Есть небольшая сеть. Linux сервер, который дает инет и куча разных клиентов (все версии винды). Клиенты очень часто цепляют какие-то вирусы, и эти вирусы пытаются заразить компьютеры как по локалке, так и компьютеры в интеренет.

Скажите, пожалуйста, может быть есть какие-нибудь программы для linux машины, которые позволяют слушать трафик и вычленять разнличный трафик, который является действием вируса и сообщать каким-либо образом о таком трафике.

Заранее большое спасибо!

• Фильтр на вирусы,screamer, 23:58 , 26-Окт-04
  • Фильтр на вирусы,Сергей Петров, 01:22 , 27-Окт-04
• Фильтр на вирусы,BarS, 05:46 , 27-Окт-04
  • Фильтр на вирусы,Сергей Петров, 07:58 , 27-Окт-04
    • Фильтр на вирусы,DogEater, 10:36 , 27-Окт-04
      • Фильтр на вирусы,Сергей Петров, 11:06 , 27-Окт-04
• Фильтр на вирусы,Anastas, 12:51 , 27-Окт-04
  • Фильтр на вирусы,Сергей Петров, 17:48 , 27-Окт-04
    • Фильтр на вирусы,Anastas, 18:02 , 27-Окт-04
      • Фильтр на вирусы,Сергей Петров, 18:12 , 27-Окт-04
    • Фильтр на вирусы,z3f, 18:07 , 27-Окт-04
      • Фильтр на вирусы,Сергей Петров, 18:21 , 27-Окт-04

>Есть небольшая сеть. Linux сервер, который дает инет и куча разных клиентов
>(все версии винды). Клиенты очень часто цепляют какие-то вирусы, и эти
>вирусы пытаются заразить компьютеры как по локалке, так и компьютеры в
>интеренет.
>
>Скажите, пожалуйста, может быть есть какие-нибудь программы для linux машины, которые позволяют
>слушать трафик и вычленять разнличный трафик, который является действием вируса и
>сообщать каким-либо образом о таком трафике.
>
>Заранее большое спасибо!

попробуйте посмотреть в сторону snort\prelude sensors
тема интересная и очень обширная

>попробуйте посмотреть в сторону snort\prelude sensors
>тема интересная и очень обширная

Ок. Попробую... Спасибо Вам большое!

Что такое Prelude - я не знаю, а вот snort вроде как это ситема обнаружения атак... Хм... Интересно.... На самом деле я просто думал, что есть уже готовые скрипты к tcpdump-у... (Ну, например, если машина за минуту обратилась на порт 135 (кажется) нескольких разных машин, то есть вроятность, что на этой машине сидит какой-нибудь вирус)

Еще раз большое спасибо! Попробую разобраться!

Все через зад, поставь антивирус на клиентов, обновляй все с одного локального места.

>Все через зад, поставь антивирус на клиентов, обновляй все с одного локального
>места.

К сожалению, но это невозможно - клиенты слишком разные, и некотоорые могут встать насмерть что они не ставят антивирур. Так что это не вариант

>>Все через зад, поставь антивирус на клиентов, обновляй все с одного локального
>>места.
>
>К сожалению, но это невозможно - клиенты слишком разные, и некотоорые могут
>встать насмерть что они не ставят антивирур. Так что это не
>вариант

Как вариант - зарезать порты 135-139 в инет + слушать - с кого идут массовые обращения к корневым серверам DNS  того и лечить принудительно

>Как вариант - зарезать порты 135-139 в инет + слушать - с
>кого идут массовые обращения к корневым серверам DNS  того и
>лечить принудительно

Зарезать порты 135-139 - не проблема... Но вдруг кто-то из клиентов действиетльно что-то делает для него полезное в инете именно по этим портам? Слушай, а как можно слушать, "с кого идут массовые обращения к корневым серверам DNS"?

Большое спасибо за ответ!

>Есть небольшая сеть. Linux сервер, который дает инет и куча разных клиентов
>(все версии винды). Клиенты очень часто цепляют какие-то вирусы, и эти
>вирусы пытаются заразить компьютеры как по локалке, так и компьютеры в
>интеренет.
>
>Скажите, пожалуйста, может быть есть какие-нибудь программы для linux машины, которые позволяют
>слушать трафик и вычленять разнличный трафик, который является действием вируса и
>сообщать каким-либо образом о таком трафике.
>
>Заранее большое спасибо!

Осмелюсь посоветовать, что вначале нужно составить
ПЛАН информационных потребностей и схемы информационных
потоков и сервисов (почта, броузинг, СЛУЖЕБНЫЕ отгрузки туда-сюда и пр.),
расписание и режим доступа "кучи разных клиентов" к сервисам.
Затем установить полезные для этого сервисы (даже на одну linux машину),
и потом уже "лечить трафик" будет ГОРАЗДО сподручней, а может и не понадобится ВОВСЕ :).

>Осмелюсь посоветовать, что вначале нужно составить
>ПЛАН информационных потребностей и схемы информационных
>потоков и сервисов (почта, броузинг, СЛУЖЕБНЫЕ отгрузки туда-сюда и пр.),
>расписание и режим доступа "кучи разных клиентов" к сервисам.
>Затем установить полезные для этого сервисы (даже на одну linux машину),
>и потом уже "лечить трафик" будет ГОРАЗДО сподручней, а может и не
>понадобится ВОВСЕ :).

К сожалению все что Вы написли осуществить невозможно =)
Дело в том, что это не сеть в офисе, а homelan, соответсвенно невозможно установить что и в какое время понадобиться клентам. Никаких полезных сервисов на linux сервере устанавливть не нужно - интеренет даеться через NAT. Так что, к сожалению, вопрос пока остаеться октрытым.

Спасибо большое за Ваш ответ.

>Дело в том, что это не сеть в офисе, а homelan, соответсвенно

совсем другое дело!
в ВЫНях каждый клиент себе ставит, что может
(а кто не может, того вы за денюжку лечите :)   )
объявите эту ПОЛИТИКУ, и в чем проблема ?  одни плюсы :))

>невозможно установить что и в какое время понадобиться клентам. Никаких полезных
>сервисов на linux сервере устанавливть не нужно - интеренет даеться через

ну, думаю, squid поставить можно (а к нему антивирусы здесь обсуждались)

>NAT. Так что, к сожалению, вопрос пока остаеться октрытым.
>
>Спасибо большое за Ваш ответ.

>совсем другое дело!
>в ВЫНях каждый клиент себе ставит, что может
>(а кто не может, того вы за денюжку лечите :)  
>)
>объявите эту ПОЛИТИКУ, и в чем проблема ?  одни плюсы :))

=) Да это политика естественно существует... Но дело в том, что есть некоторые перцы, которые не толко сами себе злобные буратыны, что у них вирусы засели, но они так же и сетку заражают (а есть те, которые даже не знают, что такое вирус вообще). Вот именно из-за таких чертей было бы очень здорово, если бы сервер умел на них ругаться - тогда они были бы отключены от сети, пока эта проблема (с нашей помощью, или без) не будет решена. Так что то что я хочу - действительно нужно.

>ну, думаю, squid поставить можно (а к нему антивирусы здесь обсуждались)

Сквид естественно стоит, через него все и ходят. Но инет состоит не только из тех вещей, которые могут кешировать сквид... Что делать с остальным трафиком, который не через сквид идет?

PS А насчет антивируса для сквида - это очень интересно - не слышал о таком, попробую что-нибудь нарыть.

Спасибо большое за ответ!

Может быть все-таки проще посмотреть в сторону антируса? причем не клиентского, а именно серверного?
и проще не через нат все гонять а через сквид? тогда к сквиду и антивирус прикрутить можно...
хотя фиг его знает...
у нас все провайдеры прикручивают к серверам каким-то образом антивирусы. жалобы поступают от клиентов - но редкие.

>Может быть все-таки проще посмотреть в сторону антируса? причем не клиентского, а
>именно серверного?
>и проще не через нат все гонять а через сквид? тогда к
>сквиду и антивирус прикрутить можно...
>хотя фиг его знает...
>у нас все провайдеры прикручивают к серверам каким-то образом антивирусы. жалобы поступают
>от клиентов - но редкие.

Хм... Все через сквид гонять, к сожалению, не возможно.... Есть куча протоколов, которые сквид не поддерживат, а лишать пользователей этих вещей нельзя... Так что все-таки нужно каким-то образом отслеживать активность вирусов в сети, чтобы можно было в приказном порядке лечить те компьютеры, которые делают плохие вещи всем.

Спасибо большое за ответ!