[Virus/Malware] In/Uitgaand internet verkeer scannen

Luitjes,

Na nu al weken bezig te zijn met een goede oplossing te vinden voor een van onze klanten lopen we op kantoor een beetje op een dwaalspoor. Het probleem zit hem in dat er steeds van het netwerk van de klant virussen/malware worden verspreid/gedetecteerd door xs4all wat dus leid tot een blokkade.

Scannen van de PC's gaat helaas niet omdat het op een park is waar WiFi wordt aangeboden en dit niet zomaar compleet dicht kan worden gezet. Op het moment staat alleen poort 80 open en het virus wat hier door heen komt gebruikt helaas port 80.

Het gaat om de volgende virussen die zijn gevonden door xs4all:

• XS4ALL | 2012-11-10 17:39 (UTC) | 000.000.000.000 | mwtype: Torpig | dst_port: 80
• XS4ALL | 2012-10-23 17:18 (UTC) | 000.000.000.000 | mwtype: Hermes | dst_port: 80

Hieronder het bericht van http://cbl.abuseat.org waar xs4all dus blijkbaar kijkt en op basis daarvan je internet lijn dichtzet.

IP Address 0.0.0.0 is listed in the CBL. It appears to be infected with a spam sending trojan or proxy.

It was last detected at 2012-11-10 18:00 GMT (+/- 30 minutes), approximately 2 days, 18 hours, 30 minutes ago.

This IP is infected with, or is NATting for a machine infected with Torpig, also known by Symantec as Anserin.

This was detected by observing this IP attempting to make contact to a Torpig Command and Control server at , with contents unique to Torpig C&C command protocols.

Het apparaat wat we al hebben geprobeerd (maar het niet tegenhoud) is:

• Zywall USG50

Ook na lang bellen met Zyxell om een oplossing te krijgen helaas geen oplossing die werkt. Ze komen dan met, ja het is een first line of defense. Dat is natuurlijk heel leuk en dat klopt ook wel maar er moet toch een oplossing zijn (misschien meerdere) die wel het verkeer kunnen scannen op toch wel 2 redelijk (in dit geval) bekende virussen.

Op het forum hier ook al gezocht en niet echt een duidelijk oplossing gevonden. Wel een paar pakketten waar het eventueel mee zou kunnen maar voordat we hier mee gaan beginnen eerst aan jullie de vraag. Werken deze en zo niet wat zouden jullie voor oplossing geven ?

• http://www.clearfoundation.com/
• http://www.squid-cache.org/
• http://www.pfsense.org

Clearfoundation is dus eigenlijk een soort gelijke oplossing (voor zo ver wij kunnen zien) als de Zywall alleen dan software matig en misschien uitgebreider?
En Squid zouden we een transparante proxy mee op kunnen zetten maar dan is het maar de vraag of dat iets tegenhoud wat over poort 80 gaat.

Dus graag jullie ervaring/ideeën hiermee/over!

[ Voor 13% gewijzigd door Multispeed op 13-11-2012 13:10 ]

Kabouterplop01 schreef op dinsdag 13 november 2012 @ 20:57:
Je moet het virus ook niet tegenhouden, maar verwijderen. Alle PC's scannen met een degelijke antivirus oplossing. Wat jij wil kost veel meer dan een antivirus oplossing. Firewalling met een fingerprint voor de betreffende malware, zodat je kunt zien van welke PC het afkomt.

Zoals ik dus al aangaf is het scannen van de besmette geen PC geen oplossing. Het gaat dus om een open WiFi op een park waar verschillende mensen op zitten. We kunnen moeilijk iedere bezoeker z`n pc eerst scannen.

Je kunt denk ik vlak achter je router in je netwerk ook even een hub of switch plaatsen en dan sniffen. Ik denk dat er vast wel ergens iets te vinden is over hoe het virus zich gedraagt en hoe je dat met een sniffer kan filteren, zonder dat je door ettelijke gigabtyes aan captures moet gaan spitten.
Je kunt er ook even iemand met cisco kennis vragen, als dat virus zich naar 0.0.0.0 probeert te verspreiden dan moet je dat met een ACL makkelijk kunnen vangen.

Heel leuk dat sniffen maar dan blijf je natuurlijk bezig bij ieder nieuw virus. En tegen de tijd dat je dat gevonden hebt heb je al weer een blok van XS4ALL te pakken. Ik weet dat er bij (providers b.v.) ook oplossingen worden gebruikt voor het scannen van verkeer om te kijken of er een virus tussen zit dus er moeten oplossing voor zijn. Onze vraag nu alleen dus welke oplossingen. Vandaar ook dit topic.

En dat het duur is klopt. Maar ik heb ook niet gezegd dat we een budget hebben want dat is compleet niet aan de orde (grote klant dus geen probleem).

[ Voor 4% gewijzigd door Brummetje op 13-11-2012 23:15 ]

Kijk het probleem is niet om een transparante proxy, of een barracuda neer te zetten. Alleen kom je steeds vaker tegen dat verschillende makers van appliances zeggen je krijgt geen 100% zekerheid ( maar dat weten we wel ). Ik wil ook geen 100% zekerheid maar het hermes en torpig is goed bekend en zeker niet nieuw, maar kaspersky (embedded) en zyxel's(embedded) eigen antiviris houd het niet tegen.

Wie zegt mij dat een transparante proxy met verschillende scanners en of een apparaat van barracuda het wel tegenhoud...? vandaar ook de vraag... wat geeft mij de beste veiligheid ?

Kijk daar hebben we wat aan! maandag op kantoor meteen even naar kijken.

@Bl@ckbird zijn daar ook transparante proxy oplossingen voor ? een squiq ism een third party pakket? Of is cisco de enige die dit kan >?