Journal Antivirus Pro pour parc hétérogène

Posté par .
Tags : aucun
9
10
juil.
2010
Cher journal,

après quelques années à remplacer les couches "propriétaires" de mon réseau par des couches libres (Samba/LDap, Postfix/Dovecot, Bind, OpenVPN, Netfilter/Shorewall, OpenOffice/Firefox/Thunderbird...), j'ai décidé de m'attaquer à notre antivirus !

J'utilise actuellement une "vieille" version de Trend dont la console de gestion est installée sur un serveur Windows en fin de vie.

Un prestataire est venu me présenter Sophos en me confirmant que la console pouvait être utilisée sous GNU/Linux. Mais, après quelques semaines d'échanges, ben...non ! C'est juste qu'ils savent installer un client sous GNU/Linux. Ce qu'à peu près tout le monde sait faire.

Je me suis donc intéressé un peu plus à ce sujet. Mais en dehors d'un site qui compare la performance des antivirus [http://www.av-comparatives.org/] et quelques discussions sur des forums (pas toujours récentes), je ne trouve finalement pas beaucoup d'infos.

J'ai regardé aussi du côté de Kaspersky et j'attends des précisions.

Du coup je me suis demandé ce que les moules qui administrent des parcs hétérogènes (avec quelques centaines de postes sous Windows mais des serveurs exclusivement sous GNU/Linux ou autre BSD/UNIX/Compatible) pouvaient bien utiliser.

Si ça n'intéresse pas que moi, ça pourrait donner lieu à un sondage, non ?
  • # clamclam

    Posté par . Évalué à 4.

    j utilise ClamAV sur file server linux et client windows...
  • # Pour windows, eset nod32

    Posté par . Évalué à 1.

    Pour la partie Lan, j'utilise nod32 sur les serveurs et clients windows. Le serveur antivirus en lui-même requiert un serveur windows2003 pour la console. On peut utiliser un autre serveur sous linux et mysql pour la base de données.
    Le parc reste clean, l'antivirus ne demande pas une attention quoltidienne...bref, il fait son job d'antivirus.

    J'ai essayé sophos auparavant , mais c'etait vraiment l'usine à gaz et il s'est fait depassé par conficker et sality (A partir de là...)
    Par contre, le client sous linux fonctionne. Je l'ai testé, ainsi que sa protection en temps réel. Si tu veux vraiment un antivirus pour tes serveurs sous linux avec temps réel, je crois qu'il n'y a que sophos qui propose cela.

    J'ai aussi essayé clamwin sur certains postes clients. Sans protection en temps réel, sur un parc qui se fait infecter, c'est mort.
  • # ClamAV

    Posté par (page perso) . Évalué à 2.

    Et il n'a rien a envier aux autres anti-virus.

    "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

  • # Je dois pas être bien réveillé ou mal informé...

    Posté par . Évalué à 2.

    après quelques années à remplacer les couches "propriétaires" de mon réseau par des couches libres(...), j'ai décidé de m'attaquer à notre antivirus!


    Un prestataire est venu me présenter Sophos

    D'après le titre de leur page d'accueil française, ils font des antivirus pour Star Trek, ça doit pas aller pour toi de toute façon…


    J'ai regardé aussi du côté de Kaspersky et j'attends des précisions.


    En tout cas si t'arrives à négocier la libération des logiciels sus-cités en échange de la vente d'une licence, chapeau bas! ;)
  • # CA ou drweb

    Posté par . Évalué à 5.

    Pour me part sur les serveurs linux on se contente en général de clamav/clamd.

    Mais pour la protection des parcs clients c'est vrai que c'est un problème de ne pas avoir une console qui centralise et permet l'application de règles ou éventuellement le déploiement à distance (tournant sous linux, bien entendu).

    J'avais fait des recherches en ce sens il y a un an et je n'en avait trouvé que deux : l'antivirus de computer associates et drweb.

    Chez CA la console est installable sous linux redhat/centos (avec interface web tournant en java) mais dans de conditions très précises (version spécifique, tourne pas en 64bits, protection temps réel ne fonctionne même pas sur un kernel PAE...). Une fois l'installation passée ça ne fonctionne pas trop mal, il y a pas mal de fonctionnalités mais c'est une grosse usine à gaz, pas souple pour un sous. Par exemple j'ai essayé de déplacer l'application d'un serveur à un autre sans succès. Impossible d'enregistrer les machines clientes sur le nouveau serveur, malgré l'application de la méthode publiée par CA. Quelques appels aux supports n'y ont rien changé.
    Au final je ne pourrais pas te conseiller leur produit. C'est pas complètement nul ou impossible, mais il y a certainement moyen de trouver mieux.

    Donc on passe chez drweb. C'est une société russe que j'avais découvert via un numéro de MISC qui testait leur produit (avec un avis assez favorable). Là on constate tout de suite que le monde linux/unix leur est bien plus familier. Le client et le serveur s'installent aussi bien sous linux (plein de distrib packagées ou un paquet "générique"), freebsd, solaris, macos, windows... Il y a aussi une 'administration console", application en JAVA qui s'installe sur un poste client pour gérer le serveur qui fonctionne aussi sur freebsd, linux, macos, windows... Petite déception quand même lorsque j'ai testé cette console ; c'est assez compliqué et fouillis, la présentation est loin d'être optimale. Néanmoins ça a peut-être changé, c'était il y a plus d'un an ! Néanmoins j'ai été assez agréablement surpris du panel de plateformes supportées, et la partie "client" de l'antivirus avait semblé assez légère (niveau consommation de ressources).
    En résumé je ne l'ai pas testé assez à fond pour te donner un vrai avis, mais je te conseillerais de l'essayer par toi-même.

    Enfin il reste l'option de l'antivirus "dans le cloud". En plus de tirer partis du buzzword le plus porteur du moment, y'a plus besoin de sa casser la tête pour une console d'administration qui tourne sous linux. La partie administration est hostée chez le vendeur et les postes clients (et serveurs) s'y connectent directement pour prendre les updates ou adapter leur configuration. La plupart des vendeurs proposent ça (drweb via partenaires, mcafee directement, symantec directement, etc) et comme ils proposent aussi un client linux, tout est pour le mieux (ou pas).
    Donc pour l'instant moi je m'intéresse plus à ce genre de choses, mais ça ne fait pas encore assez longtemps pour que je puisse te donner un retour pertinent. Mais je te passe quand même l'idée.

    En espérant que tout ça t'aura un peu aidé.
    • [^] # Re: CA ou drweb

      Posté par . Évalué à 2.

      Merci pour ces précieuses informations.

      Je vais me renseigner sur DrWeb.

      Pour le Cloud, c'est pas trop mon trip. J'aime autant que les mises à jour ne soient téléchargés qu'une fois sur mon lien Internet (qui est déjà bien chargé) et soit ensuite déployé en interne.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.