DMs > DM8 > Securité > INFRA01

SECU : mise en place des mesures de sécurité

INFRA01

Dans cette partie nous allons prendre des mesures contre l’attaque de la partie 2 directement sur le serveur de mails INFRA01.

Installation ClamAV & Clamsmtp

Pour cela, nous allons contrôler les flux SMTP grâce à l’antivirus ClamAV.

Installez les paquets suivants: Log

Une socket clamsmtp s’ouvre alors sur le port 10026 de localhost. C’est grâce à cette socket que le service postfix pourra adresser l’antivirus: Log

Ouvrez le fichier de configuration du service SMTP postfix: Log

Ajoutez-y le paramètre content_filter afin d’examiner le contenu de chaque mail envoyé: Log

Ouvrez le deuxième fichier de configuration postfix: Log

Ajoutez la configuration suivante à la fin du fichier: Log

Ouvrez le fichier de configuration du daemon de clamsmtp: Log

Décommentez la ligne suivante: Log

Redémarrez les 3 nouveaux services + postfix afin d’activer l’antivirus sur les flux SMTP: Log

En cas d’erreur dans le lancement du daemon clamav

Il se peut qu’une erreur de ce type se produise:

Log Log

Téléchargez les fichiers en ligne:
main.cvd & daily.cvd
Placez ces deux fichiers dans le dossier suivant: /var/lib/clamav/

Rendez-vous dans le dossier /var/lib/clamav/: Log

Changez le propriétaire des nouveaux fichiers: Log

Assurez-vous que le changement est bien effectif: Log

Vous pouvez à présent redémarrer le daemon clamav: Log

Assurez-vous que le status du service précédemment lancé est “Active”: Log

Votre antivirus est enfin opérationnel !

Démonstration

Connectez-vous à un compte quelconque de l’Active Directory (1), ici on utilisera le compte hugo
Cliquez sur “Connexion” (2): Log

Cliquez sur “Rédiger” (1): Log

On va maintenant créer un fichier à envoyer en pièce jointe afin de vérifier la détection par ClamAV.
Ce fichier

Le fichier qui va suivre provient du site EICAR:
This test file has been provided to EICAR for distribution as the „EICAR Standard Anti-Virus Test File“, and it satisfies all the criteria listed above. It is safe to pass around, because it is not a virus, and does not include any fragments of viral code. Most products react to it as if it were a virus (though they typically report it with an obvious name, such as „EICAR-AV-Test“).

Créez un nouveau fichier dans lequel on va y mettre le code supposément malveillant (ne pas oublier les ’ dans le cas d’un echo):
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Log

Entrez un email valide (1), ici sbombal@epitaf.local
Entrez un objet valide (2)
Entrez un corps de mail valide (3)
Cliquez sur “Joindre un fichier” (4):
Log

Rendez-vous dans le dossier contenant eicar_av_test.txt (1)
Sélectionnez le fichier eicar_av_test.txt (2)
Cliquez sur “Ouvrir” (3) pour valider la sélection: Log

On remarque que le fichier a bien été chargé (1): Log

Cliquez sur “Envoyer” (1): Log

Grâce à notre configuration syslog précédemment réalisée, le daemon clamsmtp émet directement ses logs dans le fichier webmail.log: Log Log

L’antivirus à bien réagit à ce test, il est donc fonctionnel.