Linux et Antivirus ? - besoin de réponses et de conseil

Bien le bonjour tout le monde !

je viens quérir votre aide pour une nouvelle question qui se pose à moi. Enfin plusieurs. Je vous avez bien dit que je reviendrais

Je veux installer un serveur LINUX qui fasse le mur entre Internet et le réseau local de mon entreprise.
Données :____
L’Internet sort d’un boitier Wanadoo qui ne délivre que des adresses privées (il fait donc du NAT PAT). Ce boitier " ira " sur le pc-serveur LINUX, et de mon serveur, la connection ira sur un switch où sont connectés les ordinateurs et les hubs …

Question 1 :
Existant à ma connaissance peu de virus ciblant LINUX, mon réseau (qui est Windows) est-il à l’abri des virus ? ou passeront-ils à travers ?
1-b : si non quel antivirus dois je mettre sur mon serveur pour qu’il intercepte TOUS les virus ?

Question 2 :
Connexion partagée LINUX/Windows, ça crée beaucoup de problème ??
[[Edit : je viens de penser ; mon serveur va t il devoir faire du pat aussi ???]]

Question 3 :
iptables est - il un pare feu correct si on le configure bien ??

Voilà, ça peut paraître simplet ou absurde comme question mais je débute complètement en Nunux

J’espère que vous pourrez m’aider.
D’avance merci !!

Wol.

1/ Oui, les virus ciblent windows donc oui le serveur est plutôt épargné. Par contre, ce n’est pas le cas du poste client. Imagine que le virus soit dans un e-mail…

2/ Connexion partagé : aucun pb.
3/ Iptable est très bien quand il est bien configuré.

Je ne suis pas un spécialiste, mais je peux quand même t’éclairer sur quelques points.

S’il est en usb, ça peut poser des soucis de drivers, pense à le connecter en ethernet ou tout se passe sans problèmes

Si ton serveur fait office de passerelle internet, rien n’empeche les utilisateur sur les postes windows de se connecter à internet et de télécharger tous les virus qu’ils veulent.
Un solution pour résoudre ce problème peut-être d’installer un proxy sur le serveur linux pour filtrer et analiser tous les paquets qui passent, ça ralentira la connexion internet, mais ça peut aider.
Bien évidement, ça ne dispense ABSOLUMENT pas de mettre des anti virus et firewall sur les postes windows connectés derrière, car même si c’était infaillible (et rien ne l’est) les utilisateurs peuvent toujours connecter leur clé USB sur leur machine rempli de toutes les cochoneries qu’ils ont pu trouver sur sekse.com la veille chez eux !

L’intéret de mettre une passerelle linux à ce niveau est surtout de faire office de firewall et ainsi d’éviter les attaques directes sur les services présents sur ton réseau.

Il n’exite AUCUN antivirus qui intercepte TOUS les virus, et comme je l’ai dit plus haut, une passerelle ou un routeur n’est pas censé regarder dans le protocol http pour voir ce qu’il y a, il te faut un proxy pour ça.
Comme antivirus, tu peux en installer plusieurs en même temps, comme clamav, fprot (pas sur qu’il est libre celui là…), …

Ca ne crée pas de problème, les protocols réseau sont indépendant de l’OS et de l’architecture des machines.
Pour faire ce que tu souhaite, il faut de tourner vers iptables et éventuellement vers des serveurs dhcp et dns.

iptable, qui est une interface en ligne de commande au parefeu inclu dans le noyau linux netfilter fait tout ce dont tu as besoin (partage, firewall, masqurading, nat, …)
Il n’est pas excessivement difficile à configurer, néanmoins, il faut mieux s’y connaitre un peu en protocol réseau (principalement ip).
Je te conseil des logiciel de plus haut niveau (guarddog par exemple, y’en a d’autres certainement mieux mais je ne n’utilise que iptable, donc je ne connais pas) ce qui t’évitera d’avoir à t’embeter avec des problèmes non liés au firewall (lancement automatique au démarage de la machine, …)

Pour ce qui est du partage, le mieux (à mon avis) est d’installer sur ton linux un serveur dhcp qui attribura les adresses aux client derrière, ainsi que les paramètres plus important comme la passerelle et les dns.
Tu peux aussi mettre la configuration de tes machines windows en fixe, avec comme passerelle et dns l’adresse de ton serveur linux et installer un dns (qui fera office de cache par la même occasion par rapport à celui fourni par FT).
Ainsi, seule l’interface internet de ton serveur sera dynamique (fournie par le modem) et tu auras une meilleur maitrise de ton réseau et de ce qui s’y passe (par exemple, tu pourras interdire toute nouvelle connexion en limitant les accès aux bons couples addresse ip/addresse mac voir /prise rj45 si tu as un “switch++”)

Voila, bonne chance dans tes recherches

Salut !

Merci beaucoup !!

Pour iptables il y a des tutos sur le web, je ferais de mon mieux pour qu’il soit bien configuré ^^

Donc il ne me reste qu’à trouver un antivirus qui filtre les virus linux (et windows?).
Quelqu’un en connait un bien ??

Comment faire pour que la sécurité contre les virus soit maximum à partir de mon serveur ??

Wol.

Je pense qu’il y a des antivirus qui scanne le traffic depuis le serveur.
Attention : aucun anti virus n’est capable de détecter tous les virus connus et inconnus (Théorème de Cohen) mais on peut en trouver de bon qui détectent au moins les virus connus

Pour iptable, tu as de jolies interfaces graphique dans la plus part des ditribution qui simplifient la tâche.
Un bon site d’aide :
http://lea-linux.org/cached/index/Reseau-secu-iptables.html#

Erf lol posts croisés !

Ben salut à toi aussi et merci de ta réponse, je réponds à mon tour :

-> Le boitier Wanadoo se connecte avec un câble réseau

-> Les clients ont leur antivirus, mais j’aimerais que le maximum soit épuré à l’entrée du réseau…
Un proxy ?? J’ai toujours eu un peu de mal à saisir ce que cela faisait. Si tu me dis que ça scannera un peu tout ce qui passe, ça peut fortement m’intéresser, que dois-je utiliser pour ça ? iptables peut le faire aussi ??
J’avais lu un truc sur “nids” aussi ça avait l’air pas mal… qu’en penses tu ??

-> Quand je disais TOUS les virus, je n’avais pas pris en compte le même sens de ce mot ^^ je ne parlais pas d’être infaillible, je sais depuis longtemps que c’est impossible. Je parlais de virus qui soit linux ou windows… un antivirus ne cible pas un virus spécifique à son O.S. au moins ?

-> Comme le boitier wanadoo distribue déjà des adresses… je me demandais si c’était obligatoire de faire du nat pat pour que les adresse passe à travers mon serveur…, tu penses qu’en plus du pat il faudrait que je les attribue moi-même ?
Puis je conserver le même outils ? ou lequel faut il employer ?? :sweet:

Merci vraiment beaucoup pour ta réponse, j’espère que ça t’ennuieras pas de m’aider encore ^^ je pose beaucoup de questions ! lol

A bientot

Wol.

[[Edit : re post croisé : merci je vais voir le lien de suite ! ^^]]

je suis pas spécialiste des proxy, mais je pense que les autres m’insulteront très vite si je dit des bétises, alors je me lance :paf:

Un proxy (généralement proxy http mais je pense que cela doit exister aussi pour d’autres protocoles) sert d’intermédiaire au niveau du protocol de haut niveau (ici http) entre deux réseaux. en clair, les machines de ton réseau (moyennant une configuration tres simple dans la plupars de navigateurs) font toutes leurs requêtes http au proxy qui lui les fait ensuite EN SON NOM sur le web, le serveur web répondra donc A TON PROXY et lui retransmettra la réponse au bon client.
L’intéret de ceci est que le proxy à “un droit de regard” sur le flux http qui transite et donc il peut le soumettre à un antivirus !
Ceci ne peut pas être fait à partir de netfilter car le protocol http est d’un niveau sémantique très élevé (inconnu au niveau de netfilter qui sait décoder et gerer jusqu’a ip comme tous les routeurs et un peu de tcp et udp aussi) qui est en plus complètement implémenté au niveau utilisateur et pas kernel. il faut donc un système de plus haut niveau pour le décoder et l’analyser et éventuellement interagir à une étape intermédiaire entre le client et le serveur “final”
Squid est un des proxi les plus connu et utilisé sous linux (il en existe surement d’autres, renseigne toi)

les antivirus comme clamav détectent principalement les virus destinés à windows même s’il sont executé sur des plateforme linux (sinon, il n’auraient pas beaucoup de boulot, et ils seraient au chomage technique ;))

si tu veux mettre une machine linux entre ton modem et ton réseau et que c’est le modem qui s’occupe de la configuration et de la distribution d’addresses de ton réseau, il faut que ton serveur soit un simple pont pour laisser passer les messages de niveau 2 (couche mac) entre ses deux interfaces. mais de cette façon, il ne pourra plus gerer les ip comme une passerelle et sera dans l’incapacité de faire office de firewall. tu pourras tout de même t’en servir comme proxy si c’est ce qui t’intéresse.
Si tu veux aussi en faire un firewall, il est indispensable que ce soit une passerelle et qu’il gère les transactions ip entre ses deux interfaces.

je ne sais pas ce que tu appelle “pat” mais le fait de fixer toi même les paramètres réseau des machines évite bien évidement d’avoir des logiciels qui s’en occupent.
Si néanmoins tu souhaites laisser la config de ton parc en automatique, et configurer ton serveur en passerelle/routeur/nat il te faudra installer et configurer dessus (ou sur une autre machine dédié) un serveur dhcp (dhcp3-server sous debian, le nom doit ressebler sous les autres distrib) et peut-être aussi un DNS dans le cas ou celui de ton fournisseur d’accès change régulièrement et que tu ne veux pas t’embeter à changer la configuration de ton dhcp (bind9 est un des plus utilisés)

Salut !

Encore une réponse merci !! :love:

Donc si je comprends bien j’ai du boulot ^^ l’idée me plait, tu crois que c’est réalisable en 36 heures ??

Je dois faire :

• un firewall (j’ai fini par mixer plusieurs trucs pour faire un script
  qui se lancera au démarrage (normalement) avec iptables)
• un antivirus => solution Clamav
• un proxy => solution Squid (je prends les premiers conseils ^^)
• un serveur DHCP => Solution Bind9
  je suis en train de télécharger tout ça.
  As-tu des conseils à me donner pour leur configuration ? une mise en garde à faire, je prends tout ce qu’on me donne !!

Pour administrer le tout, on m’a parlé de Webmin…
Bien ? pas bien ? parce qu’avoir une interface graphique par la suite pourrait m’interesser fortement :lol: j’ai pas trop l’habitude de tout ce code :ane:

Encore merci !
A+

Wol.

bind9 c’est du dns, pas dhcp.
webmin, je ne m’en suis jamais servi, mais il y a de bon retours dessus sur le net, donc je pense que ça doit être pas trop mal !

deux point tout de même :

• Fais toi aider par un spécialiste en réseau, je ne sais pas quel est ton niveau, mais une personne qui n’y connait pas grand chose NE PEUT QUE COMMETRE DES ERREURS de configuration, surtout la première fois !!!
• quelle distribution utilises-tu ? (distribuion + version + points particuliers) et quel est ton niveau ? (qu’as-tu déjà fait, que sais-tu faire) c’est généralement les premières choses à annoncer quand ont va demander de l’aide sur un forum !

1er conseil : Laisse tomber squid car les virus arrivent a 99% par email et le reste arrive par des failes sur les services reseaux de windows (qui seront proteges par ton are-feu).
L’idee du proxy est tres seduisante en apparence mais ca pose pleins de probs en pratique…
En plus c’est chiant a configurer et il faut trouver un juste equilibre tres difficile a obtenir entre le filtrage et la securite.
Ce n’est que mon avis et ca n’enegage que moi bien entendu. Je peux detailler mon point de vue si tu le souhaites.

2e conseil : lis les docs…

Monte ta passerelle et colle s’y un bon firewall, apprends a bien la gerer et arrive a comprendre pleinement le fonctionnement d’un firewall (snat, dnat, redirection, etc) , ca sera deja pas mal…
Pense aussi au fait que tu dois trouver un moyen de rendre les choses simplement modifiables lorsuqe tu n’es pas la (conges, depart, etc)

Mea Culpa,
c’est vrai que c’est la première chose que j’aurais du faire
(d’ailleurs je pensais l’avoir fait ^^ quel tête de linotte je fais !)

Merci quand même d’essayer de m’aider, jvais essayer d’être un peu moins boulet.
Je réponds à tes questions :

1. Mon niveau ? Quasi nul ! Je ne touchais pas à Linux avant mon stage…
   J’ai bien écouté tout ce que me disais mes potes pro Linux mais on peut pas dire que je “sais” ce qu’ils m’ont expliqué… ils vont vite et n’aiment pas se répeter… J’ai néanmoins assisté à la mise en place d’un serveur linux avec Samba dessus et nfs…mais ici ça me servirait à rien :ane:

2. Je pourrais pas me faire assister par un pro, dans l’entreprise où je fais mon stage je suis le seul qui ait un lien avec de l’informatique qui soit autre que “je tape sur le clavier” ^^… ça te rassureras pas mais même si je suis nul, je ne suis pas crétin… je ne bourrine qu’avec mon matériel à moi, ici j’en prends soin, et je demande sur le forum avant de faire des bêtises, et je comprends quand même ce que je fais (sinon je fais pas).

3.Ma distribution c’est la Debian2.6, c’est le CD qui était prêt à l’emploi, y’a pas grand chose à dire dessus de plus… Je l’ai installé, j’ai mis l’interface graphique gnome comme chez un pote… j’ai installé sous leur conseil synaptic (c’est vrai que c’est pas mal pour moi) et le reste ben j’ai fais avec Google et synaptic … ainsi que le forum clubic

Pour le dhcp y’a un programme que tu pourrais me recommander ?
Je prends toutes les bonnes adresses me dirigeants vers un tutoriel…j’en cherche moi même.
Merci pis à + je vais déjà installer l’antivirus.

Wol.

KP2, j’avais pas lu ton message

Oui, si tu as le temps ton opinion détaillée m’interesse.
Pour la passerelle… pardon pour mon boulétisme,
j’aimerais savoir ce que ça sera et fera dans mon cas …

Concernant les docs j’ai appris à me servir du man et de --help.
Ensuite y’a les tutos où les sites plus ou moins liés du net.

Merci pour votre patience.

Wol.

[[Edit :
Pour le dhcp, je viens de voir dhcp3-relay sur Google, un relais, ça marcherait dans mon cas ??]]

kp2 : ça m’intéresse aussi, comme je l’ai dit dans mon premier post, je ne suis pas un spécialiste et je n’ai moi même jamais mis en place un tel système de filtrage, donc ça fait jamais de mal d’en apprendre un peu plus

TRES TRES bonne initiative :jap: c’est comme ça qu’on apprends et qu’on progresse

pour debian, c’est sarge (stable), etch (testing) ou unstable(sid) mais 2.6 c’est le kernel, en sachant que les trois versions utilisent un noyau 2.6

pour le serveur DHCP, fait une recherche, il me semble que le paquet s’appelle dchp3-server mais je ne suis plus très sur…

devrait t’aider (ou synaptic si tu préfères)

pour le configurer, le fichier est /etc/dhcp3/dhcpd.conf sa syntaxe est “relativement” simple et tu peux trouver des tas d’exemples sur le net en cherchant “dhcp3 + config”
Quand tu as modifié la config, relance dhcpd avec la commande /etc/init.d/dhcpd restart (en root)

Pour ma debian, c’est la sarge !!
Je savais pas qu’il en existait 3…

Sinon : Tu as raison,
il y a bien un dhcp3-server sur synaptic, et aussi un dhcp3-relay comme indiqué par Google. L’un fait serveur, l’autre relais. Sachant que ma boite wanadoo administre les adresses dynamiques, un relais suffirait-il ?
Dans tous les cas, merci infiniment pour tes tuyaus.
Ca fait plaisir de pas se sentir seul avec son ignorance

Je continues petit à petit ^ ^
Y’a des trucs à configurer pour Clamav ?
Tout ce lancera au démarrage ??

Merci.

Wol.

j’ai jamais rien configuré sur clamav, il se lance tout seul au démarrage et la mise à jour de sa base de donnée est faite par freshclam appelé régulièrement par cron (automatique donc) et l’antivirus est mis à jour avec le reste de la distrib par le système de package debian (apt, aptitude, synaptic, …)
Pour ce qui est de la zone de quarantaine et de la signalation de virus trouvé, je ne sais même pas comment c’est fait :paf: je pense simplement que cela est configuré par défaut comme tous les services système sous débian, s’il y a quelque chose d’important à signaler, un mail est envoyé à root et quand je passe root dans un terminal, il me dit que j’ai des mails, un petit tour sur le man de la commande mail et c’est partit pour les lire
Faudrait que je jette un oeil de plus près un de ces quatre, si ça se trouve il a mis en quarantaine plein de virus déjà :paf:

pour dhcp3-relay, je ne l’ai jamais utilisé, donc je n’en sait rien, je ne savais même pas qu’un truc pareil éxistait.

pour debian, sarge est la dernière version sortie, dite aussi “stable”. c’est la bonne version à utiliser sur un outil de production en entreprise et plus particulièrement sur un serveur !
maintenant, il y a aussi testing (son nom actuel est etch) qui est la version en dévelopement qui finira par devenir la prochaine stable (elle s’appellera donc etch et plus sarge) c’est la version que je conseille pour un non expérimenté qui veut installer une debian chez lui “pour s’amuser” (bureautique, internet et multimedia) car elle est plus à jour que sarge au niveau des versions des logiciels et donc des fonctionnalités de ces derniers !

Enfin, il y a unstable (sid) qui elle ne sortira jamais, elle sert de zone tampon ou les paquets vont pendant quelques jours avant d’aller en testing, de ce fait, elle est assez instable (surtout au niveau packaging car c’est là qu’arrivent les nouveaux paquets) et il arrive régulièrement qu’elle soit “cassée” et qu’elle ne fonctionne pas correctement, c’est pour ça qu’elle est plutot réservée aux experts et au développeurs qui seront remettre leur système dans un “utilisable” en cas de soucis

(il y a aussi expérimental, mais ce n’est pas vraiment une version, donc j’en parle pas ;))

Les proxy ont ete tres utilises il y a 10 ou 12 ans lorsque les entreprises commencaient a se relier a internet mais que la bande passante coutait (tres) cher.
On utilisait surtout des proxy-cache qui, comme son nom l’indique, mettait en cache les sites les plus consultes afin de garder au maximum les requetes dans le reseau interne et limiter les requetes directes vers les sites consultes.
A l’epoque la, l’utilisation classique d’un reseau se limitait essentiellement au web et aux mails. Or aujourd’hui l’utilisation est largement plus vaste : messageries instantannees, voip, echanges de fichiers, agregateurs rss, webservices, etc
Bref, une bonne partie de ces trucs utlisent (ou peuvent utiliser) bien souvent le port 80 donc passeront par le proxy. Donc il faut configurer chaque appli independamment des autres pour acceder au reseau a travers le proxy.
Sans compter les problemes lies aux sites avec authentification ! si plusieurs personnes du meme reseau on chacune un compte particulier sur un site comme clubic par exemple, le proxy et le site web en question peuvent se melanger les pedales joyeusement et se chier dessus avec les sessions.
Y’a d’enormes problemes juridiques a l’utilisation d’un proxy ! attention au respect de la vie privee des utlisateurs ! il faut d’une part les prevenir et, d’autre part, mettre en place une politique de gestion des logs et des residus de connexion la plus transparente possible…
De plus, un proxy est totalement inutile sans une bonne politique de securite bien ficelee…car monter un proxy pour le plaisir de le faire, c’est rigolo mais ca n’a pas d’interet au niveau secu si c’est pas bien blinde autour.
Et la gestion du poste de travail devient super chiante… pas compliquee mais vraiment gonflante : deployer les confs c’est chiant, regler les inevitables problemes c’est chiant, etc tout ca pour un interet hyper limite…
Une derniere chose : c’est un service supplementaire a administrer serieusement car si il ne fonctionne pas, il n’y a plus d’acces au web dans la societe donc c’est un facteur de (gros) problemes supplementaires a prendre en compte…

Et puis si tu n’es qu’en stage et que visiblement, personne n’y connait rien en informatique, c’est tres risque de mettre un outil de haut niveau comme celui la…
Deja que la passerelle linux, c’est moyen… la livebox, fait office de firewall, de serveur dhcp et dns. bien configuree ca devrait suffire pour une petite boite. En plus, wanadoo assure un support sur ce truc pour les boites…
Faut penser a se qu’on laisse derriere soi et a ceux qui reprendront l’affaire…

la passerelle est le nom generique pour une machine qui se trouve a l’interconnexion entre 2 reseaux. Dans ton cas, c’est ton firewall qui fait partage de connexion.