The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проверяем HTTP-трафик на лету (HAVP+ClamAV)

02.10.2005 00:08

В документе рассмотрена установка прокси сервера HAVP (HTTP AntiVirus proxy) в кооперации с антивирусным ПО ClamAV и кэширующим прокси сервером squid.

HAVP - фильтрующий прокси сервер, ориентированный на проверку потока данных на наличие вирусов. Ключевыми особенностями HAVP являются возможность непрерывной проверки трафика без тайм-аутов и блокировок, а также корректная работа с динамическими и защищенными паролем страницами.

Впервые опубликовано в журнале "Системный администратор" 08/2005.

  1. Главная ссылка к новости (http://www.markelov.net/articl...)
  2. Проверка web-трафика Squid на вирусы при помощи ClamAV и c-icap
  3. Использование ClamAV для проверки ресурсов Samba 3.0.x через VFS в Linux
Автор новости: Андрей Маркелов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/6175-proxy
Ключевые слова: proxy, squid, virus, clamav, traffic, filter
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, test (??), 20:23, 02/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Добавляем в crontab строчку, запускающую команду по обновлению антивирусных баз:
    >1 * * * * /usr/local/bin/freshclam -quiet

    каждую минуту?
    Автор извращенец?

    >Правим файл /usr/local/etc/clamav.conf. Добавляем:
    >LocalSocket /var/run/clamd.sock

    99% даю, что у юзера clamav не хватит прав создать этот сокет.

    umask

     
     
  • 2.4, Voltsifer (??), 23:05, 02/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый час....
     

  • 1.2, Аноним (2), 20:58, 02/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А поделится кто-нибудь статистикой - сколько вирусов ловится и какое железо надо/использует+загрузка.


     
  • 1.3, Аноним (2), 22:19, 02/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    " The other method is to use the cron daemon. You have to add the following line to the crontab of the root or clamav users:

    N * * * * /usr/local/bin/freshclam --quiet"

    в доке написано

     
  • 1.5, prog10 (?), 02:24, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что связка dansguardian+ClamAV уже не устраивает?
    юзерам выдается хтмл страница с названием вируса и пр фигней(мыло админа и др) Одновременно Дансом можно регулировать доступ к узлам.Привязка в сквиде проста, хттпс коннекты не фильтруются, возможностей в нем больше.
    У себя поставил в сети на 120 машин , нормально фильтрует уже больше года, сообщая админу о найденых вирусах.
    Разгружает сквид, беря на себя задачу ограничения доступа.
    Пробовал разнообразные программы (не вспомню названий - давно было) штук 6 пробовал, остановился на Дансе.
     
     
  • 2.8, dvg_lab (??), 09:36, 03/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А dansguardian небось под линуксом юзается? Под FreeBSD 5.4 хотелось бы заюзать...
     
     
  • 3.10, LuckyBird (??), 09:55, 03/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А dansguardian небось под линуксом юзается? Под FreeBSD 5.4 хотелось бы заюзать...
    >


    ОН и под бсд нормально живёт - один только минус из-за которого от него отказался - acl по ip кривой

     
  • 3.26, Kirgudu (?), 11:17, 17/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А dansguardian небось под линуксом юзается? Под FreeBSD 5.4 хотелось бы заюзать...
    >

    Изучаем матчасть.
    cd /usr/ports
    make search name=dansguardian

     

  • 1.6, Аноним (2), 03:44, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А зачем cron? freshclam отменили?
     
  • 1.7, Аноним (2), 03:54, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    freshclam --daemon
     
  • 1.9, Аноним (2), 09:40, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2 prog10
    > А что связка dansguardian+ClamAV уже не устраивает?

    вам же в статье написали - dans - платный для ком. использования. Вы его у себя в конторе купили?

     
     
  • 2.25, SlOPS (?), 10:26, 07/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >2 prog10
    >> А что связка dansguardian+ClamAV уже не устраивает?
    >
    >вам же в статье написали - dans - платный для ком. использования.
    >Вы его у себя в конторе купили?


    Да будет Вам известно, что есть платный и бесплатный, причем последний принципиально не хуже. Есть одна трабл: прожорливость к ресурсам, вернее к памяти...

     

  • 1.11, DustpaN (?), 09:57, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вообщем не оень стабильное решение, в добавок логи  потом не проанализирлвать, если вешать вместе со сквидом и делать HAVP parent-proxy тоже ничего хорошего.
     
  • 1.12, Григорьев Михаил (?), 11:13, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну просто ахиренная дока... :( Автору руки оторвать нужно... Можно подумать что установка ClamAV заканчивается обновлением баз и прописыванием через какой сокет работать.

    Статья просто не о чем!!! Никакого сравнения с другими решениями, есть упоминание о dansguardian и всё!

    Давайте еще я такую же фигатень в 2-х строчках напишу как я drweb-icap c squid подружил!

     
  • 1.13, MoHaX (??), 11:34, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А просветите, чем по вашему заканчивается установка clamav?
     
  • 1.14, arachnid (ok), 14:21, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если я правлиьно понимаю, то в этом случае никакой авторизации невозможно?
    а можно сначала squid (и его схемы авторизации), а потом уже havp (который и смотрит в нет) ?
     
     
  • 2.16, Маркелов Андрей (?), 16:36, 03/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >а можно сначала squid (и его схемы авторизации), а потом уже havp (который и смотрит в нет) ?

    Можно. Сейчас у меня так и работает. клиент...-squid-havp-...инет

     

  • 1.15, liks (??), 16:35, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Люди! В том же журнале было еще 2 решения. Как раз было описано и DansGuardian. Так что не наезжайте на человека.

    DansGuardian бесплатен! Платен SmoothGuardian (может в названии ошибся). Зайдите для начала на сайт http://www.dansguarian.org.

    Накинулись млин на человека. Вам пиши, пиши, а Вы лишь раскритиковать. Нормальная статья. Мне понравилась.

     
  • 1.17, Маркелов Андрей (?), 17:01, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > DansGuardian бесплатен! Платен SmoothGuardian (может в названии ошибся). Зайдите для начала на сайт http://www.dansguarian.org.

    Поправьте меня:
    http://dansguardian.org/?page=download

    "Before downloading, please read the copyright for DansGuardian 2. DansGuardian is not free for commercial use"

    Тут: http://dansguardian.org/?page=copyright2
    расписанно подробнее.

     
  • 1.18, Jevgenij (?), 18:11, 03/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Squid + Dansguardian + DGAV (проверка на вирусы) сильная вещь, единственные грабли - не нашел как заставить после этого Squid работать со своими ACL'aми. Может кто сталкивался?
     
     
  • 2.22, prog10 (?), 00:33, 05/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    я просто конвертировал аклы сквида в списки доступа дансгуардиана, не парился по этому поводу.
     

  • 1.19, vitaly (??), 06:37, 04/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не совсем понял , из коментариев следует , что если прикрутить проверку как в статье , то acl в squid перестанут работать и доступ будет иметь кто угодно?
    или все таки все останется в силе, т.е. squid рулит доступом
    и можно ли будет в этом случае получать по логам squid статистику тем же sarg?
     
  • 1.20, Аноним (2), 08:57, 04/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как прикрутить HAVP к FreeBSD? Пробовал HAVP-0.64 c патчем, на 5.4, не получается. При запуске, после установки ругается на spinlock.
     
  • 1.21, prog10 (?), 00:30, 05/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    <вам же в статье написали - dans - платный для ком. использования. Вы его у себя в конторе купили?>

    1)Объясните что значит коммерческое использование - это если иметь с его использования прибыль, т.е продавать , биллинговать за деньги и пр....?
    2)У себя в конторе я трафиком не торгую,доступ к интернету для пользователей бесплатен( к сожалению:-)), прибыли ни мне ни конторе от этого нет - есть только защита от возможных убытков от вирусов, но это не прибыль.....
    3)Файл лицензии, который прилагается к сырцам данса гласит, что это GNU лицензия и упоминаний о ограничениях нет ничего - так что в суде можно ссылаться на этот факт(не дай Бог никому).

    Дансгуардиан ставится на фрю и на obsd(правда  не уверен есть ли порты).В доках к нему есть упоминание и о солярке.
    Списки контроля доступа используются свои, есть целая куча полезных настроек...К тому же данс прикручивается и к OOPS.

     
     
  • 2.24, Маркелов Андрей (?), 09:12, 05/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > 1)Объясните что значит коммерческое использование - это если иметь с его использования прибыль, т.е продавать , биллинговать за деньги и пр....?

    На сайте данса объяснили уже. А ссылку я уже приводил. Написано там следующее:
    Definitions
    ...
    [2] Commercial Use: Use (running, selling, installing for a charge, installing as part of a service, developing further and selling, using as part of a product) by any commercial or non-commercial organisation. Commercial use specifically excludes use (running and installing) by educational establishments and others listed under non-commercial use. Commercial use specifically excludes the act of selling DansGuardian 2 as part of an unix-like OS distribution by companies such as RedHat or Mandrake or their resellers.

     

  • 1.23, Рачков игорь (?), 00:48, 05/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Log File Format
    # 1 = DansGuardian format        2 = CSV-style format
    # 3 = Squid Log File Format      4 = Tab delimited
    Удобная вещь для генерации статистики....В общем данс рулит.
    Радует то, что отлов вирусов CLAMAV из http контекста идет эффективнее чем у касперского - меньше ложных срабатываний(правда мудрецы из AVP утверждают обратное, считая что CLAMAV просто ... не антивирус....)Но это отдельная тема...

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру