Traquer l'envoi de spam du réseau local

[pascal_lucas]

Bonjour à tous,

Nous sommes confrontés actuellement à un problème d'envoi de spam massifs à partir de notre réseau local.
Orange nous avertit d'une coupure emminente de notre accés internet si nous ne mettons pas fin à ces envois.
Je pensais mettre un parefeu IPCOP afin d'analyse le trafic vers l'internet.

Existe-t'il un add-on permettant de diagnostiquer (le plus aisement possible) l'IP du poste (sur le LAN) émettant ces spams ?

Quels conseils pourriez-vous me donner (à part fermer tous les ports et examiner tous les postes du réseau) pour mettre fin à ces envois ?

Merci pour tous les conseils que vous pourriez nous fournir.

Pascal

[jdh]

Il me parait clair que quand on connecte un réseau local, d'une entreprise ou autre, à Internet, il faut utiliser un firewall ... et que celui-ci doit filtrer en sortie (c'est à dire pas comme IPCOP par défaut !).

Il me parait évident que les PC internes doivent OBLIGATOIREMENT passer par un service mandataire (ou de proxy) pour chaque besoin : un seul PC doit faire les requetes NTP, DNS, HTTP, SMTP, .... et ceci en "relais" pour tous les autres PC.

Un envoi de spam ne peut s'arreter que si tu contrôles qui envoie quoi. Il existe pas mal de solutions mais une par protocole.

Donc premier conseil pas d'IPCOP sans BOT. (Pourquoi BOT n'est pas inclus de base ?).

Pour le sujet indiqué, je regarderais du côté de http://wiki.apache.org/spamassassin/MailProxy. Et dans le contexte IPCOP, il faudrait regarder du côté CopFilter.

[pkaer]

Salut,

Puisque tu postes sur le Forum IPCop, tu dois donc l'utiliser. Tu peux commencer par installer l'addon IPtraff, ceci te permettra de visualiser qu'elle @IP balance sur le port smtp (25). Typiquement tu dois avoir un virus sur une de tes stations qui utilise ce port. Mydoom par exemple le faisait très bien

Comme l'a suggéré jdh, installe aussi BOT et ne libère en sortie que les ports nécessaires aux seuls stations qui en ont besoin.

@+
PK

[dsbsystem]

Salut,

Puisque tu postes sur le Forum IPCop, tu dois donc l'utiliser. Tu peux commencer par installer l'addon IPtraff, ceci te permettra de visualiser qu'elle @IP balance sur le port smtp (25). Typiquement tu dois avoir un virus sur une de tes stations qui utilise ce port. Mydoom par exemple le faisait très bien

Comme l'a suggéré jdh, installe aussi BOT et ne libère en sortie que les ports nécessaires aux seuls stations qui en ont besoin.

@+
PK

D'ailleurs, en journalisant les logs de BOT sur la règle du port 25, vous verrez immédiatement quelle(s) station(s) tentent d'y accéder.

Mais au fait Pascal, vous n'avez pas d'antivirus-antispyware réseau sous Windows ??????

[jdh]

Très juste !

La protection "périphérique" (firewall, relais http, smtp, ...) est importante et absolument nécessaire. Mais la protection de chaque PC du réseau interne est aussi nécessaire (quitte à faire 2 contrôles).

Inversement l'absence de certains filtrages au niveau de la "périphérie" permet à la faille d'un PC de se développer sans limite.

Les portables qui quittent votre réseau le soir et reviennent le lendemain après avoir téléchargé pas mal d'hypertophies mamaires et quelque virus à la maison de leur utilisateur ne sont pas si différents de la clé USB que, sans la moindre question ou le moindre doute, on pluge sur le fixe du bureau. (inspiré d'un article de MISC).