Discussion :

[manticore]

Bonjour,

je suis à la recherche d'information sur les AVs utilisé pour des passerelles (donc filtrage du flux réseau).

L'idée est d'avoir un réseau de ce type (simplifié) :

WAN - Routeur - FW - Passerelle AV - ...

1. Est-ce que les AVs comme clamAv filtre le flux de données brute, ou seulement certains champs sensibles des protocoles ?

2. Est-ce qu'il est possible de filtrer paquet par paquet les données transitant indépendamment du protocole ?

Ma seule contrainte est que l'antivirus doit tourner sur linux.

C'est surtout une question théorique, car je doute de l'utilité pour mon projet, mais j'ai besoin de munitions pour les futurs séances.

[messinese]

Salut Manticore!

Petite question: tu veux analyser tes paquest 1 a 1 ok mais pourquoi parles tu d'AV?

Ne serait -ce pas plutot de DPI dont tu aurais besoins ( DPI )??

ça semble etre ce que tu souhaite faire en tout cas ou alors .. j'ai pas compris : P

Cdlt.

[manticore]

Petite question: tu veux analyser tes paquest 1 a 1 ok mais pourquoi parles tu d'AV?

Ne serait -ce pas plutot de DPI dont tu aurais besoins ( DPI )??

C'est une requête de mon chef de projet, il voulait savoir si on pouvait ajouter un AV sur un produit.

Dans le cadre de mon projet je ne pense pas que cela soit pertinent, mais j'aimerai quand même savoir, s'il est possible de filtrer un flux réseau brut avec un AV pour faire de la recherche. Que le protocole soit connu ou non.

Ma question vient du fait que les articles dédié à des proxys AV sont toujours dédié à un protocole spécifique (SMTP, HTTP, ...).


En résumé j'aimerai un antivirus qui peut récupérer le flux réseau, faire une recherche de signature puis valider/réfuter le résultat.

[messinese]

Re,

ben... parles-lui de firewall DPI dans ce cas car il semble que ça soit ce qu'il recherche , je cite :

Les IDSs peuvent détecter les intrusions, mais sont peu utiles pour les bloquer ; enfin les DPIs sont employés pour prévenir les attaques par virus ou vers, et s'avèrent plus spécifiquement utiles contre des attaques par dépassement de tampon, par Déni de service (DoS), ou par l'emploi de vers qui tiennent dans un seul paquet.
Le DPI permet de lire les couches 2 et 3 du Modèle OSI, voire dans certains cas jusqu'à la couche 7, ce qui inclut à la fois les headers (en-têtes), les structures des protocoles et la charge, le contenu du message lui-même. Il peut par ailleurs identifier et classer le trafic à partir d'une base de données de signatures, c'est-à-dire à partir des données contenues dans le paquet lui-même (ce qui permet un contrôle plus efficace que s'il était uniquement basé sur les informations des en-têtes) ;

Si ce n'est pas cela alors je ne sais pas quoi proposer .. j'espere quand meme que ça pourra t'aider .

Cdlt.

[manticore]

Si ce n'est pas cela alors je ne sais pas quoi proposer .. j'espere quand meme que ça pourra t'aider .

Oui, je vais creuser mes recherches sur les DPI. Voir si je trouve un produit sur linux qui me permet de valider le flux réseau. Je me suis un peu trop bloqué sur le faite que je voulais juste la fonctionnalité d'AV.

Merci je posterai quand j'aurai fais des recherches (dans 1-2 semaines)