salut a tous
Moi j'ai un serieux probleme d'antivirus, parce que je sais pas du tout comment l'integrer dans mon reseau.
Explication:
je dois faire un server antivirus qui couvre on va dire 150 server de comm qui sont sur un noyau linux modifie sur lequel on ne peut pas mettre d'antivirus...pourtant toutes les communications doivent passer par mon server antivirus, si quelqu'un a une idee...
probleme d'antivirus et de reseau
Modérateur: modos Ixus
22 messages
• Page 1 sur 2 • 1, 2
probleme d'antivirus et de reseau
par olivier707 » 07 Juil 2006 13:38
- olivier707
- Quartier Maître
- Messages: 13
- Inscrit le: 07 Juil 2006 13:35
par S0l0 » 07 Juil 2006 14:30
hello,
Une idee serait de mettre ton Anti-V en mode proxy-filtrant
[ Routeur/firewall ]-----[ Serveur anti-V ]----[ Linux server ]
par contre ca complexifie un peu la configuration du firewall/routeur
Une idee serait de mettre ton Anti-V en mode proxy-filtrant
[ Routeur/firewall ]-----[ Serveur anti-V ]----[ Linux server ]
par contre ca complexifie un peu la configuration du firewall/routeur
-
S0l0 - Contre-Amiral
- Messages: 407
- Inscrit le: 01 Déc 2005 20:52
- Localisation: 21 55
par trance-maniac » 11 Juil 2006 10:14
Une idee serait de mettre ton Anti-V en mode proxy-filtrant
[ Routeur/firewall ]-----[ Serveur anti-V ]----[ Linux server ]
Complètement d'accord... Des petites idées du coté du libre pour te lancer :
- - HAVP : proxy filtrant : blacklist, whitelist, antivirus (clamAV ou autres) : http://www.server-side.de/
- SCAVR : script python qui permet de s'interfacer avec le proxy SQUID pour appeler l'antivirus Clamav : http://www.jackal-net.at/tiki-read_article.php?articleId=1
- mod_clamav : module clamav pour s'interfacer avec le mod_proxy d'Apache : http://httpd.apache.org
- FROX : proxy FTP qui permet de faire de l'analyse antivirus : http://frox.sourceforge.net
- Eicar : Indispensable pour tester tes configurations : http://www.eicar.com/anti_virus_test_file.htm#dl
Bon courage
Why did I make a GNU/Linux Test Environment? Just For Fun (Linus Torvalds)
-
trance-maniac - Second Maître
- Messages: 37
- Inscrit le: 13 Mai 2004 16:29
- Localisation: Rennes, France
par olivier707 » 17 Juil 2006 15:21
Merci bien, je vais regarder tous ça,
Et pour repondre a la question, les flux que je dois analyser, c'est du http, ftp, telnet, smtp et imap.
Franchement ya la solution d'une appliance mais je prefererais avoir un soft sur un server, et je galere un peu... je suis toujours preneur pour des infos, merci bien!!
Et pour repondre a la question, les flux que je dois analyser, c'est du http, ftp, telnet, smtp et imap.
Franchement ya la solution d'une appliance mais je prefererais avoir un soft sur un server, et je galere un peu... je suis toujours preneur pour des infos, merci bien!!
- olivier707
- Quartier Maître
- Messages: 13
- Inscrit le: 07 Juil 2006 13:35
par olivier707 » 18 Juil 2006 10:01
Yop,
Le truc de toutes manieres c'est plutot au niveau du branchement que je galere. je vois pas comment en gros, si par exemple, je mets un server a double entree avec 2 cartes reseau (une d'entree, une de sortie) comment arriver a ce que tous les flux passent par le server, c'est a dire remonte au serveur, et que lui les analyse et les renvoie.
Merci encore, je sais pas si je vais arriver a trouver, mais je cherche encore et toujours....
Le truc de toutes manieres c'est plutot au niveau du branchement que je galere. je vois pas comment en gros, si par exemple, je mets un server a double entree avec 2 cartes reseau (une d'entree, une de sortie) comment arriver a ce que tous les flux passent par le server, c'est a dire remonte au serveur, et que lui les analyse et les renvoie.
Merci encore, je sais pas si je vais arriver a trouver, mais je cherche encore et toujours....
- olivier707
- Quartier Maître
- Messages: 13
- Inscrit le: 07 Juil 2006 13:35
par olivier707 » 19 Juil 2006 10:00
Et si par exemple je mettais un server antivirus avec trois cartes reseaux, une en entree avec un routeur avant pour recuperer les differentes sources, une en sortie avec un routeur apres pour renvoyer vers les differents serveur de communication et une derniere pour controler et administrer le serveur, est ce que vous pensez que ça pourrait faire ce que je veux faire? En gros est ce que l'antivirus va bien analyser les differents flux a risques qui lui passe dedans
J'attend une confirmation ou une infirmation de ce que je fais en esperant ne pas faire une grosse boulette.
Salut
J'attend une confirmation ou une infirmation de ce que je fais en esperant ne pas faire une grosse boulette.
Salut
- olivier707
- Quartier Maître
- Messages: 13
- Inscrit le: 07 Juil 2006 13:35
par jdh » 19 Juil 2006 10:05
Il est évident qu'un serveur disposant de 2 cartes (une vers le réseau local et une vers Internet via ou non un routeur) voit forcément passer TOUT le traffic réseau et est donc à même de filtrer celui-ci.
Mais cela est déjà difficile à faire pour des gens expérimentés ... Donc mon conseil, vises plutôt une appliance.
Mais cela est déjà difficile à faire pour des gens expérimentés ... Donc mon conseil, vises plutôt une appliance.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par olivier707 » 19 Juil 2006 15:56
En fait, je suis obligé d'utiliser un soft, mais le truc, c'est qu'en cherchant bien, j'ai deniché un nouveau concept , le firewall applicatif qui me pose probleme. En gros, si j'ai bien compris, mettre un serveur avec deux cartes reseaux serait plutot bien, mais analyser les flux avec un antivirus ne servirait a rien pyuisqu'ils sont pas capable d'analyser la couche 3 (TCP/IP) et puis c'est pas ce que je leur demande puisque moi, c'est la couche 7 (Smtp, http, ftp et telnet que je veux analyser). Alors je suis toujours pommé, une association decodeur applicatif (decoder couche 3 en couche 7) associé avec un antivirus est-elle possible...j'en suis la, et plus ça va plus je suis pommé
Merci bcp...
Merci bcp...
- olivier707
- Quartier Maître
- Messages: 13
- Inscrit le: 07 Juil 2006 13:35
par jdh » 19 Juil 2006 16:50
Premièrement, il faudrait arreter de parler de couche 3 et couche 7 : le modèle TCP/IP comporte seulement 4 couches et non 7 pour le modèle OSI.
Deuxièmement, un firewall peut être vu comme un "routeur filtrant". Il est routeur grace à 2 interfaces (au minimum) qui sépare les flux "en deça" et "au delà".
Le filtrage peut être plus ou moins élaboré. C'est à comprendre comme justement la couche à analyser.
Les premiers firewalls linux ne travaillait que sur la couche 2 : les ports étaient ou non ouverts. Avec Netfilter/Iptables, on raisonne désormais en couche 3 sur la notion de session (ou le mode "state-full"). Un firewall applicatif va encore plus loin (couche 4), c'est à dire dans l'analyse du contenu de la session et plus préciséement le respect du protocole prévu.
On peut dans ce dernier cas identifier par exemple les pièces jointes inclues dans un mail (smtp ou pop3) ou repérer les fichiers échangés sur le web (http et/ou ftp). Et là un antivirus (et/ou antispam) prend de l'intérêt.
Il y a en ce domaine des solutions tant open-source que commerciale.
Je pense que l'on en a cité suffisamment dans ce fil ou d'autres assez récents pour te laisser digérer ces notions ... (et cela demande du temps même pour les personnes expérimentées)
Deuxièmement, un firewall peut être vu comme un "routeur filtrant". Il est routeur grace à 2 interfaces (au minimum) qui sépare les flux "en deça" et "au delà".
Le filtrage peut être plus ou moins élaboré. C'est à comprendre comme justement la couche à analyser.
Les premiers firewalls linux ne travaillait que sur la couche 2 : les ports étaient ou non ouverts. Avec Netfilter/Iptables, on raisonne désormais en couche 3 sur la notion de session (ou le mode "state-full"). Un firewall applicatif va encore plus loin (couche 4), c'est à dire dans l'analyse du contenu de la session et plus préciséement le respect du protocole prévu.
On peut dans ce dernier cas identifier par exemple les pièces jointes inclues dans un mail (smtp ou pop3) ou repérer les fichiers échangés sur le web (http et/ou ftp). Et là un antivirus (et/ou antispam) prend de l'intérêt.
Il y a en ce domaine des solutions tant open-source que commerciale.
Je pense que l'on en a cité suffisamment dans ce fil ou d'autres assez récents pour te laisser digérer ces notions ... (et cela demande du temps même pour les personnes expérimentées)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par olivier707 » 19 Juil 2006 17:08
Merci beaucoup, je crois effectivement que la digestion va etre longue, et je ne suis pas convaincu qu'elle se passe tres bien, mais bon...
merci encore, @ plus!!
merci encore, @ plus!!
- olivier707
- Quartier Maître
- Messages: 13
- Inscrit le: 07 Juil 2006 13:35
par olivier707 » 25 Juil 2006 09:52
Apres cette longue réflexion, une nouvelle question m'est apparu,
Est ce que selon vous c'est possible de configurer clamav en pont antivirus, c'est a dire faire un pont sur le réseau avec clamAv dessus et faire qu'il analyse les flux qui transitent par les cartes réseaux de cette oridinateur.
Si oui, chose qui serait absolument extraordinaire, comment le configuriez vous pour ceux qui connaissent.
Désolé, de toute ces questions, mais je débute, et c'est pas facile tous les jours,
Merci encore
Est ce que selon vous c'est possible de configurer clamav en pont antivirus, c'est a dire faire un pont sur le réseau avec clamAv dessus et faire qu'il analyse les flux qui transitent par les cartes réseaux de cette oridinateur.
Si oui, chose qui serait absolument extraordinaire, comment le configuriez vous pour ceux qui connaissent.
Désolé, de toute ces questions, mais je débute, et c'est pas facile tous les jours,
Merci encore
- olivier707
- Quartier Maître
- Messages: 13
- Inscrit le: 07 Juil 2006 13:35
22 messages
• Page 1 sur 2 • 1, 2
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)