Subnets.ru

Приветствую всех.
Хотел бы узнать, как бороться с червями в локалке? У пользователей появилась гора вирусов, преимущественно черви. Работают только машины с юникс-подобными осями. Виндовые встают.
Заранее благодарен за ответы.

ЗЫ: в сети есть люди разного социального статуса, так что для многих вариант купите антивирус довольно ущербный.
ЗЗЫ: Судя по сообщениям Agnitum Outpost идет arp сканирование. IP адрес машины не показывается, за то получаю макадреса машин. IP абонента могу восстановить. Бывают случаи, что ARP-сканирование идет с управляемых свитчей. После подобного сканирования на незащищенных машиах svchost.exe накрывается.

бдительность + firewall + антивирус
вот единственные, на мой взгляд, методы борьбы...

выясни что за червь, как именно он распространяется, по каким портам и закрой их в локалке, что бы они были убиты как класс
Я, уже по дефолту, всегда рублю порты: 135-139,445,4444,4445,9999 tcp/udp

я еще, существуют ресурсы, на которых можно подглядеть порты, которые юзает вирусня, например:
http://www.chebucto.ns.ca/~rakerman/tro ... table.html
http://www.jlathamsite.com/dslr/suspectports.htm
http://www.surferbeware.com/firewalls/f ... t-list.htm

или вот такие ресурсы:
http://support.imagestream.com/Blocking ... Worms.html
http://itvibe.com/news/2628/

вообщем http://www.google.ru

Ну а если пользователь не может позволить себе трату на файрволл? как тогда быть?
Компания УфаНЕТ тянет локальную сеть из Уфы в Оренбург и т.д. (география сложная). В этой локальной сети будут десятки тысяч компьютеров и все они будут снабжены файером+антивирусом? я сомневаюсь. Если сеть частично управляема (в сети присутствуют управляемые малые и большие свитчи) какие методы вы можете предложить?

root писал(а):Я, уже по дефолту, всегда рублю порты: 135-139,445,4444,4445,9999 tcp/udp

я подразумевал, что ТЫ, как пров, рубишь эти порты и тому подобные, по своей сети.

Андрей писал(а):Если сеть частично управляема (в сети присутствуют управляемые малые и большие свитчи) какие методы вы можете предложить?

борьба тока одна - блокировка паразитного трафика на своем оборудовании, как минимум в тех местах, где сходится трафик больших сегментов.

а такой вопрос - если сеть побить на VLAN (скажем один дом - один vlan) - может способствовать уменьшению количества вирусов?
(Пример разделения на VLAN 10.10.1.0/24 - один дом, 10.10.2.0/24 - второй дом.)

разделять сеть на vlan стоит в любом случае
т.к. это много чего дает, но вот что это умешит кол-во вирусов врядли, они же распространяются по TCP/IP...
делишь на вланы и запрещаешь на свиче паразитный трафик

а на примере можно, скажем на 3C16980 (3Com)?

я лично не пользовался этими свичами
открой мануал по ним и посмотри, умеют ли они фильтровать трафик
например Dlink 3226, 3526 умеют

я знаю, что на них можно ACL делать и все. Фильтрация вроде не возможна.

Андрей писал(а):на них можно ACL делать и все. Фильтрация вроде не возможна.

ACL - это и есть фильтрация
ACL - Access Control List.
напиши ACL и им заруби порты по которым и распространяется зараза.