Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. Citação Postado originalmente por bennthiago Ver Post
    rafaelhol.

    Muito obrigado pela colaboração.

    Certo, coloquei as regras em todas as minhas Rbs que estão como Ap Bridge (bridge), e logo de início percebi que a regra "Bloqueio de Ataque STP" já foi dropando um monte de pacotes em todas as RB's sem exceções, logo, a regra "bloqueio de ataque do tipo ARP" não dropou em nenhuma. Quando coloquei as regras não estava sendo atacado, pois como dito no tópico, esses ataques acontecem diariamente em horários alternados. A rede se mantem estável fazem aproximadamente 3 hrs.
    Me restaram duas dúvidas: No meu server MK, existe uma interface que serve a rede toda (não está em bridge) essa está ligada em um SWITCH D-LINK DES-1024D 24 PORTAS 10/100 NÃO GERENCIAVEL servindo toda a rede (2.4 e 5.8), logo a dúvida:
    -Seria interessante eu bridgear essa interface para aplicar esses filtros de bridge nela?;
    -Vou precisar implementar essas regras nas minhas bases 5.8(ubiquiti) que também estão como Ap Bridge?

    Aproveito e vou dar uma lida no tópico que você me sugeriu.

    Grato até o momento.
    Desde de que você abriu este tópico estou aqui simulando vários tipos de ataques em arp. E a regra que sugeri precisa ser adaptada segundo sua infraestrutura. Aqui funcionou redondo!
    Respondendo sua duvida sobre a interface que gerencia a rede toda!
    Sim é interessante deixar ela também em camada Bridge e aplicar as regras acima.
    Mas deixe somente ela no server em camada Bridge, caso contrario estará abrindo brechas no seu sistema para usuários se conectarem diretamente ao seu gate-way.
    Alias se conseguir aplique essas regras a todas suas RB´s.
    Se possível ative a opção Spanning Tree em todos seus enlaces se estes forem UBiquiti. Se for Mikrotik para ativar essa proteção de Spanning Tree é só adicionar essa regra.

    Interface>Bridge>filter>

    add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=no \
    dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF

    Essa regra impede que loop´s aconteça em sua rede.
    Nas suas bases Ubiquiti desative tudo que for Auto ip alias e ative a opção
    Spanning Tree.
    Isso também é aconselhável fazer em todos equipamentos clientes UBNT.

    Existe milhares de filtros de proteção para bridge disponíveis aqui no fórum e na internet. Construa um padrão de filtros para melhorar sua rede.

    Formulei uma configuração minima de proteção pro seu caso que poderá ser implantada em toda sua rede para evitar este tipo de ataque.

    Proteção Básica para redes Bridge:

    /interface bridge filter


    add action=drop chain=forward comment="Bloqueio de Broadcast" disabled=no \
    mac-protocol=ip packet-type=broadcast
    add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=\
    no dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Bloqueia Arp Espurios" disabled=no mac-protocol=arp
    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Bloqueia Arp Espurios (Nao esqueca de selecionar sua interface em \
    In-Bridge)" disabled=no in-bridge=bridge1 mac-protocol=arp
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward disabled=no ip-protocol=udp mac-protocol=ip \
    src-port=67
    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward disabled=no ip-protocol=udp mac-protocol=ip \
    src-port=67
    add action=drop chain=forward comment=Netbios disabled=no dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward disabled=no dst-port=135-139 ip-protocol=udp \
    mac-protocol=ip
    add action=drop chain=forward disabled=no dst-port=445 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no \
    dst-port=10001 ip-protocol=udp mac-protocol=ip
    add action=drop chain=input comment="Bloqueia Descoberta de Vizinhanca" \
    disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip


    Se usar DHCP em sua Rede desmarque a proteção DHCP nas regras acima.
    Se usar o UBNT-discovery desmarque a proteção UBNT-Discovery nas regras acima.
    Se usar o Descoberta de Vizinhança pelo Winbox desmarque a proteção Descoberta de vizinhaça nas regras acima. Se não seu winbox não ira mais localizar suas Rb´s.

    Importante:

    Um conselho a todos se forem aplicar essas regras, entrem no modo de segurança SAFE, indo em New terminal e pressionando Ctrl+x. Se caso você perder o controle da rb "router-board" ou simplesmente fechar a janela do New Terminal pelas regras as modificações serao desfeitas, se vc desejar gravar as modificacoes pressione novamente Ctrl+x antes de fechar o winbox ou a janela new terminal. Se vc usar a versao mais nova do routeros 5.xxx já existe uma opcao grafica botão SAFE no topo do winbox para esse procedimento.
    Quanto aos Switch´s de preferência sempre pelos gerenciáveis 10/100/1000 que já vem com varias possibilidades de bloqueio para este tipo de ataque.

    Leitura Recomendada: Como Bloquear os espúrios de Arp

    Não esqueça de reportar pra gente se a tranquilidade voltou a sua rede!
    Se alguém mais quiser adicionar algum filtro importante para a bridge fique a vontade para postar aqui nesse tópico.

    Grande abraço.
    Se ajudei estrelinha!
    Última edição por rafaelhol; 03-07-2012 às 12:50.

  2. rafaelhol.

    Obrigado mais uma vez pela força e pela preocupação.

    Estarei implantando tudo isso de acordo com oque me sugeriu possivelmente amanhã 04/07/12. E torcendo para que dê solução ao problema. Se possível me mande seu msn para conversarmos melhor.
    Estou reforçando as leituras.
    Reportarei os resultados.

    Abç



  3. Amigo, bennthigo
    estava lendo esse topico e achei interessante, acho que estou passando por essa situacao, mais gostaria muito de saber se voce realizou estas solucoes passada pelos amigos aqui. Voce disse que iria reportar se deu certo a solucao aprezentada.
    Fico no aguardo da resposta para saber se deu certo, para eu poder saber se devo aplica-las tambem aqui. Caso voce tenha implementado algo diferente posta aqui tambem. Blz

  4. Amigos, notei que na minha tabela ARP List aparecem todos os radio conectados e do nada varios somem e voltam isso e normal?
    Minha rede se baseia tudo em UBIQUITI 5.8 e PPPoE autenticando pelo MK-Auth, sera algum tipo de ataque ou swifth dando loop na rede. Obrigado desde ja.






Tópicos Similares

  1. Respostas: 2
    Último Post: 08-04-2016, 21:07
  2. Virus ou ataque mudando DNS de Roteador
    Por ManoDW no fórum Redes
    Respostas: 8
    Último Post: 22-12-2015, 10:22
  3. Virus se propagando na rede
    Por Pruda no fórum Redes
    Respostas: 0
    Último Post: 18-09-2008, 11:22
  4. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 8
    Último Post: 16-03-2003, 12:26
  5. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 1
    Último Post: 05-03-2003, 02:31

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L