Subnets.ru

[waxmax]

проблема тривиальна, надеюсь таким будет и ответ.
есть сеть на zyxel ies1000 zywall70 и dlink3526, абоненты в DMZ зоне
проблема: переиодически завирусованная машина какого-ниюудь абонента, генерируя паразитный трафик, приводит к заполнению существующего внешнего канала и нестабильной работе сегментов внутренней сети. Тоесть сетка в прямом смысле ложица на 1-2 минуты очень часто.
В логах на шлюзе zywall70 нет ничего полезного, абонента приходица ловить буквально в ручную смотря на лампочки комутатора, (хотя нет, в логах иногда бывает, что нибудь от вредителя).
отключаешь вредителя и сетка живет отлично, стоит его влюкчить, все начинает ложица((
иногда прокатывает предьявить абоненту, что мол проверьтесь на вирусы и мы вас включим(он дествительно чтото находит, мы включаем и все идет нормально), но ествесно не всегда такое прокатывает
да это и не дело
как вообще налидить обстановку? может ПО для анализа и фильтрации пакетов, отслежки того кто именно "гадит", или как с правовой точки зрения можно отключить заразного абонента, что бы он навел у себя порядок или еще както?

[Андрей]

Была тема "Черви".
Там было обсуждение этого + ссылки.
Самое дельное решение (если сеть сегментирована на виланы), зарезать трафик по портам на роутере. У меня уже полтора года живет (тьфу, тьфу, тьфу). Единственный минус - не всякое железо позволяет зарезать трафик на непосредственно свитче, но если это можно - почему бы нет.
Как зарезать флуд на канал? - создать соответствующее правило для пакетов уходящих на канал (зарезать по портам).

Как мониторить это? - в принципе достаточно флоу статистики с порта - где больше пакетов - там и гад. (но не всегда это верно)
Есть еще вариант - snort. По для контроля безопасности сети, но оно несколько трудное в настройке.

Как таковое решение - резать порты и вводить жесткие ограничения, хотя и это не панацея.

Либо принудительно заставлять юзеров ставить файрволлы и антивирусы. Но это другая история.

[waxmax]

в законе о связи есть такие пункты, что абонент сети не должен мешать другим абонантам при доступе в эту сеть, иначе он подлежит отключению.
както так. вот щас пока штудирую ЗоС в поисках этих пунктов.
но это как бы да - половина решения проблемы

[waxmax]

вот лог который хоть както касеца абонента:

No. Time Source IP Destination IP Note
1|06/22/2010 22:11:39 |172.16.1.1 |172.16.99.80 |ATTACK
ip spoofing - WAN ICMP(type:3, code:1)


172.16.99.80 - абонент
172.16.1.1 - один из лан интерфейсов шлюза

[Андрей]

Код: Выделить всё

No. Time Source IP Destination IP Note
1|06/22/2010 22:11:39 |172.16.1.1 |172.16.99.80 |ATTACK
ip spoofing - WAN ICMP(type:3, code:1)

У меня перекрыт icmp трафик от клиента к клиенту между виланами.
На свитчах в пределах дома я не могу перектрыть трафик, т.к. свитчи этого не позволяют.

Если zyxel ies1000 zywall70 и dlink3526 позволяют фильтровать трафик, то я не понимаю в чем проблема.
Закрыли трафик на 135-139, 445 tcp/udp порты и полдела сделано. Зарезали icmp и писанины, как указано ранее, не будет.
А вообще я бы закрыл вообще все порты и открывал только те, которые необходимы для юзеров.
Благо dlink3526 это поддерживает:

Расширенный функции безопасности
Серия DES-3500 обеспечивает расширенный набор функций безопасности для управления подключением и доступом пользователей. Этот набор включает Access Control Lists (ACL) на основе МАС-адресов, портов коммутатора, IP адресов и/или номеров портов TCP/UDP, аутентификацию пользователей 802.1х и контроль МАС-адресов. Помимо этого, DES-3500 обеспечивает централизованное управление административным доступом через TACACS+ и RADIUS. Вместе с контролем над сетевыми приложениями, эти функции безопасности обеспечивают не только авторизованный доступ пользователей, но и предотвращают распространение вредоносного трафика по сети

Если это не реклама.

[root]

как вообще налидить обстановку?

1. сегментировать сеть на кусочки
2. посмотреть любым снифером на шлюзе или послушать прямо на влане что летит от абонента. смотрел ?

[waxmax]

ни разу не юзал снифер, посоветуйте какойнить для начала.

я кстати тут прикрыл ICMP, но это оказалось мало эффективно, так как тут еще и ип-спуфинг, тоесть лог покзывает, что с и-фейса самого шлюза доверенной подсети идет чернь
No. Time Source IP Destination IP Note
1|06/23/2010 15:33:57 |172.16.1.1 |172.16.99.80 |ATTACK
ip spoofing - WAN ICMP(type:3, code:1)

так то

[Андрей]

Ну тебе же пишет:

Код: Выделить всё

ip spoofing - WAN ICMP

Значит icmp скорее всего не закрыт.

для 172.16.1.1 и 172.16.99.80 маска какая?

Сеть поделена на сегменты (vlan'ы) или она просто плоская как доска?

[root]

ни разу не юзал снифер, посоветуйте какойнить для начала.

под FreeBSD и Linux можно в консоле пользовать:

Код: Выделить всё

tcpdump

есть ещё http://www.wireshark.org/download.html

[Андрей]

Код: Выделить всё

tcpdump

+1. Хорошый сниффер. В добавок сразу в оси и качать ничего не надо.

Wireshark - чет черезмерно гуева.