necesito saber de un antivirus para filtrar los virus del puerto SMTP de un servidor de correo, que funcione bien, en un s.o. W2000 server.
Gracias
21/11/2002, 05:14
| ||||
| ||||
| Normalmente los buenos servidores de correos implementan soluciones antivirus. el que mejor conozco MDaemon tiene de forma nativa en un módulo con su propio antivirus. A parte de esto el servidor debería de implementar también un filtrado para evitar hoaxes u otros virus que puedan ser filtrado por subject, contenido, etc. Importante también que todo pase por un firewall. Para la mejor configuración de los filtros de correo y firewall podrías instalar un IDS con reglas personalizadas que detecte la entrada en el sistema de virus, hoax y otras especies a apartir de patrones. Mira por ejemplo estas reglas para el caso de Snort y un virus que en su momento causó muchos dolores de cabeza: W32.Sircam.Worm@mm 2001-07-20 -- W32.Sircam.Worm@mm alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Te mando este archivo para que me des tu punto de vista"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Espero me puedas ayudar con el archivo que te mando"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Espero te guste este archivo que te mando"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "Este es el archivo con la informaci=n que me pediste"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I send you this file in order to have your advice"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I hope you can help me with this file that I send"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "I hope you like the file that I sendo you"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible W32.Sircam.Worm@mm"; content: "This is the file with the information that you ask for"; nocase; rev:2;) alert tcp any any -> any 25 (msg:"Virus - Posible VBS.VBSWG2.X@mm Worm"; content: "name=\"Homepage.HTML.vbs\""; nocase; rev:1;) A apartir de estos ejmplos es muy fácil filtrar si por correo se pasan MP3 archivos de video, pornografía, etc. |
|
21/11/2002, 05:36
| |||
| |||
| Muchas gracias por la respuesta, pero en estos momentos es dificil cambiar el servidor de correo con otro que contenga el módulo antivirus, así que me interesaria instalar un IDS. Me podrias decir donde puedo encontrar este tipo de producto. Gracias |
|
21/11/2002, 05:46
| ||||
| ||||
| Bueno, lo del IDS es para configurar ya que este te dirá que tipo de ataques, tipos de información, etc pasan por tu sistema o, en este caso, serivor de correos. Dime que servidor usas ya que cada uno tiene su antivirus más o menos especial. Algunos antivirus como Dr. Web tienen su própio modulo para servidores de correos, McAfee también lo tiene tanto para correo como ftp, etc. Los servidores basados en Exchange también tiene antivirus expecíficos para ellos con gran cantidad de funcionalidades y algunos muy potentes que filtran hasta por cotexto, gramática, etc. Trend Micro tiene soluciones para productos servidores de M$. Sobre el IDS el que mejor puedes implementar es Snort (snort.org) tanto para UNIX/Linux como Windows. Es gratuito. funciona tanto a modo comando como con front-end gráficos como IDSCenter. Sobre snort puedo ayudarte en lo que quieras. |
