Traquer l'envoi de spam du réseau local

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Traquer l'envoi de spam du réseau local

Messagepar pascal_lucas » 01 Oct 2006 20:25

Bonjour à tous,

Nous sommes confrontés actuellement à un problème d'envoi de spam massifs à partir de notre réseau local.
Orange nous avertit d'une coupure emminente de notre accés internet si nous ne mettons pas fin à ces envois.
Je pensais mettre un parefeu IPCOP afin d'analyse le trafic vers l'internet.

Existe-t'il un add-on permettant de diagnostiquer (le plus aisement possible) l'IP du poste (sur le LAN) émettant ces spams ?

Quels conseils pourriez-vous me donner (à part fermer tous les ports et examiner tous les postes du réseau) pour mettre fin à ces envois ?

Merci pour tous les conseils que vous pourriez nous fournir.

Pascal
Avatar de l’utilisateur
pascal_lucas
Aspirant
Aspirant
 
Messages: 110
Inscrit le: 28 Nov 2003 01:00
Localisation: carvin

Messagepar jdh » 01 Oct 2006 22:38

Il me parait clair que quand on connecte un réseau local, d'une entreprise ou autre, à Internet, il faut utiliser un firewall ... et que celui-ci doit filtrer en sortie (c'est à dire pas comme IPCOP par défaut !).

Il me parait évident que les PC internes doivent OBLIGATOIREMENT passer par un service mandataire (ou de proxy) pour chaque besoin : un seul PC doit faire les requetes NTP, DNS, HTTP, SMTP, .... et ceci en "relais" pour tous les autres PC.

Un envoi de spam ne peut s'arreter que si tu contrôles qui envoie quoi. Il existe pas mal de solutions mais une par protocole.

Donc premier conseil pas d'IPCOP sans BOT. (Pourquoi BOT n'est pas inclus de base ?).

Pour le sujet indiqué, je regarderais du côté de http://wiki.apache.org/spamassassin/MailProxy. Et dans le contexte IPCOP, il faudrait regarder du côté CopFilter.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar pkaer » 02 Oct 2006 07:06

Salut,

Puisque tu postes sur le Forum IPCop, tu dois donc l'utiliser. Tu peux commencer par installer l'addon IPtraff, ceci te permettra de visualiser qu'elle @IP balance sur le port smtp (25). Typiquement tu dois avoir un virus sur une de tes stations qui utilise ce port. Mydoom par exemple le faisait très bien :wink:

Comme l'a suggéré jdh, installe aussi BOT et ne libère en sortie que les ports nécessaires aux seuls stations qui en ont besoin.

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar dsbsystem » 02 Oct 2006 22:09

pkaer a écrit:Salut,

Puisque tu postes sur le Forum IPCop, tu dois donc l'utiliser. Tu peux commencer par installer l'addon IPtraff, ceci te permettra de visualiser qu'elle @IP balance sur le port smtp (25). Typiquement tu dois avoir un virus sur une de tes stations qui utilise ce port. Mydoom par exemple le faisait très bien :wink:

Comme l'a suggéré jdh, installe aussi BOT et ne libère en sortie que les ports nécessaires aux seuls stations qui en ont besoin.

@+
PK


D'ailleurs, en journalisant les logs de BOT sur la règle du port 25, vous verrez immédiatement quelle(s) station(s) tentent d'y accéder.

Mais au fait Pascal, vous n'avez pas d'antivirus-antispyware réseau sous Windows ?????? :twisted:
Plusieurs IPCOP V. 1.4X +( trop ?) nombreux addons ...
Avatar de l’utilisateur
dsbsystem
Contre-Amiral
Contre-Amiral
 
Messages: 404
Inscrit le: 18 Juin 2004 15:59
Localisation: Lorraine

Messagepar jdh » 02 Oct 2006 23:01

Très juste !

La protection "périphérique" (firewall, relais http, smtp, ...) est importante et absolument nécessaire. Mais la protection de chaque PC du réseau interne est aussi nécessaire (quitte à faire 2 contrôles).

Inversement l'absence de certains filtrages au niveau de la "périphérie" permet à la faille d'un PC de se développer sans limite.

Les portables qui quittent votre réseau le soir et reviennent le lendemain après avoir téléchargé pas mal d'hypertophies mamaires et quelque virus à la maison de leur utilisateur ne sont pas si différents de la clé USB que, sans la moindre question ou le moindre doute, on pluge sur le fixe du bureau. (inspiré d'un article de MISC).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron