Interscan VirusWall (Trend) et IPCop 1.4.0 RC4

[pkaer]

Bonjour,

Je ne sais pas si cela peut intéresser quelqu'un ou si même cela peut-être utile mais, pour un besoin particulier, j'ai du installer Interscan Virus Wall et E-manager (de Trendmicro) sur une passerelle IPCop 1.4.0 RC4.

Bien sur dans ce cas là, il manque toujours quelques fichiers et répertoires. En les reprenant sur une base de RH 7.3 (SME 6.0.1 par ex.) et avec un peu de paramètrage, on y arrive facilement et c'est totalement fonctionnel ( Filtrage des flux HTTP, SMTP et FTP).

Si cela intéresse du monde, je peux faire un mini HowTo et pour les plus paresseux, leur zipper les 5 fichiers qui manquent.

@+
PK

[pulsergene]

vas y balances stp
ca peut etre tres interessant

d'avance merci

[Chikouille]

salut Pkaer,

Cela semble interessant.
As tu estimé les besoins en CPU/RAM/HD ?

On attend impatiement ton howto !

[Kali Mero]

salut,

Je serai aussi interesser par le HOWTO et les fichiers
pour securiser un peu plus un reseau scolaire

merci d'avance

[mat67]

c top comme idée.

[dsbsystem]

( Filtrage des flux HTTP, SMTP et FTP).

Si cela intéresse du monde, je peux faire un mini HowTo et pour les plus paresseux, leur zipper les 5 fichiers qui manquent.


Les plus paresseux et ... incompétents dont je fais partie

Ca serai Top de pouvoir installer en "tête de ligne" ce préfiltre émanant d'un éditeur réputé !!

[pkaer]

Ouch !!!,

Il ne faudrait pas partir le WE !!!

Tout d'abord une précision:

Interscan Viruswall et E-Manager de TrendMicro sont des logiciels commerciaux et donc de ce fait ne sont pas gratuits. Ils comportent néanmoins une version d'évaluation de 30 jours si vous souhaitez les essayer.
L'objet du HowTo est de simplement expliquer comment l'installer sur une Box IPCop car bien sur cette dernière ne figure pas dans les plateformes référencées par Trend et sa destination (Firewall) fait qu'il manque qq fichiers ou librairies pour réussir l'installe.

@Chikouille

As tu estimé les besoins en CPU/RAM/HD ?

Non pour le CPU et la RAM car cela dépend aussi du nombre de users et de mails que tu peux transferer vers ton relais SMTP. Le principe d'Interscan VirusWall est de se mettre à l'écoute sur les ports concernés (HTTP, SMTP et FTP) et de regarder ce qui y passe.

Pour le disque, l'installation prend 45Mo mais cela vas évoluer en fonction du nombre de signatures AV que tu gardes, idem pour les logs et aussi du nombre de virus ou SPAM que tu attrapes. Après c'est comme toute chose, il faut faire régulièrement du ménage dans les logs et la quarantaine avec la posibilités de paramétrer des purges en automatique.
Pour te donner une idée, après 6 mois d'utilisation sur une SME avec + de 100 postes, 300 virus/jour et 1000 spams/jour cela occupe 290Mo.

Si tout ce qui précède ne vous a pas "refroidi", je peux essayer demain lundi de vous mettre en ligne les 5 fichiers nécessaires à IPCop, le HowTo et pour ceux qui voudraient les essayer, les softs de TrendMicro.

@+
PK

[Psycotrope]

Je suis hyper intéréssé par ton install !!! ou puis je trouver les fichier manquant ?


Merci d'avance

[kikiazerty]

Est il possible d avoir une estimation du prix de InterScan VirusWall + InterScan eManager ?

Merci

[pkaer]

Salut,

@kikiazerty

Est il possible d avoir une estimation du prix de InterScan VirusWall + InterScan eManager ?

Difficile car c'est fonction du nombre de postes à protéger. Cela semble curieux car une fois le produit installé, je ne vois pas comment ils peuvent contrôler le nombre de postes derrière la passerelle IPCop

@Psycotrope et les autres

Je suis hyper intéréssé par ton install !!! ou puis je trouver les fichier manquant ?

vous pouvez les trouvez ici : http://www.kaerlagad.fr.st
le fichier trend.tar.gz inclus aussi les softs Trend et la doc des produits

pour une installe manuelle suivre la procédure automatique et arrêter avant le lancement du script install.sh situé dans /tmp

NB : à posteriori je me suis apperçu qu'il y a dans le script "isinst" des commandes "clear" qui ne sont pas reconnues par IPCop. Cela ne gêne en rien, on a juste un rapide message d'erreur lorsque le script essaye de faire un cleanup de l'écran en ligne 4319.
Le script d'installe automatique ne prevoie pas la mise à jour du fichier /etc/rc.d/rc.local (un oubli )

ces 2 problèmes sont résolus par un nouveau fichier trend.tar.gz en ligne depuis lundi 21/09/04 à 17h30


@+
PK

PS :faites moi des retours car cela a été un peu "vite fait sur le gaz"

[Psycotrope]

pour le paramétrage voici quelque doc succinte en français mais ça aide !!!



http://www.antivirus.fr/infoproduits/in ... ix/doc.htm

[pkaer]

@Psycotrope

Peux-tu me préciser si tu as fait l'install en automatique ou en manuel et quels sont les problèmes éventuellement rencontrés.

@autres

Pour le paramétrage si je peux vous donner un coup de main, ce sera avec plaisir.

qq tips pour bien démarrer :
- L'interface d'admin est accessible en tapant http://@IPCOP:1812/interscan
- L'utilisateur et mot de passe après l'install sont "admin" et "admin"

- Pour ceux qui sont habitués au message d'erreur standard que Franck78 a mis dans son addon SquidGuard, voici ce que l'on obtient http://www.kaerlagad.fr.st/virus.JPG en personalisant le message d'erreur dans l'onglet "Configuration" "HTTP Scan" d'InterScan en mettant le code suivant dans la section "Virus Warning Message: " et "Header line: (Including HTML header tags are recommended for better readability)" :

<BODY BGCOLOR="#666699" text="#FFFFFF"> <FONT COLOR="#FFFFFF"><CENTER><H1><span style="background-color: #FF0000">ATTENTION VIRUS</span> </H1></CENTER></FONT> <P ALIGN=CENTER> <IMG ALIGN=CENTER SRC='http://192.168.35.254:81/images/bounceback.png' width="248" height="80" ></P><CENTER>

Le champ SRC=http... est bien sur a modifier en fonction de l'@IP LAN de votre IPCop

- Le fonctionement du filtrage HTTP est assez perturbant puisque lorsque vous voulez télécharger un fichier sur le net, InterScan le télécharge d'abord, l'analyse et seulement après le délivre à l'utilisateur pour enregistrement. En clair cela signifie que pour des gros fichiers, entre le moment où vous cliquez pour le télécharger et le moment ou vous avez la question concernant l'enregistrement, il peut se passer plusieurs minutes.

- Ne pas oubliez de renseigner les champs "Notification Server" et "SMTP Server port" (ex: smtp.wanadoo.fr et 25) dans l'onglet "Administration" d'InterScan si vous souhaitez envoyer des notifications de détection de virus ou spam par e-mail.

- Ne pas oublier de parametrer la mise à jour de l'antivirus dans l'onglet "Pattern Update" ainsi que les règles d'E-manager dans "Emanager Configuration" =>"Content Management"=>"Rule File Update"

Voila, si je pense à autre chose.........

@+
PK

[pkaer]

@Psycotrope

Bonjour,

Je crois que l'on utilise 2 posts sur le même sujet (tu m'as répondu sur l'autre). Il vaudrait mieux continuer sur celui-ci sinon les admins vont nous "allumer". Remarques c'est de ma faute car comme ce n'était pas un problème, je n'ai pas fait de recherche sur le forum et du coup je n'ai pas vu que le sujet avait été abordé il y a plus d'un an.

Concernant le fichier InterScan VW, je ne comprend pas. Tu étais bien à la racine ( cd /) quand tu l'as décompacté ?

@+
PK

[fioul666]

Super tuto , je confirme que le filrage de flux trend est la brique IMPERATIVE pour tout casser dés le firewall (bon ok , en secu en gal il vaut mieux le faire ds la zone de decontamination ... mais c deja super pour du soho)

Merci.

[Chikouille]

Une question me taraude :
Que se passe t-il si l'on download un fichier de 700Mo, un gros zip par exemple, sur une machine avec 525 Mo de HD et 80 Mo de Ram? Si le fichier est telechargé et transmis ensuite, cela risque de prendre plusieurs heures, mais plus grave, le systeme va t-il trouver la place pour le mettre en cache?

Je crains en plus que mon disque antediluvien ne supporte pas la charge de travail si tous les fichiers sont mis en cache sur le disque.

Si je dois changer de disque dur, je remettrais cette solution a plus tard mais je vous remercie quand meme pour nous avoir permis d'essayer.

atchao