• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Борьба с нежелательными файлами

  • Автор темы cnekmp
  • Дата начала
Статус
Закрыто для дальнейших ответов.
C

cnekmp

Уважаемые Админы Лотуса,

Хотелось бы узнать как вы блокируете вложения в корпоративных сообщениях? Ведь обычными правилами на указание формата файлов (*.exe, *.flv, *.mp3 т.д.) обходить может каждый. К примеру, наши талантливые пользователи спокойно могут обменятся файлами mp3, только поменяв расширение файлов с mp3 на doc и т.д. Таким образом созданные правила на урезку мультимедийных файлов просто теряют силу... :)

Очень хотелось бы услышать ваши решения по предотвращению обмена "нежелательных" файлов между пользователями.

Подскажите пожалуйста, есть ли решение по сканированию "по контенту" файлов, а не по расширению?
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Вроде, антивирусные и антиспамовские программы могут это делать.
 
C

cnekmp

Сегодня посмотрел продукты производителей.
Касперский АнтиВирь для Лотуса - Работает под Винду, да и вообще не поддерживает Домино версии выше 8.0
Eset для Лотуса - Версия только под Винду только...
Symantec Антивирус лоя Лотуса - Под Линукс есть и поддерживает все версии. Вот только запреты на файлы только по расширению. (Сам Домино и так может справится).

:(
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
ставьте "нормальный" никсовый релей (можно на томже железе, если надо СМТП только) а там простор действий :welcome:
вот списочек:
 
C

cnekmp

ставьте "нормальный" никсовый релей (можно на томже железе, если надо СМТП только) а там простор действий ;)
вот списочек:

У нас и так "нормальный" никсовый релей - Postfix :) Проблема в том что, локально - Lotus Domino регулирует отправку. А постфикс только за "внешнюю почту" отвечает. Но нам надо сделать именно контроль локальной почты на типы файлов. :welcome:
 
K

Klido

нам надо сделать именно контроль локальной почты на типы файлов.
решайте шире - доменными политиками грузите чекер, который шерстит локал юзеров и стучит у кого что запретное есть - административно разбираетесь.

или включаете журналирование и там уже по размеру, например, мониторите (крайняк - сваливаете на диски чекаете тулзой)
 
C

cnekmp

решайте шире - доменными политиками грузите чекер, который шерстит локал юзеров и стучит у кого что запретное есть - административно разбираетесь.

или включаете журналирование и там уже по размеру, например, мониторите (крайняк - сваливаете на диски чекаете тулзой)

Согласитесь, но это же извращенство ;) У нас 400 пользователей и таким образом у нас удёт уйма времени на "сортировку" таких писем. Да и пользователи тоже не глупые - расширение в *.doc или же в *.zip, и никакого "аларм"-а в почту админов...
 
C

cnekmp

Смотрел разные антивирусы. Но они блокируют только те файлы в которых найдены вирусы. Странно что такого примитивного решения нету в таком крупном продукте... ;)
 
C

cnekmp

журналирование - журналирует всё
чекер - чекает всё
админы курят, софтина работает ;) ну и СБ - наказывает....

И как чекер будет определять что за тип файа с именем "Business Document" если у файла не будет расширения, хотя пользователи знают: "просто поменяй расширение на mp3/exe/avi и т.д." ? ;)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
ежели агент в журнальной базе - проверяйте майм тип (можно ср-вами ОС - file, в никсах)
 
K

Klido

про майм-тайп или про никсы? :)

я бы с маймом не заморачивался - агентом выкидываем вложения на ФС, а там сидит (хоть никсовый хоть какой) проверяльщик содержимого (таких, думаю, полно), если что нашел - по хребту юзера...

конечно, это не спасет от доставки данного письма... но делать агент в ящике и проверять ВСЕХ пользователей - жесть... Хотя тут ДАОС должен помочь... кстати...
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
про журналирование - в хэлпе админа
агент - хэлп дизигнера
file - man file
агент создаём в журнальной базе, он детачит файло на диск (в темпы) с именем unid дока
скриптом выполняем file <file name> резалт выводится в stdout - перенаправляем в файло и его парсим в агенте
агент аналайзит доки, на предмет имени юзера, и шлёт ему ай-яй

Добавлено: Klido
дык достаточно разок вгреть юзера - и он поймет, что его "хитрости" отслеживаются
обойти такую систему можно зашифровав файл, но думаю не многие на это отважатся
к тому же - поставить лимит на размер сообщения (для обмена - обязать использовать спец. базы или файлопомойки) 0,5 метра
 
C

cnekmp

Спасибо большое. Буду проверять.

Отпишусь как только всё дочитаю :)
 
K

Klido

поставить лимит на размер сообщения (для обмена - обязать использовать спец. базы или файлопомойки) 0,5 метра
0.5 метра - это ничто.. ограничение метров 20 обычно для внутренней...

ну и я не говорю о специфике конторы - мож mp3 & avi у них по долгу службы...
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
ограничение метров 20 обычно для внутренней...
считаю это безобразием - мыльным серверам больше заняться нечем - как непонятный трафик гонять, а уж унутря конторы - ваще абсурд
файл-шаринг для чего сочиняли :) ?
дома юзеры тоже шлют почтой файло?, тодыб рапидшары и т.п. разорились бы :)
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!