+ Responder ao Tópico



  1. #1

    Padrão Vírus ou ataque na rede

    Olá Srs.

    Preciso de um help.

    Tenho uma rede em bridge (como é o caso da maioria dos provedores) mas breve pretendo roteá-la, com 4 repetidoras mistas 2.4 e 5.8 (linha M5), utilizo hotspot nas 2.4 e PPPoE nas 5.8.

    O problema éo seguinte: Todos os dias em horários alternados a rede fica lenta e com latência alta, após algumas investigações notei que sobe os PP/S na interface que serve a rede do servidor mikrotik, ou seja, ele escuta esses pacotes de algum lugar de dentro da rede, e para ajudar esses pacotes correm por toda a rede as bridges os APs(M5), com isso provocando toda essa lentidão. Não estou conseguindo identificar de onde vem esses pacotes.
    Rodei o Torch e o Packet Sniffer do Mikrotik, segue em anexo.

    Nas bridges RB 433 uso filtro de bridge das interfaces e bloqueio de netbios e default foward desmarcado, nas bases e ptp 5.8(M) cliente isolation marcado. No server principal mikrotik possuo um firewall (regular) que bloqueia algumas portas de vírus, ip bogons, conexões inválidas, etc.

    Pode ser vírus ou algum ataque?

    Alguem já passou por esse problema?

    Qual seria a melhor maneira de eliminar esses pacotes indesejáveis?

    Conto com a ajuda dos amigos.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         rede server escutando pacotes.jpg
Visualizações:	1151
Tamanho: 	66,4 KB
ID:      	37148   Clique na imagem para uma versão maior

Nome:	         packet sniiffer interface rede.jpg
Visualizações:	733
Tamanho: 	61,7 KB
ID:      	37149  


  2. #2

    Padrão Re: Vírus ou ataque na rede

    dando Uma fuçada na nert encontrei est post http://mk-auth.com.br/forum/topics/s...-e-importantes, tem um lugar com mac ff:ff:ff:ff:ff:ff, da uma olhada



  3. #3

    Padrão Re: Vírus ou ataque na rede

    Citação Postado originalmente por JhoniVaz Ver Post
    dando Uma fuçada na nert encontrei est post http://mk-auth.com.br/forum/topics/s...-e-importantes, tem um lugar com mac ff:ff:ff:ff:ff:ff, da uma olhada

    pode cre irmao da hora esse link q vc arrumou ae

  4. #4

    Padrão Re: Vírus ou ataque na rede

    JhoniVaz.

    Jà havia dado uma olhada lá, porém dei uma pesquisada no mac ff:ff:ff:ff:ff:ff éo MAC de broadcast, vou ver se consigo implementar uma regra aqui no firewall filter do server, e depois nas filter bridge. Mas to ficando de cabelo em pé, rs.

    Abç



  5. #5

    Padrão Re: Vírus ou ataque na rede

    Irmão pensar em ja implementar OSPF vai ser melhor do que tentar arrumar uma solução paliativa para Broadcast.

    Para configurar OSPF é simples, basta criar uma Area, Publicar em Network a Rede e os ajustes finos tem detalhes na Wiki

  6. #6

    Padrão Re: Vírus ou ataque na rede

    Citação Postado originalmente por bennthiago Ver Post
    Olá Srs.

    Preciso de um help.

    Tenho uma rede em bridge (como é o caso da maioria dos provedores) mas breve pretendo roteá-la, com 4 repetidoras mistas 2.4 e 5.8 (linha M5), utilizo hotspot nas 2.4 e PPPoE nas 5.8.

    O problema éo seguinte: Todos os dias em horários alternados a rede fica lenta e com latência alta, após algumas investigações notei que sobe os PP/S na interface que serve a rede do servidor mikrotik, ou seja, ele escuta esses pacotes de algum lugar de dentro da rede, e para ajudar esses pacotes correm por toda a rede as bridges os APs(M5), com isso provocando toda essa lentidão. Não estou conseguindo identificar de onde vem esses pacotes.
    Rodei o Torch e o Packet Sniffer do Mikrotik, segue em anexo.

    Nas bridges RB 433 uso filtro de bridge das interfaces e bloqueio de netbios e default foward desmarcado, nas bases e ptp 5.8(M) cliente isolation marcado. No server principal mikrotik possuo um firewall (regular) que bloqueia algumas portas de vírus, ip bogons, conexões inválidas, etc.

    Pode ser vírus ou algum ataque?

    Alguem já passou por esse problema?

    Qual seria a melhor maneira de eliminar esses pacotes indesejáveis?

    Conto com a ajuda dos amigos.
    É um ataque do tipo ARP.
    Pode ser o proprio firmware de algum equipamento que esta gerando esse problema ou algum cliente brincando de envio de pacotes tipo injeção de ARP.
    Se sua rede esta em Bridge utilize essa regra pelo MK.

    /interface bridge filter

    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward
    \
    comment="Bloqueia Ataque do Tipo ARP " disabled=no mac-protocol=arp


    add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=no \
    dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF



  7. #7

    Padrão Re: Vírus ou ataque na rede

    leoservice

    Obrigado pela dica, vou dar uma pesquisada a respeito.

    Grato

  8. #8

    Padrão Re: Vírus ou ataque na rede

    rafaelhol.

    Interessante, vou implementar isso nas bridges já, depois posto os resultados. Só oque me intriga é que isso está entrando pela interface de entrada de rede das bridges, e não consigo identificar de onde vem. MAs vou implemtar isso e depois reporto.

    Pretendo rotear a rede mas preciso tentar uma solução mais rápida para depois migrar.

    Abç



  9. #9

    Padrão Re: Vírus ou ataque na rede

    Citação Postado originalmente por bennthiago Ver Post
    rafaelhol.

    Interessante, vou implementar isso nas bridges já, depois posto os resultados. Só oque me intriga é que isso está entrando pela interface de entrada de rede das bridges, e não consigo identificar de onde vem. MAs vou implemtar isso e depois reporto.

    Pretendo rotear a rede mas preciso tentar uma solução mais rápida para depois migrar.

    Abç
    Pois essa é uma das principais vulnerabilidade do uso da bridge em redes. Ela é pura. Se você usar o controle por ip+mac não impedira o ataque. Mesmo você usando esse meio de proteção não adianta para ataques do tipo MAC flooding. Pois o MAC flooding se utiliza da bridge como meio fisico e não da tabela address lits. Imagine um usuario mal intencionado dentro da sua rede bridge mesmo ele estando dentro ou fora do address list ou ARP não impedira um ataque deste nivel. O que você pode fazer é implementar essas regras acima a bridge para dar limites para qualquer ponto ou nó que possa chegar ao endereço de broadcast.
    Para você ter certeza de onde vem.. Vá cortando um a um de seus clientes na Torre. Se você cortar todos e o ataque continuar significa que esse ataque pode esta tendo origem diretamente dentro do meio físico da sua rede. Você pode estar com uma maquina dentro da sua rede infectada. Uma ideia é ir por eliminatórias.
    A maioria dos bons mocinhos que fazem esse tipo de ataque se utilizam de placas PCI e adaptadores que a maioria usa nos provedores para prover acesso. Isso por que as plaquinhas pci e usb são baratas. Mas o que a maioria não sabe é que esses tipos de adaptadores deixam os bons mocinhos conectados diretamente a bridge. Então eles criam uma maquina virtual dentro do proprio windows e mudam o MAC address criam uma ponte entre a VM e o adaptador wireless e começam a brincadeira.
    Moral da historia é banir esses adaptadores pci e usb da rede. Usar sempre cpe´s ou placas de rádio + antenas. A segurança do provedor vem sempre em primeiro lugar e o barato sai caro.
    Por que estão Fazendo isso comigo? Essa é sua pergunta!
    Os ataques de MAC flooding, por sua vez, tem como alvo o switch da rede e trabalham dentro de um princípio bastante simples. O switch possui uma área limitada de memória para armazenar a tabela com os endereços MAC dos micros da rede (que permite que ele encaminhe as transmissões para as portas corretas), de forma que, ao receber um grande número de pacotes com endereços MAC forjados, a tabela é completamente preenchida com os endereços falsos, não deixando espaço para os verdadeiros.

    Talvez seja um concorrente teu. Ou alguém que quer te prejudicar!

    Quer saber mais?
    Link: Saiba mais sobre o assunto!

  10. #10

    Padrão Re: Vírus ou ataque na rede

    rafaelhol.

    Muito obrigado pela colaboração.

    Certo, coloquei as regras em todas as minhas Rbs que estão como Ap Bridge (bridge), e logo de início percebi que a regra "Bloqueio de Ataque STP" já foi dropando um monte de pacotes em todas as RB's sem exceções, logo, a regra "bloqueio de ataque do tipo ARP" não dropou em nenhuma. Quando coloquei as regras não estava sendo atacado, pois como dito no tópico, esses ataques acontecem diariamente em horários alternados. A rede se mantem estável fazem aproximadamente 3 hrs.
    Me restaram duas dúvidas: No meu server MK, existe uma interface que serve a rede toda (não está em bridge) essa está ligada em um SWITCH D-LINK DES-1024D 24 PORTAS 10/100 NÃO GERENCIAVEL servindo toda a rede (2.4 e 5.8), logo a dúvida:
    -Seria interessante eu bridgear essa interface para aplicar esses filtros de bridge nela?;
    -Vou precisar implementar essas regras nas minhas bases 5.8(ubiquiti) que também estão como Ap Bridge?

    Aproveito e vou dar uma lida no tópico que você me sugeriu.

    Grato até o momento.



  11. #11

    Padrão Re: Vírus ou ataque na rede

    Citação Postado originalmente por bennthiago Ver Post
    rafaelhol.

    Muito obrigado pela colaboração.

    Certo, coloquei as regras em todas as minhas Rbs que estão como Ap Bridge (bridge), e logo de início percebi que a regra "Bloqueio de Ataque STP" já foi dropando um monte de pacotes em todas as RB's sem exceções, logo, a regra "bloqueio de ataque do tipo ARP" não dropou em nenhuma. Quando coloquei as regras não estava sendo atacado, pois como dito no tópico, esses ataques acontecem diariamente em horários alternados. A rede se mantem estável fazem aproximadamente 3 hrs.
    Me restaram duas dúvidas: No meu server MK, existe uma interface que serve a rede toda (não está em bridge) essa está ligada em um SWITCH D-LINK DES-1024D 24 PORTAS 10/100 NÃO GERENCIAVEL servindo toda a rede (2.4 e 5.8), logo a dúvida:
    -Seria interessante eu bridgear essa interface para aplicar esses filtros de bridge nela?;
    -Vou precisar implementar essas regras nas minhas bases 5.8(ubiquiti) que também estão como Ap Bridge?

    Aproveito e vou dar uma lida no tópico que você me sugeriu.

    Grato até o momento.
    Desde de que você abriu este tópico estou aqui simulando vários tipos de ataques em arp. E a regra que sugeri precisa ser adaptada segundo sua infraestrutura. Aqui funcionou redondo!
    Respondendo sua duvida sobre a interface que gerencia a rede toda!
    Sim é interessante deixar ela também em camada Bridge e aplicar as regras acima.
    Mas deixe somente ela no server em camada Bridge, caso contrario estará abrindo brechas no seu sistema para usuários se conectarem diretamente ao seu gate-way.
    Alias se conseguir aplique essas regras a todas suas RB´s.
    Se possível ative a opção Spanning Tree em todos seus enlaces se estes forem UBiquiti. Se for Mikrotik para ativar essa proteção de Spanning Tree é só adicionar essa regra.

    Interface>Bridge>filter>

    add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=no \
    dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF

    Essa regra impede que loop´s aconteça em sua rede.
    Nas suas bases Ubiquiti desative tudo que for Auto ip alias e ative a opção
    Spanning Tree.
    Isso também é aconselhável fazer em todos equipamentos clientes UBNT.

    Existe milhares de filtros de proteção para bridge disponíveis aqui no fórum e na internet. Construa um padrão de filtros para melhorar sua rede.

    Formulei uma configuração minima de proteção pro seu caso que poderá ser implantada em toda sua rede para evitar este tipo de ataque.

    Proteção Básica para redes Bridge:

    /interface bridge filter


    add action=drop chain=forward comment="Bloqueio de Broadcast" disabled=no \
    mac-protocol=ip packet-type=broadcast
    add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=\
    no dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Bloqueia Arp Espurios" disabled=no mac-protocol=arp
    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Bloqueia Arp Espurios (Nao esqueca de selecionar sua interface em \
    In-Bridge)" disabled=no in-bridge=bridge1 mac-protocol=arp
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward disabled=no ip-protocol=udp mac-protocol=ip \
    src-port=67
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward disabled=no ip-protocol=udp mac-protocol=ip \
    src-port=67
    add action=drop chain=forward comment=Netbios disabled=no dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward disabled=no dst-port=135-139 ip-protocol=udp \
    mac-protocol=ip
    add action=drop chain=forward disabled=no dst-port=445 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no \
    dst-port=10001 ip-protocol=udp mac-protocol=ip
    add action=drop chain=input comment="Bloqueia Descoberta de Vizinhanca" \
    disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip


    Se usar DHCP em sua Rede desmarque a proteção DHCP nas regras acima.
    Se usar o UBNT-discovery desmarque a proteção UBNT-Discovery nas regras acima.
    Se usar o Descoberta de Vizinhança pelo Winbox desmarque a proteção Descoberta de vizinhaça nas regras acima. Se não seu winbox não ira mais localizar suas Rb´s.

    Importante:

    Um conselho a todos se forem aplicar essas regras, entrem no modo de segurança SAFE, indo em New terminal e pressionando Ctrl+x. Se caso você perder o controle da rb "router-board" ou simplesmente fechar a janela do New Terminal pelas regras as modificações serao desfeitas, se vc desejar gravar as modificacoes pressione novamente Ctrl+x antes de fechar o winbox ou a janela new terminal. Se vc usar a versao mais nova do routeros 5.xxx já existe uma opcao grafica botão SAFE no topo do winbox para esse procedimento.
    Quanto aos Switch´s de preferência sempre pelos gerenciáveis 10/100/1000 que já vem com varias possibilidades de bloqueio para este tipo de ataque.

    Leitura Recomendada: Como Bloquear os espúrios de Arp

    Não esqueça de reportar pra gente se a tranquilidade voltou a sua rede!
    Se alguém mais quiser adicionar algum filtro importante para a bridge fique a vontade para postar aqui nesse tópico.

    Grande abraço.
    Se ajudei estrelinha!
    Última edição por rafaelhol; 03-07-2012 às 13:50.

  12. #12

    Padrão Re: Vírus ou ataque na rede

    rafaelhol.

    Obrigado mais uma vez pela força e pela preocupação.

    Estarei implantando tudo isso de acordo com oque me sugeriu possivelmente amanhã 04/07/12. E torcendo para que dê solução ao problema. Se possível me mande seu msn para conversarmos melhor.
    Estou reforçando as leituras.
    Reportarei os resultados.

    Abç



  13. #13

    Padrão Re: Vírus ou ataque na rede

    Amigo, bennthigo
    estava lendo esse topico e achei interessante, acho que estou passando por essa situacao, mais gostaria muito de saber se voce realizou estas solucoes passada pelos amigos aqui. Voce disse que iria reportar se deu certo a solucao aprezentada.
    Fico no aguardo da resposta para saber se deu certo, para eu poder saber se devo aplica-las tambem aqui. Caso voce tenha implementado algo diferente posta aqui tambem. Blz

  14. #14

    Padrão Re: Vírus ou ataque na rede

    Amigos, notei que na minha tabela ARP List aparecem todos os radio conectados e do nada varios somem e voltam isso e normal?
    Minha rede se baseia tudo em UBIQUITI 5.8 e PPPoE autenticando pelo MK-Auth, sera algum tipo de ataque ou swifth dando loop na rede. Obrigado desde ja.