blokda stacji roboczych w LAN gdy wirus
oliwa
Poszukuję jakiegoś rozwiązania by blokował router na slackware
komoputery na których jest wirus i przekierowywał na wlasny serwer www
z informacja.
Dziekuje
bardzo prosze o jakies linki, materialy. Google wujek nic nie pokazuje
konstruktywnego
Marek Marczykowski
Pytanie jak chcesz te wirusy wykrywać... Jak już będziesz miał na to
sposób, to dalej łatwo: robisz tabelkę w firewallu w której masz IPki
zawirusowanych i przekierowujesz (DNAT/REDIRECT).
A co do wykrywania, to jak coś udostępniasz sambą, to można do tego
podpiąć clamav (lub inny AV), oraz skrypt odpalany przy znalezionym
wirusie.
http://www.openantivirus.org/
Można też podpiąć do innych "czujek", np AV na serwerze pocztowym, na
proxy (np. squidclamav), analizator ruchu sieciowego (np. snort).
Ogólnie możliwości jest sporo, ale każda z nich ma swoje wady i zalety i
są to raczej półśrodki...
--
Pozdrawiam,
Marek Marczykowski | gg:2873965 | RLU #390519
marmarek at staszic waw pl | xmpp:marmarek at staszic waw pl
http://akademia.linuksa.pl - Szkolenia Linux, PHP, Java, Office
oliwa
> On 2009-12-28, oliwa <ol...@kozacki.pl> wrote:
>
> > Witam,
> > Poszukuję jakiegoś rozwiązania by blokował router na slackware
> > komoputery na których jest wirus i przekierowywał na wlasny serwer www
> > z informacja.
> > Dziekuje
> > bardzo prosze o jakies linki, materialy. Google wujek nic nie pokazuje
> > konstruktywnego
>
> Pytanie jak chcesz te wirusy wykrywać... Jak już będziesz miał na to
> sposób, to dalej łatwo: robisz tabelkę w firewallu w której masz IPki
> zawirusowanych i przekierowujesz (DNAT/REDIRECT).
> A co do wykrywania, to jak coś udostępniasz sambą, to można do tego
> podpiąć clamav (lub inny AV), oraz skrypt odpalany przy znalezionym
> wirusie.http://www.openantivirus.org/
>
> Można też podpiąć do innych "czujek", np AV na serwerze pocztowym, na
> proxy (np. squidclamav), analizator ruchu sieciowego (np. snort).
> Ogólnie możliwości jest sporo, ale każda z nich ma swoje wady i zalety i
> są to raczej półśrodki...
>
> --
> Pozdrawiam,
> Marek Marczykowski | gg:2873965 | RLU #390519
> marmarek at staszic waw pl | xmpp:marmarek at staszic waw plhttp://akademia.linuksa.pl- Szkolenia Linux, PHP, Java, Office
masz takie rozwiaznie gdzies zastosowane?
Co do wykrywania to nie ma problemu, zastosowałem HAVP gdy stacja
kliencka laczy sie i jest na na jakims serwerze wirus to blokuje
dostep do tej strony, chodzi o takie rozwiazanie gdy jest komputer
podpiety lub podpinany do LAN z wirusem by zostal automatycznie
zablokowany z informacja, ze na nim jest wirus.
Marek Marczykowski
> On 4 Sty, 13:25, Marek Marczykowski <marma...@spam.nie> wrote:
>> On 2009-12-28, oliwa <ol...@kozacki.pl> wrote:
>>
>> > Witam,
>> > Poszukuję jakiegoś rozwiązania by blokował router na slackware
>> > komoputery na których jest wirus i przekierowywał na wlasny serwer www
>> > z informacja.
>> > Dziekuje
>> > bardzo prosze o jakies linki, materialy. Google wujek nic nie pokazuje
>> > konstruktywnego
>>
>> Pytanie jak chcesz te wirusy wykrywać... Jak już będziesz miał na to
>> sposób, to dalej łatwo: robisz tabelkę w firewallu w której masz IPki
>> zawirusowanych i przekierowujesz (DNAT/REDIRECT).
>
>> A co do wykrywania, to jak coś udostępniasz sambą, to można do tego
>> podpiąć clamav (lub inny AV), oraz skrypt odpalany przy znalezionym
>> wirusie.http://www.openantivirus.org/
>>
>> Można też podpiąć do innych "czujek", np AV na serwerze pocztowym, na
>> proxy (np. squidclamav), analizator ruchu sieciowego (np. snort).
>> Ogólnie możliwości jest sporo, ale każda z nich ma swoje wady i zalety i
>> są to raczej półśrodki...
>
> Co do wykrywania to nie ma problemu, zastosowałem HAVP gdy stacja
> kliencka laczy sie i jest na na jakims serwerze wirus to blokuje
> dostep do tej strony, chodzi o takie rozwiazanie gdy jest komputer
> podpiety lub podpinany do LAN z wirusem by zostal automatycznie
> zablokowany z informacja, ze na nim jest wirus.
Mam rozwiązanie odrobinkę inne: na sambie clamav i jak coś znajdzie, to:
a) blokuje dostęp do pliku
b) wysyła maila do użytkownika
Dopisanie do skryptu dodawania regułki do iptables nie powinno stanowić
problemu.
--
Pozdrawiam,
Marek Marczykowski | gg:2873965 | RLU #390519
marmarek at staszic waw pl | xmpp:marmarek at staszic waw pl
http://akademia.linuksa.pl - Szkolenia Linux, PHP, Java, Office
oliwa
a moge prosic taki skrypt do iptables?
Marek Marczykowski
W firewallu gdzieś:
iptables -t nat -N zawirusowane
iptables -t nat -N wirus
iptables -t nat -A PREROUTING -j zawirusowane
iptables -t nat -A wirus -p tcp --dport 80 -j REDIRECT
iptables -t nat -A wirus -p tcp --dport 80 -j ACCEPT
iptables -t nat -A wirus -j DROP
i jak znajdziesz jakiś, to:
iptables -t nat -A zawirusowane -s <ip złola> -j wirus
--
Pozdrawiam,
Marek Marczykowski | gg:2873965 | RLU #390519
marmarek at staszic waw pl | xmpp:marmarek at staszic waw pl
http://akademia.linuksa.pl - Szkolenia Linux, PHP, Java, Office
oliwa
dzięki wielkie, pokombinuje. Moge na piriva z pytaniami?
Marek Marczykowski
A po co ukrywać wskazówki przed innymi?
--
Pozdrawiam,
Marek Marczykowski | gg:2873965 | RLU #390519
marmarek at staszic waw pl | xmpp:marmarek at staszic waw pl
http://akademia.linuksa.pl - Szkolenia Linux, PHP, Java, Office
oliwa
> marmarek at staszic waw pl | xmpp:marmarek at staszic waw plhttp://akademia.linuksa.pl- Szkolenia Linux, PHP, Java, Office
Marek Marczykowski
Przykładowo jak jest clamav spięty z sambą, to można tak dodawać
regułki:
Przykładowa linijka logu:
Apr 20 09:59:23 boss smbd_vscan-clamav[11472]: ALERT - Scan result: 'xxx' infected with virus 'Worm.Downadup-62', client: '1.1.1.1'
Z crona co pewien czas:
cat log | grep 'smbd_vscan-clamav.*infected with virus'| sed -e "s/^.* client: '\\(.*\\)'/\\1/" | xargs -n 1 iptables -t nat -A zawirusowane -j wirus -s
No i co pewien czas trzeba przeglądać, czy został jeszcze ktoś z
dostępem do sieci ;)
--
Pozdrawiam,
Marek Marczykowski | gg:2873965 | RLU #390519
marmarek at staszic waw pl | xmpp:marmarek at staszic waw pl
http://akademia.linuksa.pl - Szkolenia Linux, PHP, Java, Office