Приветствую всех.
Хотел бы узнать, как бороться с червями в локалке? У пользователей появилась гора вирусов, преимущественно черви. Работают только машины с юникс-подобными осями. Виндовые встают.
Заранее благодарен за ответы.
ЗЫ: в сети есть люди разного социального статуса, так что для многих вариант купите антивирус довольно ущербный.
ЗЗЫ: Судя по сообщениям Agnitum Outpost идет arp сканирование. IP адрес машины не показывается, за то получаю макадреса машин. IP абонента могу восстановить. Бывают случаи, что ARP-сканирование идет с управляемых свитчей. После подобного сканирования на незащищенных машиах svchost.exe накрывается.
Черви.
Сообщений: 32
• Страница 1 из 4 • 1, 2, 3, 4
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
Re: Черви.
root » 06 мар 2009, 01:20
бдительность + firewall + антивирус
вот единственные, на мой взгляд, методы борьбы...
выясни что за червь, как именно он распространяется, по каким портам и закрой их в локалке, что бы они были убиты как класс
Я, уже по дефолту, всегда рублю порты: 135-139,445,4444,4445,9999 tcp/udp
я еще, существуют ресурсы, на которых можно подглядеть порты, которые юзает вирусня, например:
http://www.chebucto.ns.ca/~rakerman/tro ... table.html
http://www.jlathamsite.com/dslr/suspectports.htm
http://www.surferbeware.com/firewalls/f ... t-list.htm
или вот такие ресурсы:
http://support.imagestream.com/Blocking ... Worms.html
http://itvibe.com/news/2628/
вообщем http://www.google.ru
вот единственные, на мой взгляд, методы борьбы...
выясни что за червь, как именно он распространяется, по каким портам и закрой их в локалке, что бы они были убиты как класс
Я, уже по дефолту, всегда рублю порты: 135-139,445,4444,4445,9999 tcp/udp
я еще, существуют ресурсы, на которых можно подглядеть порты, которые юзает вирусня, например:
http://www.chebucto.ns.ca/~rakerman/tro ... table.html
http://www.jlathamsite.com/dslr/suspectports.htm
http://www.surferbeware.com/firewalls/f ... t-list.htm
или вот такие ресурсы:
http://support.imagestream.com/Blocking ... Worms.html
http://itvibe.com/news/2628/
вообщем http://www.google.ru
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
Re: Черви.
Андрей » 06 мар 2009, 11:04
Ну а если пользователь не может позволить себе трату на файрволл? как тогда быть?
Компания УфаНЕТ тянет локальную сеть из Уфы в Оренбург и т.д. (география сложная). В этой локальной сети будут десятки тысяч компьютеров и все они будут снабжены файером+антивирусом? я сомневаюсь. Если сеть частично управляема (в сети присутствуют управляемые малые и большие свитчи) какие методы вы можете предложить?
Компания УфаНЕТ тянет локальную сеть из Уфы в Оренбург и т.д. (география сложная). В этой локальной сети будут десятки тысяч компьютеров и все они будут снабжены файером+антивирусом? я сомневаюсь. Если сеть частично управляема (в сети присутствуют управляемые малые и большие свитчи) какие методы вы можете предложить?
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
Re: Черви.
root » 06 мар 2009, 11:31
root писал(а):Я, уже по дефолту, всегда рублю порты: 135-139,445,4444,4445,9999 tcp/udp
я подразумевал, что ТЫ, как пров, рубишь эти порты и тому подобные, по своей сети.
Андрей писал(а):Если сеть частично управляема (в сети присутствуют управляемые малые и большие свитчи) какие методы вы можете предложить?
борьба тока одна - блокировка паразитного трафика на своем оборудовании, как минимум в тех местах, где сходится трафик больших сегментов.
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
Re: Черви.
Андрей » 06 мар 2009, 11:37
а такой вопрос - если сеть побить на VLAN (скажем один дом - один vlan) - может способствовать уменьшению количества вирусов?
(Пример разделения на VLAN 10.10.1.0/24 - один дом, 10.10.2.0/24 - второй дом.)
(Пример разделения на VLAN 10.10.1.0/24 - один дом, 10.10.2.0/24 - второй дом.)
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
Re: Черви.
root » 06 мар 2009, 17:34
разделять сеть на vlan стоит в любом случае
т.к. это много чего дает, но вот что это умешит кол-во вирусов врядли, они же распространяются по TCP/IP...
делишь на вланы и запрещаешь на свиче паразитный трафик
т.к. это много чего дает, но вот что это умешит кол-во вирусов врядли, они же распространяются по TCP/IP...
делишь на вланы и запрещаешь на свиче паразитный трафик
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
Re: Черви.
root » 06 мар 2009, 18:19
я лично не пользовался этими свичами
открой мануал по ним и посмотри, умеют ли они фильтровать трафик
например Dlink 3226, 3526 умеют
открой мануал по ним и посмотри, умеют ли они фильтровать трафик
например Dlink 3226, 3526 умеют
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
Re: Черви.
Андрей » 06 мар 2009, 20:38
я знаю, что на них можно ACL делать и все. Фильтрация вроде не возможна.
.ı|ı..ı|ı.
- Андрей
- местный житель
- Сообщения: 1028
- Зарегистрирован: 14 янв 2009, 13:37
- Откуда: Оренбургская область
Re: Черви.
root » 06 мар 2009, 21:41
Андрей писал(а):на них можно ACL делать и все. Фильтрация вроде не возможна.
ACL - это и есть фильтрация
ACL - Access Control List.
напиши ACL и им заруби порты по которым и распространяется зараза.
-
root - Site Admin
- Сообщения: 1894
- Зарегистрирован: 11 июн 2008, 13:05
- Откуда: Moscow, Russia
Сообщений: 32
• Страница 1 из 4 • 1, 2, 3, 4
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20