Re: Проверка трафика антивирусом

To: debian-russian <debian-russian@lists.debian.org>
Subject: Re: Проверка трафика антивирусом
From: Alexey Lobanov <A.Lobanov@cro-rct.ru>
Date: Tue, 16 Jan 2007 16:26:10 +0300
Message-id: <[🔎] 45ACD272.4020609@cro-rct.ru>
Reply-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] e1219c60701160354k74313c2fn12588c90e2a9ca30@mail.gmail.com>
References: <[🔎] e1219c60701160354k74313c2fn12588c90e2a9ca30@mail.gmail.com>

Hi.

On 16/01/07 14:54, Sergey Kharlamov wrote:

> Столкнулся с проблемой. Поставил машину в роли фаервола. На нем стоят
> iptables, настроен прозрачный мост. Как можно сделать чтобы весь трафик
> фильтровался и автоматически блокировался антивирусом?

А, простите, зачем проверять *весь* трафик каким-то "антивирусом"? Ну
найдет этот "антивирус" нехорошую сигнатуру в псевдослучайном потоке
HTTPS или SSH. Или, того хуже, в тексте входящего письма на вашего
postmaster'а, рассказывающем о реальной проблеме в вашей сети. И кому от
этого будет хорошо?

Так что совет состоит в том, чтобы пересмотреть концепцию. "Прозрачный
мост" оставить для фиксированного набора криптованных протоколов,
которые всё равно проверять невозможно. Документированные некриптованные
протоколы (HTTP, SMTP, etc) - проверять осмысленно, с учётом MIME типов,
не блокируя "вирусы" в заведомо безопасном text/plain объекте.
Недокументированные некриптованные протоколы - закрыть нафиг без анализа :-)

А.Л.

> 
> Заранее благодарю.

Reply to:

Follow-Ups:
- Re: Проверка трафика антивирусом
  - From: "Sergey Kharlamov" <mentax@gmail.com>

References:
- Проверка трафика антивирусом
  - From: "Sergey Kharlamov" <mentax@gmail.com>

Prev by Date: Re: Проверка трафика антивирусом
Next by Date: GNUplot
Previous by thread: Re: Проверка трафика антивирусом
Next by thread: Re: Проверка трафика антивирусом
Index(es):
- Date
- Thread