[pfSense 2.3.3] Installer et configurer ClamAV pour Squid

pfSense ne dispose pas de base d’un antivirus – celui-ci peut être ajouté lors de l’installation de Squid. ClamAV sera alors utilisé pour cet article.

Si vous avez exploité l’article pour la mise en place de Squid, peut-être qu’un détail vous a échappé : l’antivirus « ClamAV » est par la même occasion installé. En effet, vous bénéficierez de cet antivirus… Une fois que la configuration y sera effectuée. De base, lors de l’installation et de la configuration de Squid en tant que proxy, ClamAV ne sera pas configuré.

La configuration de ClamAV nécessite quelques minutes devant vous, notamment pour la mise à jour de la base des définitions de virus. Dans pfSense, dirigez-vous dans le menu « Services » puis sur « Squid Proxy Server« . Cliquez ensuite sur l’onglet « Antivirus« .
Première étape, cocher la case « Enable squid antivirus check using ClamAV » – Toutes les options vont alors s’afficher pour que vous puissiez configurer l’antivirus :

En descendant un peu dans la fenêtre, une options est affichée : « ClamAV Database update » – il s’agit de la fréquence à laquelle vous souhaitez que pfSense mette à jour la base antiviral de ClamAV. Conseil, évitez les fréquences élevées, c’est inutile de mettre à jour constamment pour quelques mégaoctets. Par expérience, une fréquence de toutes les 6 heures permet d’avoir peu de flux de téléchargement tout en ayant les dernières définitions.
Il est aussi préférable de spécifier un miroir de téléchargement des bases – Dans mon cas, le pfSense étant basé en Europe, j’ai choisis « Europe » dans la liste « Regional ClamAV database update miror » :

Avant de cliquer sur le bouton « Update AV », veillez à bien enregistrer les modifications en appuyant sur « Save » – En effet, si vous ne cliquez pas sur « save » vous ne pourrez pas lancer les mises à jour de votre ClamAV. Une fois la sauvegarde effectuée, il faut retourner dans ce panneau et cette fois cliquer sur le bouton « Update AV« .

Vous n’aurez pas de message d’information vous disant qu’un chargement est en cours ou autre – il faut aller dans le « Realtime monitor » et repérer dans la page (vers le bas) la partie « freshclam table » :

Le processus de mise à jour de ClamAV pour pfSense met un peu de temps à se synchroniser. Dans mon cas, j’ai dû attendre 12 minutes avant de voir que les mises à jour soient téléchargées et par la suite installées (automatiquement). Toutefois, lorsque vous avez cliquez sur le bouton « Update AV » précédemment, les mises à jour sont enclanchées – vous pouvez donc utiliser votre pfSense comme bon vous semble, sans rester sur la partie « Squid Proxy Server » ou le « Realtime Monitor ».

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

3 Comments

  1. Bonjour Julien,

    Super tuto.
    J’ai une petite question, l’activation de l’antivirus sur les pages web ne ralenti t il pas l’affichage des pages ?

    cdlt

    1. Bonjour « Chardin »,
      L’impact est très léger sur les performances, quelques très faibles ralentissements peuvent être perçus pour les utilisateurs finaux ; pour ma part, je n’ai pas ressenti de gêne. 😉

  2. Bonjour, il faut préciser que l’antivirus ne peut pas analyser les flux HTTPS, autrement il faut mettre en place une interception de certificats complexe, et surtout bloquante pour les mises à jour Microsoft . Il est possible de faire du filtrage d’accès de sites et de types de sites sans trop de problèmes en mode transparent « Splice All » mais les analyses Antivirus et le filtrage des informations est très limité. Si il existe un paramétrage magique pour faire fonctionner le filtrage pfsense/squid correctement de façon optimale et complète, je suis preneur car je cherche depuis quelques temps, mais je ne trouve pas.. dès que l’on souhaite analyser du HTTPS, on tombe sur des embuches qui sont parfois couteuses à contourner comme en place un serveurs WSUS.
    Merci pour vos infos.
    Jany.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment vos données de commentaires sont traitées.

Close
Close