HAVP + Base anti-virale

laurent27 · Apr 6, 2010, 1:18 PM

Bonjour,

J'utilise havp+ClamAV en transparent sur une 1.2.2
La taille de /var/db/clamav/ ne fait qu'augmenter => les anciennes bases doivent être concervées ?

Cela utilise 1/4 du disque à cette heure soit 53 Go, il me semble que cela est anormal.

Puis-je supprimer les vieilles base et si oui existe t-il des contraintes ?

Par avance merci à tous.

Laurent

jdh · Apr 18, 2010, 9:46 AM

1/4 de 53 Go !

Cela suffit pour dire que "havp" est peut-être un package pour pfSense mais qu'il ne faut surtout pas l'utiliser !!

Nous ne cessons d'écrire, qu'à partir d'un certain nombre d'utilisateurs, disons 10, le proxy (squid) et ses éventuels compléments (havp) est BIEN mieux placé sur une machine dédiée (et adaptée).

Allez une petite Debian ou une distribution adaptée type Artica et ça roule.

NB : ne pas pensez à virtualiser le firewall et le proxy, ne pas pensez …

laurent27 · Apr 19, 2010, 7:47 AM

et bien … comment dire:

c'est un cluster de r210 dell avec un bon proc + 4 Go de ram + 2 cartes ethenet 4 port Gb/s donc coté hard pas de problème.
Pour info à ce jour il n'a aucun problème de perf avec 6 zones et 300 utilisateurs ( squid et squidGarde sont eux bien sur du hard dédié et sur des debian) ;D

Cette solution prendra en charge environ 3000 utilisateurs avec une utilisation modérée et tout logiquement dès que les machines auront un peut de mal nous installerons l'anti-virus sur du hard dédié. (mais ce n'est pas encore au gout de jour car en plus il faut prendre en compte un coefficient de simultanéité )

Ben je n'ai à ce jour que mon p'tit problème d'espace disque pour les liste virales.... une p'tite solution ?

Merci encore

ccnet · Apr 19, 2010, 9:06 PM

Je cite :

Antivirus: HAVP (HTTP Antivirus Proxy) is a proxy with a ClamAV anti-virus scanner. The main aims are continuous, non-blocking downloads and smooth scanning of dynamic and password protected HTTP traffic. Havp antivirus proxy has a parent and transparent proxy mode

Il y a donc bien un proxy sur Pfsense pour faire tourner cela. Par ailleurs HAPV est : "ALPHA0.88_05 ". Ce qui est quand même très risqué.

et bien … comment dire:

c'est un cluster de r210 dell avec un bon proc + 4 Go de ram + 2 cartes ethenet 4 port Gb/s donc coté hard pas de problème.
Pour info à ce jour il n'a aucun problème de perf avec 6 zones et 300 utilisateurs ( squid et squidGarde sont eux bien sur du hard dédié et sur des debian)

Je vais vous le dire. Ce n'est pas un problème de performance qui se pose mais un problème d'architecture et de sécurité. La réponse de JDH reste donc à mon sens totalement valable. Placer HAPV sur les machines Squid actuelles est une bien meilleure solution. Pas sur Pfsense.

Vous voyez bien en quoi ce logiciel, version alpha, consommation d'espace disque, est de nature à compromettre votre firewall et donc toutes vos communications avec l'extérieur. Placé sur Squid il n'y a que le trafic web sortant qui pourrait être affecté. On voit bien par là comment un choix d'architecture augmente ou diminue un risque de déni de service.

jdh · Apr 19, 2010, 7:10 PM

J'utilise des proxy dédié sous Debian avec Squid + SquidGuard + HAVP sans aucune difficulté.

(Sauf depuis le 15 avril car clamav 0.94 est bloqué par le concepteurs de clamav et du fait que havp est linké sur libclamav5 bloqué, mais cela devrait être résolu rapidement …)

Un bon schéma, préconisé par havp, est Squid -> Havp -> Squid qui permet aussi de traiter ftp (sur la même machine).

Avec un tel hardware (raid inutile), il n'y a aucune difficulté.
Et il n'y a aucune raison de rajouter un squid+havp sur le firewall.

Attention au bon calcul de la taille cache versus la mémoire surtout si havp (et donc clamav) est présent et en consomme un peu beaucoup ...
Attention à bien lire les conseils sur squid-cache très pertinents et surprenants au premier abord !

Juve · Apr 19, 2010, 8:10 PM

Pareil j'utiliserai la fonction antivirale sur les proxy, eviter les interdépendances inutiles.

Apres pour faire mon Troller je suis pas très Debian (principalement pour des raisons d'exploitabilité, après c'est une bonne distribution pour s'amuer) :-) CentOS + squid + partition reiser sur ramdisk pour le cache

;D

laurent27 · Apr 20, 2010, 12:55 PM

Bon, devant ces bons arguments, je vais donc essayer d'être sage et anticiper le déplacement havp/clamav vers les squids/squidGard.

A noter que depuis le 16 Avril cela ne fonctionne plus, c'est peut être aussi lié à la 0.94; c'est en tous cas un évènement décisif qui me force à accélérer la migration.

Pour information, j'ai supprimer les dites bases, désinstaller et réinstaller HAVP mais ne je ne peux pas contrôler le bon fonctionnement depuis le fameux 16 Avril (chez moi ce n'est pas le 15).

En attendent le passage à l'acte, si quelqu'un à une solution.

Quant même!!!: utiliser une version Alfa (ALPHA0.88_05) dans distribution stable … je trouve cela plus que léger.

Après entre Debian et CentOS ..... le principal est que cela fonctionne et bien si possible ;)

Encore merci pour vos réponses et vos conseils plus que judicieux.

Juve · Apr 20, 2010, 7:08 PM

Pour clamav c'est normal qu'il ne fonctionne plus depuis le 15:
http://www.clamav.net/lang/en/2009/10/05/eol-clamav-094/

jdh · Apr 22, 2010, 6:54 PM

Ouais, euf, mais bon.

Sous Debian Lenny, HAVP était linké avec libclamav5 (qui existe toujours mais ne fonctionne plus).
Aussi le mainteneur de HAVP a fourni un nouveau paquet (dans debian volatile) qui peut s'installer à la mano (dpkg -i).
Ce paquet est linké à libclamav6 qui est à jour et fonctionne ! Gagné !

Forcément, il y a plus de développeur, c'est plus facile.
Mais je l'ai écrit ailleurs : est-ce vraiment la place d'un AV dans un firewall ? (un proxy dédié n'est-il pas plus efficace ?)