows XP. De worm verspreidt zich niet via e-mail, maar scant willekeurig IP-adressen, waarbij hij zich richt op TCP-poort 445. PC's kunnen op deze manier al geïnfecteerd worden wanneer ze gewoon met het internet verbonden zijn, zonder dat een gebruiker een bestandje moet openen bijvoorbeeld. Na de infectie wordt een backdoor geïnstalleerd, die bereikbaar is via TCP-poort 9996. Vervolgens wordt via deze backdoor een bestandje met de naam cmd.ftp op de geïnfecteerde computer geplaatst en uitgevoerd. Dat zorgt ervoor dat er vanaf de geïnfecteerde computer een FTP-connectie wordt gelegd met TCP-poort 5554 van de computer die verantwoordelijk is voor de infectie en downloadt de Sasser-worm.

...
Verwijderd @boner9 juni 2004 08:00
Poort 445 wordt gebruikt voor resource sharing op Windows systemen; wel een vrij mainstream poort dus. Dat die worm die andere poorten zelf openzet geeft wel aan dat dat geen mainstream poorten zijn.


Tja, score: 3 behulpzaam... :Z
ikwilhet 8 juni 2004 13:02
Als ze maar niet de afzenders van de virussen via hardware gaan mailen. Dan heb je nog een bak vervelend mailverkeer...

Daarnaast vraag ik me af hoeveel dit vertraagd. Gaat om enorme hoeveelheden data via die routers.

En hoe update je een hardwarematige antivirus scan? Firmware?

Who can enlighten me :P
Verwijderd @ikwilhet8 juni 2004 17:22
Dat zouden ze dan op zo'n manier moeten doen dat het netwerkproduct tijdens het flashen gewoon blijft werken.. Ik denk eerder dat ze voor de "virus-references" een aparte chip gebruiken.
Verwijderd @ikwilhet8 juni 2004 18:38
Een cisco pix firewall heeft ook geheugen. Ik neem aan dat je wel 4MB aan virusdef's in het geheugen kan laden (flash).
Osiris @ikwilhet8 juni 2004 21:08
Als ze maar niet de afzenders van de virussen via hardware gaan mailen.
Meestal is de afzender toch echt fake, dus dat heeft sowieso geen nut :)
Verwijderd 8 juni 2004 12:57
Nu nog de vulns in de antivirus software vinden. :)
it0 8 juni 2004 12:59
Wel slim van cisco, want als je router ineens viruschecking gaat doen dat moet daar toch wel een goede processor in zitten en veel geheugen. Toevallig heeft cisco erg veel marge op de hardware....

Ik denk dat dit soort oplossingen met name interessant zijn voor SOHO/MKB. Grote bedrijven pakken dit toch gestructureerder aan.
Verwijderd 8 juni 2004 13:14
Hoe zou je het anders willen doen? tot dat er een virus komt die zich in de virusscan-chip flasht... dan zit je echt met de gebakken wormen!
Verwijderd 8 juni 2004 14:31
Goed nieuws voor Trend Micro ! verdienen die ook weer een extra zakcentje.. gun ik ze ook wel, ben tevree met Trend Micro Internet Security.

En als dit werkelijk zo erg de verbinding zou vetragen zoudden ze het toch niet implementeren ?
Vraag me wel af waar ze de rekenkracht vandaan gaan halen.. AMD Geode ?
smartsys 8 juni 2004 15:16
Ik vermoed dat er dadelijk een berg geheugen extra in de routers wordt gepropt waar een soort proxy in wordt gecreërd.
Deze proxy wordt vervolgens gescant en daarna gaan de pakketjes weer de lijn op. Ongeveer zoals een Netcache dit doet, alleen zonder de grote proxy mogelijkheid.
Ik denk overigens dat het wel mee valt met de vertraging die dit met zich mee brengt.
Er zal uiteraard alleen op irritante wormen worden gescant en niet op work macro virussen.

Als je firewall niet goed dicht zit, of een worm gaat gebruik maken van een standaard poort, is de locale virusscanner op de pc de laatste drempel die genomen moet worden. Nu kan je op je core routers nog een extra drempel creëren tegen virussen die ongelovelijk veel netwerk verkeer creëren.
Binnen het MKB kan dit in de firewall/router plaats gaan vinden. Binnen de Enterprise netwerken op de core routers.
Een ISP vind het ook helemaal niet erg als hun eigen routers of die van grote klanten het virus verkeer wegfilteren. Dat scheelt honderen euro's per seconde.
Armageddon_2k 8 juni 2004 15:41
Geweldige vooruitgang, want je moet niet alleen denken aan virussen die worden tegen gehouden door bedrijfs routers, maar ook bv de routers die bij de kabel exploitanten staan, dit zou betekenen dat het gedeelte waar het virus actief kan zijn (uiteraard moet het virus wel bekend zijn) ernorm verkleind. en op die zelfde manier zou het zlefs mogenlijk zijn zeer snel de virus maker te pakken te krijgen. als de virussen steeds bij bepaalde sectoren weg komen kan daar gemonitord/gezocht worden
Verwijderd 8 juni 2004 17:01
Dit is een dure grap en voorlopig niet zo erg effectief. De vervangingscylce voor netwerkapparatuur is al gauw 6 jaar....

handiger is alle in en uitgaand verkeer via zelf ingestelde knooppunten af te handelen. Op die knooppunten kan je een gewonde windows of linux box neerzetten met contentscanning software en een intrusion detectie systeem.
Deze oplossing is eenvoudig te realiseren en relatief goedkoop vergeleken met de aanschaf van neiwue CIsco spullen die voor dit geintje behoorlijk wat meer processingpower nodig zullen hebben.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq