Pregunta sobre virus



  • Hola a todos, me pueden decir como puedo descubrir un virus en la red a través del pfSense, otra cosa como puedo analizar los datos q' me brindan los RRD Graphs, saludos de antemano.

    YBC



  • ¡Hola!

    Mirando los logs del cortafuegos puedes detectar activades sospechosas. También mirando la tabla de estados. Esto se puede hacer vía web o vía consola.

    Vía consola, para los logs, va muy bien:

    # clog -f /var/log/filter.log | php /usr/local/www/filterparser.php

    que primero de mostrará todo el log y después se quedará com un tail -f, mostrando en tiempo real qué sucede.

    Para los estados en la consola, sockstat,

    http://www.freebsd.org/cgi/man.cgi?query=sockstat

    Puedes usar también pftop para ver los estados,

    http://www.freebsd.org/cgi/url.cgi?ports/sysutils/pftop/pkg-descr

    Ya está en pfSense. No tienes que instalarlo.

    De todas maneras esto sólo te va a detectar las conexiones "raras" o intentos de conexión. Para estar seguro de que no hay virus hay que tener las máquinas con una solución antivirus correctamente actualizada.

    No sé en qué entorno estás, pero resulta ideal tener una solución corporativa antivirus, con un servidor de "despliegue".

    También hay implementaciones que permiten añadir antivirus a los servicios de correo, proxy (squid), snort … pero esto requiere normalmente máquinas bastante potentes y ajustables en configuración desde consola ... o sea que pfSense no es (de momento) el entorno idóneo para soluciones de este tipo.

    Saludos,

    Josep Pujadas



  • OK, probaré todas estas cosas vía consola y después te digo como me fue.

    Gracias

    Saludos

    Yariel


Log in to reply