Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties
Bron: Reuters

Bij Reuters lezen we dat Cisco van plan is antivirussoftware van Trend Micro in zijn programma's te integreren. Het bedrijf kondigde dit maandag aan met de mededeling dat het hiermee bedrijfsnetwerken veiliger wil maken. De virus- en wormdetectie zal door Cisco verwerkt worden in de software voor intrusiedetectie die in de routers en switches gebruikt wordt. Volgens onderzoeksbureau IDC besteden bedrijven jaarlijks meer dan twintig miljard dollar aan netwerkapparatuur. Wanneer deze systemen uitgerust zouden worden met detectiesoftware voor malware als virussen en ander ongedierte, zou dit de eindgebruiker in hoge mate kunnen ontlasten.

Trend MicroDe malafide programma's zouden op die manier immers de eindsystemen niet meer kunnen bereiken en dus ook geen schade meer aanrichten in het bedrijfsnetwerk. Kosten die door dergelijke aanvallen veroorzaakt worden kunnen hoog oplopen; zo was Sasser verantwoordelijk voor uitgaven van in totaal maar liefst 20,5 miljoen dollar bij Europese providers. Ge´nteresseerden zullen nog tot het derde kwartaal moeten wachten voordat de Cisco-hardware met antivirusbescherming zijn opwachting maakt.

Moderatie-faq Wijzig weergave

Reacties (37)

Prachtig idee (mwah...), maar wat gaat Cisco doen aan de laptopgebruikers die hun peeceetje eerst thuis onbeschermd aan het internet hangen en de volgende dag vrolijk aan het bedrijfsnetwerk koppelen? In mijn dagelijks werk (security bedrijf) blijkt dat dat verreweg de belangrijkste bron van infectie op bedrijfsnetwerken is. Samen met VPN connecties die achter de firewall op het bedrijfsnetwerk uitkomen natuurlijk.
Hoe geraken die Laptops dan op het bedrijfsnetwerk Jeroen? Niet via een router?
Nee, vaker via een switch of een hub. En bedrijven zouden wel gek zijn als ze het hele netwerk zouden uitrusten met dure Cisco hardware. Dat geldt zeker voor het MKB.
tja, je hoeft het natuurlijk niet te kopen, maar nu hebben een bedrijven een extra reden om zo een router aan te schaffen....

vooral belangrijke bedrijven, zouden toch nie mogen besparen op zulke dingen... dat is juist hetzelfde als de staat zou besparen op sociale zekerheid, om ziektes te bestreiden |:(
Vroegah deden we dat met ACL's. gewoon een ACL-maken en poorten van wormen en virussen dichtzetten.

Scheelt enorm en kan altijd worden aangepast zonder downtime, mits je het een beetje slim aanpakt.
zou deze oplossing niet ontzettend vertragend kunnen werken op netwerk verkeer ?

immers je moet de content van 1 of meerdere TCP/IP pakketten gaan scannen. hoewel een virus niet groot is zal dit wel over meerdere TCP/IP pakketjes verspreid worden denk ik zo.

ACL's tja daarmee gooi je poorten dicht of weer je bepaalde IP(ranges) maar niet het probleem weren zoals een programma "filteren" daarvoor heb je dus de "content-scanners" nodig
Deze maneir van scannen kan best wel een zeer grote zware slag worden op netwerk apparatuur.

Wat dus weer vertraging kan opwekken. ik denk dat je als provider beter gebaat bent met Proxy's en content scanners

ps een content scanner hoeft niet alleen text te scannen maar kan ook scannen op mallware/virus/add-aware en bepaalde schadelijke codes op pagina's en in flash etcera
Ik weet wel dat er zo'n jaar terug een aparaat gezien dat realtime 100 MBit kon 'scannen' en eventueel ingrijpen afhankelijk van de inhoud. Het kan dus wel, er zat wel een prijsje aan van een euro of 3000. Maar dan heb je dus iets waarmee je bepaalde URL's kan blokkeren of e-mails kan scannen op inhoud (als plugin.)

Dus op zich is Cisco vrij laat, want het bestaat dus allang.
Ik begrijp alleen niet hoe men datapakketjes kan scannen. Want de router doet niet meer dan het pakketje met deze header doorsturen langs die poort. Dan moet er toch een soort buffer inzitten die het bestand eerst volledig binnenhaalt, scant en dan pas doorstuurt. Lijkt mij enorm vertragend voor grotere bestanden.
Er zat idd een soort buffer in, maar dannog is het erg snel (overdracht worden altijd opgesplitst in kleinere delen.) En grote bestanden kan je ook gewoon deel voor deel scannen lijkt me, dus als iets 100.000 pakketjes is, dan hoef je niet te wachten dat die almaal door zijn maar gewoon elk pakketje apart scanen. En mocht er in pakket 50.000 iets zitten dat niet mag. Dan blokkeer je de rest en voegt die headers (waar dus bijvoorbeeld de bestandaard en grootte in staan - in het eerste pakketje) toe aan een blacklist, dan wordt het dus de volgende keer wel meegenomen.

Dat aparaat liet webbased per protocol de activiteiten zien, dus Telnet, FTP, HTTP, SMTP etc. Ik zal eens kijken of ik een url kan vinden.
Leuk bedacht, alleen wel ietwat vervelend dat de meeste wormen van nu (sasser als voorbeeld) misbruik maken van vulns in standaard ports die je nog wel eens nodig kon hebben....
volgens mij gebruikt sasser 445, 9996 en 5554. Niet echt wat je zegt mainstream poorten.
Sinds gisteren waart een worm met de naam W32.Sasser.worm, Sasser.A of Worm.Win32.Sasser.a rond op het internet. De worm maakt misbruik van een beveiligingslek, veroorzaakt door een buffer overrun in de Local Security Authority Subsystem Service (LSASS) voor Windows 2000 en Windows XP. De worm verspreidt zich niet via e-mail, maar scant willekeurig IP-adressen, waarbij hij zich richt op TCP-poort 445. PC's kunnen op deze manier al ge´nfecteerd worden wanneer ze gewoon met het internet verbonden zijn, zonder dat een gebruiker een bestandje moet openen bijvoorbeeld. Na de infectie wordt een backdoor ge´nstalleerd, die bereikbaar is via TCP-poort 9996. Vervolgens wordt via deze backdoor een bestandje met de naam cmd.ftp op de ge´nfecteerde computer geplaatst en uitgevoerd. Dat zorgt ervoor dat er vanaf de ge´nfecteerde computer een FTP-connectie wordt gelegd met TCP-poort 5554 van de computer die verantwoordelijk is voor de infectie en downloadt de Sasser-worm.

...
Poort 445 wordt gebruikt voor resource sharing op Windows systemen; wel een vrij mainstream poort dus. Dat die worm die andere poorten zelf openzet geeft wel aan dat dat geen mainstream poorten zijn.


Tja, score: 3 behulpzaam... :Z
Als ze maar niet de afzenders van de virussen via hardware gaan mailen. Dan heb je nog een bak vervelend mailverkeer...

Daarnaast vraag ik me af hoeveel dit vertraagd. Gaat om enorme hoeveelheden data via die routers.

En hoe update je een hardwarematige antivirus scan? Firmware?

Who can enlighten me :P
Dat zouden ze dan op zo'n manier moeten doen dat het netwerkproduct tijdens het flashen gewoon blijft werken.. Ik denk eerder dat ze voor de "virus-references" een aparte chip gebruiken.
Een cisco pix firewall heeft ook geheugen. Ik neem aan dat je wel 4MB aan virusdef's in het geheugen kan laden (flash).
Als ze maar niet de afzenders van de virussen via hardware gaan mailen.
Meestal is de afzender toch echt fake, dus dat heeft sowieso geen nut :)
Nu nog de vulns in de antivirus software vinden. :)
Wel slim van cisco, want als je router ineens viruschecking gaat doen dat moet daar toch wel een goede processor in zitten en veel geheugen. Toevallig heeft cisco erg veel marge op de hardware....

Ik denk dat dit soort oplossingen met name interessant zijn voor SOHO/MKB. Grote bedrijven pakken dit toch gestructureerder aan.
Hoe zou je het anders willen doen? tot dat er een virus komt die zich in de virusscan-chip flasht... dan zit je echt met de gebakken wormen!
Goed nieuws voor Trend Micro ! verdienen die ook weer een extra zakcentje.. gun ik ze ook wel, ben tevree met Trend Micro Internet Security.

En als dit werkelijk zo erg de verbinding zou vetragen zoudden ze het toch niet implementeren ?
Vraag me wel af waar ze de rekenkracht vandaan gaan halen.. AMD Geode ?
Ik vermoed dat er dadelijk een berg geheugen extra in de routers wordt gepropt waar een soort proxy in wordt gecreŰrd.
Deze proxy wordt vervolgens gescant en daarna gaan de pakketjes weer de lijn op. Ongeveer zoals een Netcache dit doet, alleen zonder de grote proxy mogelijkheid.
Ik denk overigens dat het wel mee valt met de vertraging die dit met zich mee brengt.
Er zal uiteraard alleen op irritante wormen worden gescant en niet op work macro virussen.

Als je firewall niet goed dicht zit, of een worm gaat gebruik maken van een standaard poort, is de locale virusscanner op de pc de laatste drempel die genomen moet worden. Nu kan je op je core routers nog een extra drempel creŰren tegen virussen die ongelovelijk veel netwerk verkeer creŰren.
Binnen het MKB kan dit in de firewall/router plaats gaan vinden. Binnen de Enterprise netwerken op de core routers.
Een ISP vind het ook helemaal niet erg als hun eigen routers of die van grote klanten het virus verkeer wegfilteren. Dat scheelt honderen euro's per seconde.
Geweldige vooruitgang, want je moet niet alleen denken aan virussen die worden tegen gehouden door bedrijfs routers, maar ook bv de routers die bij de kabel exploitanten staan, dit zou betekenen dat het gedeelte waar het virus actief kan zijn (uiteraard moet het virus wel bekend zijn) ernorm verkleind. en op die zelfde manier zou het zlefs mogenlijk zijn zeer snel de virus maker te pakken te krijgen. als de virussen steeds bij bepaalde sectoren weg komen kan daar gemonitord/gezocht worden
Dit is een dure grap en voorlopig niet zo erg effectief. De vervangingscylce voor netwerkapparatuur is al gauw 6 jaar....

handiger is alle in en uitgaand verkeer via zelf ingestelde knooppunten af te handelen. Op die knooppunten kan je een gewonde windows of linux box neerzetten met contentscanning software en een intrusion detectie systeem.
Deze oplossing is eenvoudig te realiseren en relatief goedkoop vergeleken met de aanschaf van neiwue CIsco spullen die voor dit geintje behoorlijk wat meer processingpower nodig zullen hebben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True