Re: Vírus ou ataque na rede
Citação:
Postado originalmente por
bennthiago
Olá Srs.
Preciso de um help.
Tenho uma rede em bridge (como é o caso da maioria dos provedores) mas breve pretendo roteá-la, com 4 repetidoras mistas 2.4 e 5.8 (linha M5), utilizo hotspot nas 2.4 e PPPoE nas 5.8.
O problema éo seguinte: Todos os dias em horários alternados a rede fica lenta e com latência alta, após algumas investigações notei que sobe os PP/S na interface que serve a rede do servidor mikrotik, ou seja, ele escuta esses pacotes de algum lugar de dentro da rede, e para ajudar esses pacotes correm por toda a rede as bridges os APs(M5), com isso provocando toda essa lentidão. Não estou conseguindo identificar de onde vem esses pacotes.
Rodei o Torch e o Packet Sniffer do Mikrotik, segue em anexo.
Nas bridges RB 433 uso filtro de bridge das interfaces e bloqueio de netbios e default foward desmarcado, nas bases e ptp 5.8(M) cliente isolation marcado. No server principal mikrotik possuo um firewall (regular) que bloqueia algumas portas de vírus, ip bogons, conexões inválidas, etc.
Pode ser vírus ou algum ataque?
Alguem já passou por esse problema?
Qual seria a melhor maneira de eliminar esses pacotes indesejáveis?
Conto com a ajuda dos amigos.
É um ataque do tipo ARP.
Pode ser o proprio firmware de algum equipamento que esta gerando esse problema ou algum cliente brincando de envio de pacotes tipo injeção de ARP.
Se sua rede esta em Bridge utilize essa regra pelo MK.
/interface bridge filter
add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward
\
comment="Bloqueia Ataque do Tipo ARP " disabled=no mac-protocol=arp
add action=drop chain=input comment="Bloqueio Ataques Spanning Tree" disabled=no \
dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
Re: Vírus ou ataque na rede
leoservice
Obrigado pela dica, vou dar uma pesquisada a respeito.
Grato
Re: Vírus ou ataque na rede
rafaelhol.
Interessante, vou implementar isso nas bridges já, depois posto os resultados. Só oque me intriga é que isso está entrando pela interface de entrada de rede das bridges, e não consigo identificar de onde vem. MAs vou implemtar isso e depois reporto.
Pretendo rotear a rede mas preciso tentar uma solução mais rápida para depois migrar.
Abç
Re: Vírus ou ataque na rede
Citação:
Postado originalmente por
bennthiago
rafaelhol.
Interessante, vou implementar isso nas bridges já, depois posto os resultados. Só oque me intriga é que isso está entrando pela interface de entrada de rede das bridges, e não consigo identificar de onde vem. MAs vou implemtar isso e depois reporto.
Pretendo rotear a rede mas preciso tentar uma solução mais rápida para depois migrar.
Abç
Pois essa é uma das principais vulnerabilidade do uso da bridge em redes. Ela é pura. Se você usar o controle por ip+mac não impedira o ataque. Mesmo você usando esse meio de proteção não adianta para ataques do tipo MAC flooding. Pois o MAC flooding se utiliza da bridge como meio fisico e não da tabela address lits. Imagine um usuario mal intencionado dentro da sua rede bridge mesmo ele estando dentro ou fora do address list ou ARP não impedira um ataque deste nivel. O que você pode fazer é implementar essas regras acima a bridge para dar limites para qualquer ponto ou nó que possa chegar ao endereço de broadcast.
Para você ter certeza de onde vem.. Vá cortando um a um de seus clientes na Torre. Se você cortar todos e o ataque continuar significa que esse ataque pode esta tendo origem diretamente dentro do meio físico da sua rede. Você pode estar com uma maquina dentro da sua rede infectada. Uma ideia é ir por eliminatórias.
A maioria dos bons mocinhos que fazem esse tipo de ataque se utilizam de placas PCI e adaptadores que a maioria usa nos provedores para prover acesso. Isso por que as plaquinhas pci e usb são baratas. Mas o que a maioria não sabe é que esses tipos de adaptadores deixam os bons mocinhos conectados diretamente a bridge. Então eles criam uma maquina virtual dentro do proprio windows e mudam o MAC address criam uma ponte entre a VM e o adaptador wireless e começam a brincadeira.
Moral da historia é banir esses adaptadores pci e usb da rede. Usar sempre cpe´s ou placas de rádio + antenas. A segurança do provedor vem sempre em primeiro lugar e o barato sai caro.
Por que estão Fazendo isso comigo? Essa é sua pergunta!
Os ataques de MAC flooding, por sua vez, tem como alvo o switch da rede e trabalham dentro de um princípio bastante simples. O switch possui uma área limitada de memória para armazenar a tabela com os endereços MAC dos micros da rede (que permite que ele encaminhe as transmissões para as portas corretas), de forma que, ao receber um grande número de pacotes com endereços MAC forjados, a tabela é completamente preenchida com os endereços falsos, não deixando espaço para os verdadeiros.
Talvez seja um concorrente teu. Ou alguém que quer te prejudicar!
Quer saber mais?
Link: Saiba mais sobre o assunto!
Re: Vírus ou ataque na rede
rafaelhol.
Muito obrigado pela colaboração.
Certo, coloquei as regras em todas as minhas Rbs que estão como Ap Bridge (bridge), e logo de início percebi que a regra "Bloqueio de Ataque STP" já foi dropando um monte de pacotes em todas as RB's sem exceções, logo, a regra "bloqueio de ataque do tipo ARP" não dropou em nenhuma. Quando coloquei as regras não estava sendo atacado, pois como dito no tópico, esses ataques acontecem diariamente em horários alternados. A rede se mantem estável fazem aproximadamente 3 hrs.
Me restaram duas dúvidas: No meu server MK, existe uma interface que serve a rede toda (não está em bridge) essa está ligada em um SWITCH D-LINK DES-1024D 24 PORTAS 10/100 NÃO GERENCIAVEL servindo toda a rede (2.4 e 5.8), logo a dúvida:
-Seria interessante eu bridgear essa interface para aplicar esses filtros de bridge nela?;
-Vou precisar implementar essas regras nas minhas bases 5.8(ubiquiti) que também estão como Ap Bridge?
Aproveito e vou dar uma lida no tópico que você me sugeriu.
Grato até o momento.