Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Proteção Básica para redes Bridge:

    /interface bridge filter

    add action=drop chain=forward comment="Bloqueio de Broadcast" disabled=no \
    mac-protocol=ip packet-type=broadcast
    add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=\
    no dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Bloqueia Arp Espurios" disabled=no mac-protocol=arp
    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Bloqueia Arp Espurios (Nao esqueca de selecionar sua interface em \
    In-Bridge)" disabled=no in-bridge=bridge1 mac-protocol=arp
    add action=drop chain=input comment="Anti-DHCPServer-Externo" disabled=no \
    ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward disabled=no ip-protocol=udp mac-protocol=ip \
    src-port=67
    add action=drop chain=forward comment="Netbios" disabled=no dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward disabled=no dst-port=135-139 ip-protocol=udp \
    mac-protocol=ip
    add action=drop chain=forward disabled=no dst-port=445 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no \
    dst-port=10001 ip-protocol=udp mac-protocol=ip
    add action=drop chain=input comment="Bloqueia Descoberta de Vizinhanca" \
    disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip


    Espero estar ajudando a muitos que gostariam de estar protegendo suas RB´s em suas interfaces Bridge contra alguns tipo de ataques como ARP.
    Grande Abraço a todos!
    Se alguém mais quiser enriquecer esse tópico com alguma sugestão de filtro para bridge´s fique a vontade!
    Vamos juntos construir uma fortaleza para proteger nossas bridge de possíveis ataques.

    Segue em anexo o arquivo das regras para aqueles que estiverem com erros
    ao copiar no terminal do winbox:Regras_filter_basico.txt
    Lembrando que a quebra de pagina deve estar desmarcada na opção formatar do bloco de notas para que você possa copiar as regras e colar no terminal do winbox para não haver erros!

    Se ajudei estrelinha!
    Última edição por rafaelhol; 02-07-2012 às 21:50.

  2. Rafael assim é uma maneira facil de inibir a comunicação entre as portas certo? ou seja havendo mais de uma porta e cada uma com seu range estariamos inibindo o trafego entre elas.



  3. Citação Postado originalmente por Ollenini Ver Post
    Rafael assim é uma maneira facil de inibir a comunicação entre as portas certo? ou seja havendo mais de uma porta e cada uma com seu range estariamos inibindo o trafego entre elas.
    Sim... Essa é uma maneira simples de criar politicas internas para controle da bridge.
    Sabendo que a bridge é na verdade uma interface virtual que criamos com base nas interfaces físicas. Logo podemos ter o controle sobre todas as interfaces físicas que estejam anexada a interface virtual Bridge.
    As regras que postei são para uma segurança básica. Mas existem outras milhares de regras que poderá ser implantada de acordo com cada cenário.
    É interessante a galera ajudar a enriquecer este tópico com sugestões de implantação de novos filtros para melhorar essa proteção.
    Abraço.

  4. Rafael, Parabens pelo post da regra, isso demostra o tamanho do teu conhecimento e o corporativismo, que hoje em dias e raro de se ver. Cara eu sou iniciante nesta area, to tendo ums problemas que nem sei oq falar, minha rede esta em bridge e esta louca, tem hrs que ta ok tem hrs que ñ, ta dificil ate ter acesso ao servidor e rb,não sei o que faço, vou tentar colocar essa regra pra ver se pega alguma coisa, mas só uma pergunta, e so copiar e colar no files da RB?



  5. Citação Postado originalmente por misterZ Ver Post
    Rafael, Parabens pelo post da regra, isso demostra o tamanho do teu conhecimento e o corporativismo, que hoje em dias e raro de se ver. Cara eu sou iniciante nesta area, to tendo ums problemas que nem sei oq falar, minha rede esta em bridge e esta louca, tem hrs que ta ok tem hrs que ñ, ta dificil ate ter acesso ao servidor e rb,não sei o que faço, vou tentar colocar essa regra pra ver se pega alguma coisa, mas só uma pergunta, e so copiar e colar no files da RB?
    Primeiramente meu caro mister2, eu é que agradeço as suas considerações! Realmente nós dias de hoje o conhecimento esta sendo mascarado como forma de comercio, os ditos cujos consultores. Esta cada vez mais difícil a ajuda sem fins lucrativos mas ainda se encontra muitas pessoas de bem que estarão dispostas sempre a ajudar o próximo para praticas e fins didáticos.
    Quanto sua rede estar instável certos intervalos de tempo, é interessante você nós explicar melhor essa situação para podermos te ajudar melhor.
    Respondendo sua pergunta a questão das regras é só copiar e colar no terminal via winbox ou se você preferir poderá estar digitando manualmente cada regra via SSH pelo Putty, bem simples.
    Se você distribui dados por ultima milha via wireless para seus clientes; As vezes o problema pode ser outro que não um ataque e pode estar nesse próprio meio seja por questão de sinal fraco, data rate baixo, CCQ baixo, Ruido alto, ou também por questão de interferência.
    É sempre interessante poder entender bem como funciona este meio de comunicação que se provem a através de ondas eletromagnéticas "o wireless" para se poder entender certos fenômenos e certos tipos de problemas que por ventura poderá ou não vir a acontecer em seu sistema.
    Porem as vezes o problema não esta no sinal e nem no quesito interferencia e sim na propria rede interna do usuario em forma de ataques do tipo spoofing, arp, Scanner´s entre outros problemas de segurança.
    São espertinhos tentando invadir sua rede ou testando suas vulnerabilidades para se aproveitar e utilizar de graça o seu sinal.
    Para evitar isso é interessante sempre monitorar sua rede e se utilizar de regras no firewall ao máximo para se evitar futuramente esses tipos de transtorno.
    É sabido de muitos que uma bridge é vista como sinônimo de insegurança por se tratar de um único meio físico mesmo que virtualizado. O ideal para se prover um grau aceitável de segurança é sempre aplicar regras a bridge ou sempre que possível se trabalhar com sistemas de rotas "roteamento de redes". Mas as vezes fazer o roteamento de uma rede quase que sempre se torna uma aventura mal sucedida por muitos, primeiro por falta de conhecimentos suficientes para se obter sucesso e satisfação, segundo pela complexidade gradual e assim vai.
    Espero ter ajudado.
    Dica: Aqui no fórum Under tem diversos Topicos que abordão muitas questões e probelmas. Estude mais aqui no forum sobre como funciona Roteamento estático ou via OSPF e não esqueça tambem de visitar os topicos sobre como se proteger via firewall.
    Grande Abraço !
    Se ajudei estrelinha!






Tópicos Similares

  1. Respostas: 16
    Último Post: 24-04-2015, 15:37
  2. Proteção ant-surto para rede cabeada
    Por ByADM no fórum Redes
    Respostas: 1
    Último Post: 07-06-2013, 08:18
  3. Respostas: 2
    Último Post: 18-06-2012, 08:53
  4. Respostas: 0
    Último Post: 20-11-2002, 14:54
  5. Rotear IPs válidos para rede inválida
    Por no fórum Servidores de Rede
    Respostas: 15
    Último Post: 23-10-2002, 15:46

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L