Черви.

Все остальное

Черви.

Сообщение Андрей » 05 мар 2009, 22:48

Приветствую всех.
Хотел бы узнать, как бороться с червями в локалке? У пользователей появилась гора вирусов, преимущественно черви. Работают только машины с юникс-подобными осями. Виндовые встают.
Заранее благодарен за ответы.

ЗЫ: в сети есть люди разного социального статуса, так что для многих вариант купите антивирус довольно ущербный.
ЗЗЫ: Судя по сообщениям Agnitum Outpost идет arp сканирование. IP адрес машины не показывается, за то получаю макадреса машин. IP абонента могу восстановить. Бывают случаи, что ARP-сканирование идет с управляемых свитчей. После подобного сканирования на незащищенных машиах svchost.exe накрывается.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Черви.

Сообщение root » 06 мар 2009, 01:20

бдительность + firewall + антивирус
вот единственные, на мой взгляд, методы борьбы...

выясни что за червь, как именно он распространяется, по каким портам и закрой их в локалке, что бы они были убиты как класс
Я, уже по дефолту, всегда рублю порты: 135-139,445,4444,4445,9999 tcp/udp

я еще, существуют ресурсы, на которых можно подглядеть порты, которые юзает вирусня, например:
http://www.chebucto.ns.ca/~rakerman/tro ... table.html
http://www.jlathamsite.com/dslr/suspectports.htm
http://www.surferbeware.com/firewalls/f ... t-list.htm

или вот такие ресурсы:
http://support.imagestream.com/Blocking ... Worms.html
http://itvibe.com/news/2628/

вообщем http://www.google.ru ;)
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Черви.

Сообщение Андрей » 06 мар 2009, 11:04

Ну а если пользователь не может позволить себе трату на файрволл? как тогда быть?
Компания УфаНЕТ тянет локальную сеть из Уфы в Оренбург и т.д. (география сложная). В этой локальной сети будут десятки тысяч компьютеров и все они будут снабжены файером+антивирусом? я сомневаюсь. Если сеть частично управляема (в сети присутствуют управляемые малые и большие свитчи) какие методы вы можете предложить?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Черви.

Сообщение root » 06 мар 2009, 11:31

root писал(а):Я, уже по дефолту, всегда рублю порты: 135-139,445,4444,4445,9999 tcp/udp

я подразумевал, что ТЫ, как пров, рубишь эти порты и тому подобные, по своей сети.

Андрей писал(а):Если сеть частично управляема (в сети присутствуют управляемые малые и большие свитчи) какие методы вы можете предложить?

борьба тока одна - блокировка паразитного трафика на своем оборудовании, как минимум в тех местах, где сходится трафик больших сегментов.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Черви.

Сообщение Андрей » 06 мар 2009, 11:37

а такой вопрос - если сеть побить на VLAN (скажем один дом - один vlan) - может способствовать уменьшению количества вирусов?
(Пример разделения на VLAN 10.10.1.0/24 - один дом, 10.10.2.0/24 - второй дом.)
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Черви.

Сообщение root » 06 мар 2009, 17:34

разделять сеть на vlan стоит в любом случае
т.к. это много чего дает, но вот что это умешит кол-во вирусов врядли, они же распространяются по TCP/IP...
делишь на вланы и запрещаешь на свиче паразитный трафик
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Черви.

Сообщение Андрей » 06 мар 2009, 18:12

а на примере можно, скажем на 3C16980 (3Com)?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Черви.

Сообщение root » 06 мар 2009, 18:19

я лично не пользовался этими свичами
открой мануал по ним и посмотри, умеют ли они фильтровать трафик
например Dlink 3226, 3526 умеют
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Черви.

Сообщение Андрей » 06 мар 2009, 20:38

я знаю, что на них можно ACL делать и все. Фильтрация вроде не возможна.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Черви.

Сообщение root » 06 мар 2009, 21:41

Андрей писал(а):на них можно ACL делать и все. Фильтрация вроде не возможна.

ACL - это и есть фильтрация ;)
ACL - Access Control List.
напиши ACL и им заруби порты по которым и распространяется зараза.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 22

cron