Antivirus para no ser portador

Imagen de afcazorla
0 puntos

Estimados compañeros:

 

               Trabajo en una empresa en que tenemos sistemas heterogeneos, desde antiguos servidores Novell 3.xx hasta servidores GUINDOS 2003, Linux Ubuntu y Red HAT, etc....

               En su momento propuse una solución de antivirus perimetral, ya que era la única manera de asegurar  que todo lo que entrara en la empresa, al menos fuese analizado.

              El problema es que aunque la solución perimetral ha demostrado ser excelente, tiene una pega, y es que tanto si nos gusta como sino, ralentiza las transferencias. La razón es simple, si descargamos un fichero muy grande, el sistema de seguridad perimetral no puede dejarlo pasar hasta que no lo ha analizado por completo, por lo que el fichero queda retenido en el filtro de entrada hasta que se descarga, obteniendo transferencias de 2KB/s en una conexión con internet de 8MB/S.

              El caso es que hemos tenido que poner un servidor FTP sobre Ubuntu con una conexión a internet solo para él para evitar accesos a la red de la compañía y como contenedor para ficheros de video de gran tamaño, pero cuando nos conectamos a él desde dentro , la cosa se ralentiza como expliqué antes porque el filtro no la deja pasar.

             Se me ha ocurrido una idea, que es poner otra tarjeta de red al servidor y saltarme el filtro, pero claro, tengo que garantizar que los ficheros que me descargo del servidor FTP están limpios. Que si traen un virus y lo descarga alguien desde un GUINDOS a ver la que me cae a mi.

             Y aquí viene la consulta: Algún antivirus, antispyware, anti...... serio, Que analice los contenidos en local del Ubuntu para que de allí solo salgan ficheros limpitos, o alguna otra idea????? 

Un Saludo

Alexis

 

 

 

Imagen de sansatan
+1
0
-1

Buscando he encontrado esto:

http://www.clamav.net/

vía

http://www.ubuntu-es.org/index.php?q=node/28247&page=1 

--------------------------------------

Un error muy frecuente: Confundir valor y precio.

+1
0
-1

--------------------------------------

Un error muy frecuente: Confundir valor y precio.

Imagen de FlorenSola
+1
0
-1

Hola Alexis,

Tienes varias opciones, cada una con sus ventajas e inconvenientes.

Libre y OpenSource, el mejor, sin duda: Clamav. Con él puedes escanear desde linea de comandos, en scripts o con alguno de sus interfaces graficos, el mejor uvscan. Todo esta en los repositorios de ubuntu. Por cierto, no olvides instalar tambien freshclam que es el actualizador del antivirus.
El problema es que no es un antivirus realtime, sino que es ondemand. Esto implica que no escanea cualquier cosa que caiga en el equipo, solo lo que tu le pidas. Va perfecto por ejemplo para servidores de correo o web, ya que programas un script para que las descargas sean escaneadas antes de entregarlas al usuario y ya está.
Pero para un servidor FTP lo veo un poco mas dificil ya que el script para escanear lo que te suban no se como lo podrias hacer...

Si quieres algo comercial en la misma linea McAfee tiene un ComandLine Scanner que hace lo mismo pero con las definiciones de virus de ellos.

Y finalmente el Antivirus Realtime o residente, que escaneará cualquier cosa que se escriba en el sistema, como los de windows.
McAfee tiene uno para linux que funciona decentemente, eso si, comercial...

Como linuxero desde 1995 abogo por el software libre, pero tampoco descartes las soluciones comerciales, ya que a veces son la mejor alternativa para entornos empresariales...

Por eso, laboralmente soy Tecnico certificado de McAfee y he hecho a mi empresa Partner Certificado...

Bueno, para cualquier consulta no dudes en ponerte en contacto, en mi firma esta la web...

Un saludo...

Florenci Solà - Neenux Informàtica
http://www.neenux.com

+1
0
-1

Florenci Solà - Neenux Informàtica
http://www.neenux.com

Imagen de afcazorla
+1
0
-1

Muchas gracias por la info, sobre todo la de Floreci, que es muy amplia.

En principio voy a intentar precisamente por lo restrictivo que va a ser el uso de este servidor, utilizar el CLAMAV. Lo que vamos a hacer es utilizar un usuario "USERIN" y otro "USEROUT".

El usuario USERIN, solo puede poner cosas en el sistema, mientras que el USEROUT puede solo descargar cosas del sistema. Mantendremos dos estructuras paralelas en el servidor, de forma tal que los USERIN pone en el sistema solo lo puede descargar USEROUT cuando el antivirus de el visto bueno, momento en que el fichero en cuestión se pasa a la estructura del USEROUT, y desaparece de la estructura de USERIN.

De esta forma, siempre confiando en la lista de virus y demás bichejos del CLAMAV, podremos garantizar que todo lo que se descarga está limpio.

El script se ejecutaría periódicamente sobre todos los ficheros nuevos recibidos en la estructura de USERIN, siempre y cuando no se estuviera ejecutando en ese momento un proceso de ClamAV anterior que no hubiera concluido.

Que te parece el artefacto ??? ;)

 

Un Saludo

Alexis

 

 

+1
0
-1
Imagen de FlorenSola
+1
0
-1

Hola Alexis...

Lo veo una buena idea... es mas, igual puedes hacer que el script de lanzamiento de clamav esté corriendo continuamente esperando ficheros... 

Con respecto a lo de la lista de virus de clamav, está muy bien y regularmente actualizada (cada dia sacan un versión) con lo qual no creo que tengas problemas...

De todas formas, para evitar algun virus nuevo te recomiendo dos opciones, o dejas los ficheros en cuarentena 48 horas antes de que se los bajen (cosa poco util depende de la prisa que tengas) o también escaneas los del Userout a posteriori por si acaso, y si algun dia te detecta algo, pues ya sabes que tienes que ir a revisar la maquina del usuario que se lo haya bajado (que lo puedes ver en los logs del FTP)

Vernga, un saludo... y suerte... 

Florenci Solà - Neenux Informàtica
http://www.neenux.com

+1
0
-1

Florenci Solà - Neenux Informàtica
http://www.neenux.com