Dateiupload Virenscanner

[bsantschi-zz]

ModSecurity kann auf Viren scannen, resp. einen externen Virenscanner anwerfen. Diese Erweiterung ist aber in unserer WAF noch nicht eingebaut. Fränzi macht eine Aufwandschätzung.

[franbuehler]

Für die Implementierung von Antivirus Upload Checks schätze ich zwischen 2 und 5 Tagen Aufwand. Ich habe das aktuelle Image gestern und heute bereits tetsweise mit den nötigen Installationen erweitert, aber noch nicht zum Laufen gebracht. Das kann jetzt schnell gehen oder auch nicht. Weiter würde ich gerne das Update der AV Definitionen überlegen, implementieren, testen und das Image anschliessend gerne in der Integration testen, den Rollout planen etc.

[bsantschi-zz]

Hoi @innosmith, darf ich dich bitten zu entscheiden. ob wir hier weiterfahren dürfen?

[innosmith]

@bsantschi , @franbuehler : verstehe ich richtig, dass ihr für die Antivirus-Prüfung eine Erweiterung der WAF vorschlagt, welche ihr über Standard-Erweiterungen umsetzen könnt, welche für unser Setup richtig zu konfigurieren und zu testen ist? Welchen Aufwand schätzt ihr neben dem initialen Invest von 2-5 Tagen für den monatlichen Betrieb mit Aktualisierung von AV Definitionen? Wie lösen andere Decidim-Anwender dieses Problem? Ebenfalls über WAF?

[franbuehler]

Hallo @innosmith Ja, ich die Erweiterungen wären Standard. Dies wird bereits so eingesetzt und es sollte funktionieren. Ich habe es aber noch nie für ein Projekt umgesetzt und deshalb ist meine Schätzung eher vorsichtig und nicht super genau. Den Aufwand für den monatlichen Betrieb habe ich gerade noch bei einem ClamAV Experten nachgefragt. Wenn ich es richtig verstehe, sollte die Aktualisierung automatisiert funktionieren, möchte mich hier aber noch kurz absichern, dass ich da nichts Falsches erzähle. Wie es andere Decidim Anwender lösen, weiss ich nicht. Hier weiss @bsantschi vermutlich mehr.

[franbuehler]

Für den monatlichen Betrieb der AV Signaturen gibt es keinen zusätzlichen Aufwand, da die Signaturen mit freshclam automatisiert updatet werden sollten. Das würden wir natürlich so einrichten. Wir würden die Signaturen von ClamAV verwenden. Wir haben hier keine grossen Erfahrungen, was die Detection Rate betrifft. Es gibt hier auch kommerzielle Anbieter von AV Signaturen. Wir könnten hier evtl. weitere Abklärungen bezüglich Signaturdatenbanken machen oder diese ClamAV Signaturen mal als guten Start für AntiVirus Checks nehmen.

[innosmith]

@bsantschi : bevor wir diese individuelle Variante umsetzen, könntet ihr bitte prüfen, wie andere Decidim-Anwender das Thema Antivirus lösen?

[bsantschi-zz]

Hoi @innosmith, ich schaue das nächste Woche mit Fränzi und Thomas an. Nebst Fränzis Vorschlag, die Dateien via WAF/ModSecurity zu scannen, sehe ich noch die Variante des Decidim Modules Antivirus, das die Viren explizit beim öffentlichen Dateiupload überprüft. Im Hintergrund muss aber bei beiden Varianten ClamAV als Deamon laufen.

[bsantschi-zz]

Erkenntnisse aus Austausch mit Fränzi und Thomas:

Wir sehen zwei Möglichkeiten: WAF oder Antivirus-Modul. Beides basiert auf dem Open Source Virenscanner ClamAV. Aufwand für beide Varianten etwa 4-7 Tage.

Variante WAF Vorteile:

• Alle File Uploads werden auf Viren gescannt (auch Admin-Bereich)
• Knowhow bei Puzzle breiter abgestützt, wiederverwendbar für andere Webapplikationen

Nachteile:

• Fehlermeldung: der Benutzer erhält einen Serverfehler und erfährt nicht, dass seine Datei Viren enthält

Variante Modul Vorteile:

• Fehlermeldung: selbsterklärend

Nachteile:

• Mehraufwände bei Decidim Upgrades
• Datei-Upload im Adminbereich wird nicht nach Viren gescannt

Aufwände/Kosten

• Betrieb Engineering (einmalig)
  • ClamAV Installation im Pod
  • FreshClam Installation und Konfiguration (Update der Virendefinitionen)
  • Kommerzielle Anbieter von AV Signaturen prüfen (optional)
  • Testen mit Eicar Testfile
  • Monitoring Aufsetzen:
    • ClamAV (Virenscanner)
    • FreshClam (Virendefinitionen)
• Betrieb (wiederkehrend)
  • zusätzliche Openshift-Ressourcen
  • Lizenzkosten kommerzielle AV Signaturen (optional)

[bsantschi-zz]

Nachtrag von Thomas: bei der Variante "Modul" könnten wir das Scannen von Viren im Admin-Bereich nachrüsten/implementieren.

[innosmith]

@bsantschi : lass uns die Vor- und Nachteile bei der nächsten Abstimmung auch noch besprechen.

[bsantschi-zz]

Hoi @innosmith hiermit schicke ich dir unsere versprochene Aufwandschätzung. Für die Erweiterung des Admin-Bereiches rechnen wir mit 3-5 Tagen Aufwand, den wir ins decidim-module-antivirus stecken würden, damit auch dort die hochgeladenen Dokumente auf Viren geprüft würden.

Zusammen mit den oben genannten 4-7 Tagen kämen wir auf rund 10 Tage, was in etwa dem entspricht, das ich euch gegenüber bereits am Montag erwähnt habe.

[innosmith]

Gemäss Abklärung und Aufwandsschätzung von Puzzle bitte das Decidim Antivirusprüfungsmodul für hochgeladene Files im Frontend in Betrieb nehmen und erweitern um Prüfung von hochgeladenen Files im Backend.

[Kagemaru]

Erfolg!

[Kagemaru]

Das Antivirus Image funktioniert und ist auf der Integration deployt und kann durchgetestet werden. Ich habe es auf den master Stand aktualisiert und lasse es für die nächsten Tage so laufen. Wenn es keine Probleme auf INT gibt, merge ich sowohl den code Branch als auch das config-management repo. Dann können wir es auf PROD deployen.

[Kagemaru]

Übrige Aufgaben:

• [x] Frontend tests
• [x] Backend tests
• [x] Übersetzungen eintragen

[Kagemaru]

Etwas stimmt noch nicht mit der Übersetzung. Ich kann sie nicht per Term Customizer setzen.

Bugticket dafür ist: #166