antivir "na urovni TCP/IP protokolu"
Martin Pokorny
pokokonf na purus.cz
Pátek Září 10 15:23:13 CEST 2004
Jaroslav Filip napsal(a):
>"routovanim packetu". Na Keriu se dal v packetovem firewallu nastavit tzv. inspekcni modul, ktery kontroloval provoz a pokud zjistil, ze je to SMTP provoz, tak to kontroloval na vyskyt viru. Zkousel jsem to a fungovalo to perfektne. To stejne slo udelat i pro jine protokoly. Vzdycky jsem si myslel (a porad to tak delam), ze napriklad pro kontrolu posty potrebuji mit nainstalovany mail server, ktery tu postu bude prijimat, kontrolovat a pripadne posilat dal.
>
>
To nedela jen Kerio, ale (s postou) vetsina antiviru - napr. Norton
Antivirus urcite odesilanou i prijimanou postu. S postou to jde, tam
vice mene znate zacatek a konec komunikace, s webem je to horsi a tam to
i Kerio resi, pri nalezeni viru, jedinym moznym zpusobem: vrati
klientovi (browser) posledni cast stahovanehou souboru poskozenou. Jinak
to resit nejde a osobne to nepovazuji za uspokojive - funguje to jen na
nektere archivy a self-extraktory, ktere kontroluji svou integritu.
>Existuje neco podobneho pro Linux? Nebo jsem uplne mimo misu a uz davno neco takoveho je? Hlavne me to zajima kvuli HTTP protokolu apod.
>
>
Podle meho to ani neni moc potreba. Stran posty nevidim rozdil mezi
"inspekci protokolu" a scanu posty treba Clamem. Stran weboveho provozu
jsem to rozchodil s Squidem, ale vysledek dost neuspokojivy - browseru
squid vraci neco jako "cekejte, stahuji a scanuji..." a az je vse
stazeno a oskenovano, vrati soubor browseru. Vysledek je sice lepsi, nez
Keriovske poskozovani konce, ale cekani bez progress-baru to cini v
podstate nepouzitelnym.
Inspekce protokolu ma vyznam jen v pripade, ze uzivatel saha postovnim
klientem primo na vzdaleny server bez antivirove kontroly. Tam bych asi
volil antivirak na stanici.
M.
Další informace o konferenci Linux