Nätandelslagets antivirusstrategi

A propos säkerhet på nätet så tycks spam aktivisterna försöka utnyttja påsken för att sätta antivirusbolagen och användarna i gungning. Jag använder F-Secure och spambrevens antal per dygn växte på långfredagen med ett tag från drygt 10 till över 100. Idag meddelar F-Secure klienten allt emellanåt: 'Anti-spam malfunction'.

Hur ställer vi oss i antivirus-debatten. Vad är nätandelagets ändamålsenligaste antivirus/spam strategi?

Spammen finns i en tjänst kallad e-post. Då är det just den tjänsteleverantörens sak att sköta spammen. Eller så är det e-post mottagaren själv som skall fixa saken.

Lite på samma sätt ser jag på virusstammen. Virusprogrammen körs ju inne i PC:n och inte i andelsslagets nät. De spris förstås via nätet - precis som all annan information. Men nätagaren kan ju inte analysera trafiken och "se" om det är ett virus, porrfilm eller TV-nytt som går i trådarna. Han släpper fram ALLT.

Spammen och virusuarna måste nog skötas på annat håll än hos nätägaren.

Men, vi har ju inte sett allt ännu. Kanske det med tiden dyker upp nya grejer som nätagaren kommer att vidta för att minska ofoget.

Spammen och virusuarna måste nog skötas på annat håll än hos nätägaren.

Om det blir en massa virustrafik så börjar väl också vårt nät fungera dåligt. Så vad gör vi när klagomålen landar hos oss. Skall vi peka på kund och e-post tjänsteleverantör.

Har du några förslag på vad man kunde göra?

Virustrafik låter onekligen lite kusligt men hur vet vi att det är virustrafik och inte nyttotrafik?

Jag kollar in trafiken med ntop och meddelar folk då deras maskin börjar få en massa underlig trafik. Vanligen är den då full av virus.

Inte är det TVH/Destia som ser till att trafikanterna på våra vägar håller sej till trafikreglerna.

Du pekade redan tidigare på ntop och visade en kurva som beskrev trafiken på ert nätverk. Det verkade bra, så jag

Hämtade Win32 installationen och satte programmet på min maskin.
Klarade av att starta demonen.
Lyckades starta demonens web interface med följande url: http://localhost:3000/

Klarade inte heller av att styra programmet från kommandoprompten. Alla försök slutade med meddelandet:

OpenSCManager failed - Access is denied. (0x5)
NOTE: the default password for the 'admin' user has been set to 'admin'.

Men med den informationen kommer man trots allt in på web-sidans Admin meny som innehåller en massa parametrar som man kan ställa in.

Hur ställer man t.ex. in verktyget att följa med trafiken till och från ett visst ip nummer?

Egentligen så kollar ntop in ALLA paket som rör sej i det interface du har ställt in den på (vanligen Ethernetkortet). Du kan använda menyerna för att få meera information om ett visst IP-nummer. Men ntop kan inte kolla trafik som INTE rör sej i ditt nätkort så man måste installera ntop i en maskin som är ansluten till exempel till en gateway för att kunna kolla all trafik.

Det går också att skaffa information från flera olika växlar med SNMP men då måste växlarna stöda sådan informationsanskaffning (vilket våra växlar gör).

ntop är ganska tungt så om du bara är intresserad av ett visst IP-nummer så finns det andra verktyg (massor egentligen). Jag använder snort för att kolla in trafiken på min maskin därför att det har en bra alert-funktion som meddelar om misstänkt trafik och går att konfigurera nästan hur som helst.

Såhär står det på snort tutorialmaterialets 'prerequisites'-sida.

The following programs are needed to run snort:

- apache2 for the web server
- mysql-server for the database
- php5 for the server-based script
- php5-mysql
- php5-gd for graphics handling
- PEAR for PHP Extension and Application Repository

Har inte någon större lust att infoga dessa maskinerier på mitt system. Hur är det behövs alla dessa för att snort skall vara till nytta?

Jag har dessa installerade annars också men jag tror inte de behövs för annat än grafiken. Min snort loggar textmeddelanden i en fil "alert" i /var/log/snort (Linux). Jag har aldrig kollat grafiken. Web servern kör jag inte heller.

Men kanske de är nödvändiga i Windowsversionen ?

Antagligen är de nödvändiga i Win versionen.

Är det möjligt att den är helt web baserad i win versinen!?

Vi fick meddelande om att vi hamnat på svarta listan

http://cbl.abuseat.org

Jag stängde port 25 i vår gateway och kollade loggen. Den visade att maskin 133 skickade massor av paket via port 25 så jag stängde den porten för 133 och ringde ägaren.

Vi har en Linksys router och den har tillräckligt bra funktioner för att man skall hitta den infekterade maskinen.