Solução definitiva virus em clientes RB em Bridge

[fwsolutions]

Olá amigos, tudo blz?

Bom estou passando por vários problemas estes dias e sofrendo bastante, o problema é o seguinte alguns clientes com placas de rede PCI, estão sendo infectados por virus que chegam a abrir 2500 conexões simultaneas, levando a loucura os cartões mini pci, os pings sobem de 900 pra cima.

Meu cenário está assim, rb600a com 4 cartões minipci r52h, em bridge com bloqueio na bridge para forward na rede, e algumas portas de netbios e virus, todos clientes cadastrados na access list, com default forward e default authenticate desabilittado, todos clientes do access list com as velocidades cadastradas e fora isto controle de firewall no mikrotik que fica em baixo na central, já tentei várias coisas e nada de resolver isto, a não ser formatar a maquina do cliente.

O problema é que é muito desprofissional, toda vez que pega um virus no pc do cliente ter que ir lá formatar a máquina, tenho aqui clientes que formato e em 1 semana já estão impestiados de virus, graças aos Porns da Vida, na realidade estou parando de usar placas pci mas isto acontece com alguns clientes antigos, justo com eles.

Gostaria de Saber se alguem não tem uma solução definitiva, pois tem clientes que abrir acima de 2000 conexões, e até a gente perceber ficou em jogo a qualidade de nossos clientes que estão sem poder acessar com qualidade por causa de 1 que está com virus.

Nunca Mais quero nem saber de placa PCI nos clientes to até com raiva dessas %#**@@ ..... Bom mas fazer o que se for trocar de todos que estão com plaquinhas irá causar um prejuizo que não estou podendo arcar.

Por Favor alguem pode me ajudar ?


Desde já agradeço.

[mtrojahn]

Infelizmente, não me vem a cabeça nenhuma solução definitiva para o seu caso... Não sem ir no cliente...

Qualquer firewall no AP não seria muito útil porque, mesmo dropando os pacotes, eles já teriam afetado o desempenho...

Você poderia tentar um tarpit nessas portas ao invés de drop porque o tarpit engana a máquina do cliente dizendo que a conexão estabeleceu quando na verdade, não... Chega a um ponto que provavelmente a máquina do cliente vai alcançar o limite de conexões e não vai abrir mais nada...

Mas... E tudo tem um mas... Eu tenho certeza que muitos desses "ataques" devem ser em portas comuns como 25, 80, etc... E você provavelmente não conseguirá identificar este tráfego de um tráfego normal e fazer o tarpit corretamente... A não ser que seja um processo manual...

[fwsolutions]

Olá amigo obrigado pela resposta, é complicado isto né, não sei se esta questão de muitas conexões simultaneas é uma limitação do mikrotik, mas coloquei um script pra rodar limitando as conexões simultaneas em 60, mas o processador da rb vai a 100%, e prejudica o desempenho também, a solução seria usar rádio nos clientes, eu ouvi dizer também que se usar um sistema como o mk-auth ou myauth eles tem um sistema de layer7 avançado que limitaria somente a velocidade contratada pelo cliente as conexões simultaneas agora não sei se é verdade isto.

Olha desculpas aos adeptos das placas PCI, mas por experiencia própia quero fazer um apelo:

NÃO USEM PLACA PCI NOS CLIENTES, É SINÔNIMO DE PROBLEMAS ! obrigado !

ao amigo que me deu esta sugestão vou tentar fazer o mencionado, muito obrigado !

[danilosceu]

Olá amigo obrigado pela resposta, é complicado isto né, não sei se esta questão de muitas conexões simultaneas é uma limitação do mikrotik, mas coloquei um script pra rodar limitando as conexões simultaneas em 60, mas o processador da rb vai a 100%, e prejudica o desempenho também, a solução seria usar rádio nos clientes, eu ouvi dizer também que se usar um sistema como o mk-auth ou myauth eles tem um sistema de layer7 avançado que limitaria somente a velocidade contratada pelo cliente as conexões simultaneas agora não sei se é verdade isto.

Olha desculpas aos adeptos das placas PCI, mas por experiencia própia quero fazer um apelo:

NÃO USEM PLACA PCI NOS CLIENTES, É SINÔNIMO DE PROBLEMAS ! obrigado !

ao amigo que me deu esta sugestão vou tentar fazer o mencionado, muito obrigado !

no problema não é diretamente a placa pci, se vc colokar um radio no pc com virus vai continuar na mesma.

[fwsolutions]

Sim amigo, só que quando se configura em modo ISP e limita a banda no cliente automaticamente bloqueia a transmissão para a rede geral, porque o virus vai estar rodando em uma classe de ip e a wan estaria recebendo em outra classe de ip, não seria assim, pelo menos aqui os clientes que tenho tido problema são os com Placa PCI ou USB, pois estão em bridge direta na rede do mikrotik.

Bom mas afinal saindo da discussão da Placa PCI, alguem teria uma solução para este problema, porque é impossível que apenas 1 cliente com virus estrague uma célula inteira com PINGS altos.

Qual Seria a Solução???

Alguem possui???

Desde já agradeço a todos ! obrigado

[danilosceu]

Sim amigo, só que quando se configura em modo ISP e limita a banda no cliente automaticamente bloqueia a transmissão para a rede geral, porque o virus vai estar rodando em uma classe de ip e a wan estaria recebendo em outra classe de ip, não seria assim, pelo menos aqui os clientes que tenho tido problema são os com Placa PCI ou USB, pois estão em bridge direta na rede do mikrotik.

Bom mas afinal saindo da discussão da Placa PCI, alguem teria uma solução para este problema, porque é impossível que apenas 1 cliente com virus estrague uma célula inteira com PINGS altos.

Qual Seria a Solução???

Alguem possui???

Desde já agradeço a todos ! obrigado

ea placa de rede não roda em cima de uma classe de ip tbm? placa pci _______bridge
cliente____radio____bridge

[fwsolutions]

Olá amigo !

Sim eu compreendo, só que quis dizer o seguinte, bom eu não entendo perfeitamente esta questão, mas digo assim o rádio configurado em modo ISP, recebe na interface wan o ip 172.1.1.X, e distribui para o cliente conectado no DHCP em 192.168.2.X, já na placa pci como ela está em Bridge ela está funcionando diretamente na rede, ela iria repassar o ip 172.1.1.X e no caso de virus ele iria usar essa classe e abrir conexões diretas nesta classe de ip.

Bom não sou perito neste assunto portanto não vou me intrometer a discutir sobre aparelhos rsss ! mas meu problema aqui está assim, tem alguns clientes que abrem 2600 conexões simultâneas, e o cartão vai a 1000, e isto interfere na qualidade dos meus clientes.

Gostaria de Saber se alguem passou por isto e conseguiu resolver definitivamente, sem ter que ficar indo toda vez no cliente formatar a máquina, que pra mim soa muito desprofissional esta prática.

Desde já agradeço a colaboração de todos !

[jorgeprg]

Estou com o mesmo problema à um ano, já. E não consigo encontrar uma solução. Uso Hotspot aqui. É incrível como a gente fica vulnerável com isso.

[interhome]

Usando mikrotik nos pontos de acessos, Crie regras na bridge bloqueando a intercomunicacao de pacotes, use filtros e se ainda quizer controle a quantidade de conexoes dos clientes (não necessário na torre).

[mtrojahn]

Usando mikrotik nos pontos de acessos, Crie regras na bridge bloqueando a intercomunicacao de pacotes, use filtros e se ainda quizer controle a quantidade de conexoes dos clientes (não necessário na torre).

isso não resolve nada porque se o cliente estiver floodando pacotes eles ainda vão chegar até o AP para sempre dropados... Se ele estiver ocupando uma banda alta com este flood, ela ainda será ocupada, dropando ou não...

Dropar só vai evitar que o AP não tente propagar este tráfego... O cartão que atende ainda será afetado pelo tráfego.

O que eu faria é bloquear o cliente e dizer para ele que ele esta sendo bloqueado até que conserte sua máquina e instale um antivírus e o mantenha atualizado. Se ele não fizer isto seu contrato será cancelado... Já fiz muito disto... É muito mais prejuízo manter um cliente assim do que perde-lo.

[interhome]

Isolar o cliente e não permitir a propagação do problema ja é um grande passo.
Quando se isola o cliente e se identifica. Permiti uma ação direcionada no host.
Com tudo a rede esta funcionando e "todos" não são infectados.

[mtrojahn]

Acredito que isto já estava claro desde os primeiros posts...

[fwsolutions]

O que eu fiz foi o seguinte

inseri um script que gera uma lista com todos ips da minha classe de rede, e na bridge do MK na Torre (RB) em settings setei use IP FIREWALL e configurei o tracking e limitei no firewall as conexões simultaneas em 60, pelos dados do firewall está dropando alguns clientes vamos ver no que vai dar, só lembrando que tenho forward bloqueado na rb e algumas portas do Netbios, vamos ver agora se vai limitar certinho.

Desde já agradeço a colaboração de todos e aguardo mais algumas dicas !

[fwsolutions]

Olá amigos fiz os testes, mas minha RB é uma RB600a, e o processamento tem horas que vai a 100% e já compromete a qualidade do acesso, eu desabilitei todos scripts que estavam rodando mas mesmo assim tinha picos de processamento altos, alguem sabe como diminuir o processamento???

[amaia]

Existe uma propriedade no opcao: /interface wireless access-list que é: ap-tx-limit que limita a velocidade de conexao fisica do cliente ao cartao, mas nao sei dizer o quanto compromete o desempenho da RB. Nos testes que fiz em bancada a algum tempo atras usando RB 133 e cartoes R52H a opcao ap-tx-limit funcinou muito bem, mas na epoca como eu nao tinha clientes para testar nao levei adiante e nao deu para verificar a carga do processamento.

[fwsolutions]

Olá amigo, então quanto a utilização do controle de banda na RB em access-list eu já uso aqui, mas o problema é que mesmo com todos estes controles o virus abre 2500 requisições matando a rede em todos que estiverem conectados naquele cartão, isto é terrivel, o que parece funcionar mais ou menos é o sistema de firewall na rb limitando as conexões, mas o processamento da mesma vai a 100% em horarios de pico, se tornando inviável a utilização, mesmo assim não é comprovado a funcionalidade, esta questão é complicado, creio que já atormentou a vida de muita gente.

Alguem teria esta tão sonhada solução rss !

Desde já agradeço a colaboração de todos !

Obrigado

[Briza]

Amigo na humildade vou te passar umas solucoes blz
no cliente desabilite da placa cliente !clientes para rede microsoft e compartilhamento de arquivos e impressoras!
Na rb por mais que vc desabelite o forword do cartao os clientes em brigde transmitem trafego lembre de tirar o forword quando adicionar a mac do cliente
Faça o seguinte

De um nome pra cada cartao imagino que vc deve ter 3

em new terminal acesse:

/interface bridge filter
add action=drop chain=forward comment="" disabled=no in-interface=CARTAO01 \
out-interface=CARTAO02
add action=drop chain=forward comment="" disabled=no in-interface=CARTAO01 \
out-interface=CARTAO03
add action=drop chain=forward comment="" disabled=no in-interface=\
CARTAO02 out-interface=CARTAO01
add action=drop chain=forward comment="" disabled=no in-interface=\
CARTAO02 out-interface=CARTAO03
add action=drop chain=forward comment="" disabled=no in-interface=\
CARTAO03 out-interface=CARTAO02
add action=drop chain=forward comment="" disabled=no in-interface=\
CARTAO03 out-interface=CARTAO01
add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=135-139 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=no dst-port=455 \
ip-protocol=tcp mac-protocol=ip


Caso tenha mais um cartao basta adicionar pela logica estas 3 linhas fexa a comunicaçao total entre os cartoes e os clientes com trafico de rede

vale apena tambem atualizar a rb e seu mk o firmware da rb deve ser sempre atualizado pra nao aumentar o processamento dela e funcionar com mais calma
a melhor atualizacao sempre é a ultima isso é por sua conta atualizar o firm da rb tem aki em outro tropico

nao precisa procurar ta ai o link:
Atualização de FirmWare em RouterBoards - Blogs - Under-Linux.org

se isso que te passei nao der certo procure um profissional pra conf teus cartoes conforme sua rede

Bom fds

[fwsolutions]

Olá amigo, obrigado pela resposta, mas eu tenho estas configurações no meu MK, fiz o bloqueio de cartão para cartão para nada passar e apliquei as configurações de bloqueio de netbios, inclusive estava testando e 1 cliente meu com Nanostation também pegou virus e ficou a mesma coisa com a plaquinha.

Tanto Rádio como Plaquinha apresentam o mesmo problema, queria saber se a nanostation ou o roquet M2 tem este problema de conexões simultaneas ou só no Mikrotik??

Estou pensando se for o caso trocar tudo nas torres, pq toda hora tem que ficar monitorando, formata um computador de um cliente ai depois tem que ir no outro semana que vem, ai não funciona, principalmente nós que queremos sempre fornecer um serviço de qualidade e profissional.

Agradeço a resposta de todos !

[Briza]

Amigo sera que voce nao esta com virus no teu webproxy ou no teu cache ???
ja desabilitou o ftp porta 21 ...
outra coisa que se pode pensar pode ser ataque aos teus macs na torre com algum snifer...
voce ja identificou o nome do virus, teu cd do windows nao ta com virus , falando nisso winxp tem que ser service pack 2 ... apesar que o xp pra pegar virus é terrivel... porque de tudo o que pode ser eu faria o seguinte colocava uma maquina direto no cabo e ia navegando ate ver o que acontece se pega virus se as conecçoes nesta maquina estorao... se pegar virus é certeza que é virus no servidor ai so formatar e acertar isso ai ...

[fwsolutions]

Olá amigo, então verifiquei a questão de virus, no cd do xp não é, mas pode ser que seja no cache, aqui eu uso Thunder Cache 5, com 3 hd de 1tb em Raid0, vou verificar esta questão, eu queria saber se alguem tem experiencia com os nanostation2 se acontece este problema e se em 5.8 tem esta limitação de conexões simultâneas, desde já agradeço as respostas da galera !


Valew ! Obrigado