Проверяем HTTP-трафик на лету (HAVP+ClamAV)

Идея хорошая, вот только нет никаких намеков, как это работает в реальной жизни. Например, LA, нагрузка на диски?

Кстати, я и не припомню за последние пару лет, когда у меня хоть один вирус попадал внутрь сетки через HTTP. Все больше через почту :( Хотя разрешенные загрузки контролировать хотя бы таким способом было бы не лишне.

А SSL и почту уже отменили? Да и база ClamAV слабовата, хотя лучше чем ничего, если деньги не хочется тратить.

Да и правильнее было бы не давать админские привелегии юзерам.

Про почту - там же http://www.markelov.net/articles.php?lng=ru&pg=44

>Да и база ClamAV слабовата, хотя лучше чем ничего, если деньги не хочется
>тратить.

И где же она слабовата? То что вирусов со времен ДОСа не знает, так это нафиг
кому нужно сегодня. За последние 6-месяцев ни один вирус по почте не
прошел, да же те, которые появлялись до того, как о них узнали DrWeb и KAV,
так что размер базы, это чисто субъективная оценка, надо смотреть на
эффективность, которая у clamav'а на сегодня тянет на 4+....

> А SSL и почту уже отменили? бухам, манагерам и тп SSL нафиг не нужен (98% личного состава). Почта опять-же ClamAV проверяет. Оставшимся если уж так хоца - можно NAV или NOD32 какой-нибудь купить...

Да вот нашёл пару троянов, ClamWin их не поймал, другие антивири - без проблем.

ClamWin - не висит в памяти и не проверяет "на лету" все что в ОЗУ попадает или к чему на диске обращаешься. Поэтому и троян мог проскачить. ClamWin - это сканер файлов по требованию, и еще проверка почты на клиенте

>За последние 6-месяцев ни один вирус по почте не прошел,

Ну, не преувеличивай :)

У меня прошел пару недель назад. Один, но весьма метко - обнаружился сразу на машине главбуха :) База клама обновилась где-то часа через три после этого и дальнейшее честно отловила. То есть война началась и окончилась, пока я еще спал. Утешило только то, что виндовый админ с KAV его тоже прохлопали.

Тем не менее, для проверки почты - согласен, вполне приемлемое решение. У меня, во всяком случае, жалоб пока нет.

Замечание насчет SSL не совсем понял - если оратор хотел сказать, что хрен такой трафик проверишь на прокси, то да, в этом он прав. Если он все же ухитрится это сделать, думаю, где положено для него найдется тепленькое место работы :)

>Да вот нашёл пару троянов, ClamWin их не поймал, другие антивири - без
>проблем.

ClamWin может иметь какие-нибудь ограничения, но это не означает, что
сам ClamAV не знает про эти вирусы... Они небось в rar3 были пожаты?

>бухам, манагерам и тп SSL нафиг не нужен (98% личного состава).

Нужен. Hint: нормальные менеджеры ходят не только по порносайтам. Тут проблему иначе, чем локальным контролем, вероятно, не решить.

>Ну, не преувеличивай :)

Скажем так, просто везло.... А насчет его пропусков, естественно, они могут быть, т.к. гарантий никто не давал, даже коммерческие антивирусописатели...
У clamav'а обновление баз идет на общественных началах, но даже то, что
в вашем случае это были часы, то уже хорошо, т.к. у ряда антивирусов вообще
базы обновляются раз в сутки...

Вот нормальных как раз и 2% (хотя от конторы конечно зависит). Им антивирь и покупаем. Для всех остальных "урезанных" проксей и фаерволом как раз havp. Просто даже большинство "нормальных" за педелы rbc.ru, mosnalog.ru и тп редко выходят.

>ClamWin - не висит в памяти и не проверяет "на лету" все что в ОЗУ попадает или к чему на диске обращаешься. Поэтому и троян мог проскачить.

Не тормози. Я правой кнопкой нажал "Сканировать".

> ClamWin - это сканер файлов по требованию, и еще проверка почты на клиенте

Угу, причём только в Microsoft Office Outlook. :)

>ClamWin может иметь какие-нибудь ограничения, но это не означает, что сам ClamAV не знает про эти вирусы... Они небось в rar3 были пожаты?

Обычные разжатые экзешники в несколько десятков килобайт.

>Обычные разжатые экзешники в несколько десятков килобайт.

Если разжатые, то обычно все находятся, но тут может быть еще от
версии clamav'а зависит...

>Если разжатые, то обычно все находятся, но тут может быть еще от версии clamav'а зависит...

Скачал последний ClamWin (0.87), проапдейтил базу через инет, занялся проверкой файлов.

Да господи, я о гарантиях и не вспоминаю даже.

Там просто была массовая рассылка этой дряни, не естественное распространение. Очередной вариант Mytob, кажется - даже в ньюсах проскакивало. Определить сравнительную скорость реакции не удалось, так как с утра и сайт KAV, и ClamAV его уже честно отлавливали.

Меряться частотой обновления, наверное, без толку - достаточно, чтобы обновление было своевременным, чтоб как минимум успеть замедлить распространение.

Но опять же, тут мы говорим только о проверке почтового трафика, и вирусы, распространяющиеся этим путем, достаточно медленно расползаются.

В случае с Нимдой, если мне память не отшибло, насыщение произошло где-то минут за десять :)

>Скачал последний ClamWin (0.87), проапдейтил базу через инет, занялся
>проверкой файлов.

Если и этот не найдет, то обязательно заполните форму с отосланными
им вирусами через веб http://cgi.clamav.net/sendvirus.cgi

>Для всех остальных "урезанных" проксей и фаерволом как раз havp

Э, ты эту систему гоняешь в боевых условиях? Не поделишься, насколько она грузит систему, насколько замедляет работу клиента?

> Не тормози. Я правой кнопкой нажал "Сканировать".

Может быть. ClamWin год назад последний раз смотрел. Слава богу на рабочих местах с Win сталкиваться почти не приходится.

> Угу, причём только в Microsoft Office Outlook. :)

Ну если в MS сидишь вполне логично и найтивный Microsoft Office Outlook юзать. :) Я на пример только им и пользовался. Да и Outlook + IE IMHO удобнее в плане поддержки/внедрения. И в шаблонах в GPO из коробки.

> Э, ты эту систему гоняешь в боевых условиях?Не поделишься, насколько она грузит систему, насколько замедляет работу клиента?

http://www.opennet.ru/opennews/art.shtml?num=5859 тут есть.

>>Скачал последний ClamWin (0.87), проапдейтил базу через инет, занялся >>проверкой файлов.

>Если и этот не найдет, то обязательно заполните форму с отосланными >им вирусами через веб http://cgi.clamav.net/sendvirus.cgi

Я неделю назад скачал последний ClamWin (0.87), проапдейтил базу через инет, занялся проверкой файлов.

Сейчас у меня их нет, по памяти нашёл http://xmirror.us/downloads/mirror_plugin.exe.

>Ну если в MS сидишь вполне логично и найтивный Microsoft Office Outlook юзать. :) Я на пример только им и пользовался. Да и Outlook + IE IMHO удобнее в плане поддержки/внедрения. И в шаблонах в GPO из коробки.

У наших вендузятников принято использовать Firefox + Thunderbird.

Угу, спасибо. Цифирки, правда, для меня высоковаты будуть - у меня в такой должности пока крутится Целерон 2.4 о 512 метрах, на котором навешано еще куча всего и в среднем днем LA в районе полтора-два. Но вот tempfs мне чего-то в голову не приходило, так что спасибо :)

> У наших вендузятников принято использовать Firefox + Thunderbird

А у наших - то что админ поставил. Firefox + Thunderbird через SUS апдейтится? или политики GPO для этого дела есть? Конечно Firefox + Thunderbird "это круче", но на них отдельного эникея на поддержку наверно нужно брать - чтоб бегал по рабочим местам поддержкой занимался. Если не прав - исправьте.

А от Outlook я постепенно отказываюсь, переводя народ на внутреннй веб мэйл. И в плане централизованного управления и внедрения проще - ярлык на рабочий стол и все. Но опять же - это только для 98% :O)

>Сейчас у меня их нет, по памяти нашёл
>http://xmirror.us/downloads/mirror_plugin.exe.

mirror_plugin.exe: Trojan.INService-27 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 40405
Engine version: 0.87
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.01 MB
Time: 0.794 sec (0 m 0 s)

и еще:
ClamAV database updated (07 Aug 2005 13-47 +0200): daily.cvd
Version: 1007

Submission: 63612
Sender: Jotti
Added: Trojan.INService-27
Virus name alias: Trojan-Downloader.Win32.INService.gen (Kaspersky AVP),
Trojan.DownLoader.2568 (Drweb)

Т.е. как минимум с 7-го августа он знает про этот троян...

>Т.е. как минимум с 7-го августа он знает про этот троян...

Я ясно помню, что неделю назад ClamWin не нашёл в нём трояна...

>А у наших - то что админ поставил. Firefox + Thunderbird через SUS апдейтится? или политики GPO для этого дела есть? Конечно Firefox + Thunderbird "это круче", но на них отдельного эникея на поддержку наверно нужно брать - чтоб бегал по рабочим местам поддержкой занимался. Если не прав - исправьте.

У нас десктопов всего штук двадцать - никаких SUS, AD. Думаю человек десять (которые только в офисе и 1C работают) на тонкие клиенты посадить (Linux + rdesktop + win2k3). Раз в месяц кто-то поставит галочку "Не удалять сообщения с сервера" и перестанет получать почту из-за переполненного ящика. С такими проблемами я и сам справляюсь.

Наверное это проблема ClamWin, поэтому насчёт баз ClamAV беру свои слова обратно.

>Я ясно помню, что неделю назад ClamWin не нашёл в нём трояна...

Пишите разработчику ClamWin'а, это явно его проблемы, как я и говорил,
сам же нативный clamav под linux'ом этот троян взял без труда и ловит
его с 7-го августа....

Кто автор статьи?? опять тот-же?

ага, опять я ;-O

> Да вот нашёл пару троянов, ClamWin их не поймал, другие антивири - без проблем.

Ну это совсем не показатель! У меня есть в коллекции трой который _никогда_ не определялся и не определяется по сей день никаким серьёзным антивирем (KAV, NAV, DrWeb, McCafee и т.д.). Находил его какой-то старый trojan cleaner, а новые тоже не находят. Вот такой прикол. :)

У меня помню был трабл с кламвином из-за cygwin'a , который шел вместе с режиком виндовым

anonymous задолб уже такие статьи писать ;)

А как насчет доступа по ip и логину? Вообщем авторизация. Наверное лучше squid через havp пускать, чтоб это работало.

>А как насчет доступа по ip и логину? Вообщем авторизация. Наверное лучше squid через havp пускать, чтоб это работало.

можно и так. прекрасно работает сквид за хавпом.

для почты: P3Scan - Transparent POP3 proxy

настраивается за минуту. работает больше полугода без проблем. нагрузка: 400писем/день железо: Р1 166МГц, 64Мб

>Да и база ClamAV слабовата, хотя лучше чем ничего, если деньги не хочется тратить

и если извилины в мозгу есть. потому как тот же дрвеб просто сливает кламаву по полной

> Да вот нашёл пару троянов, ClamWin их не поймал, другие антивири - без проблем.

ну и? у меня кламав ловил такие вирусы, с добавлением которых дрвеб возился почти двое суток.