Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Worm + Captive Portal + porta 53

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
nispa



Registrato: 09/04/10 09:14
Messaggi: 6

MessaggioInviato: Gio Apr 15, 2010 12:12 pm    Oggetto: Worm + Captive Portal + porta 53 Rispondi citando

Salve a tutti,
ho un serverino zeroshell con due schede di rete, ad una di queste vi è internet tramite una LAN aziendale ed all'altra si trova una LAN WiFi tramite una serie di Access Point al quale possono essere connessi un centinaio di utenti tramite il proprio portatile.

Zeroshell è configurato con DHCP, Firewall, Captive Portal, Proxy e Antivirus e DNS forwarding verso il DNS server della LAN aziendale.

Purtroppo alcuni utenti del WiFi, hanno computer non aggiornati e/o antivirus farlocchi e purtroppo alcuni maledetti worm inondano il WiFi e vengono instradati anche (ed è soprattutto questo il problema) nella rete LAN.

I worm in questione accedono alla porta 53 UDP che deve essere attiva per far funzionare il captive portal (altrimenti niente dns).

Il chain Forward del Firewall è su DROP, e configurato per far passare solo il traffico della porta 80 e 443, ma qualcosa passa attraverso anche la porta 1 che non è configurata (MALEDETTI WORM).

Come fare per bloccare il traffico dei pc infetti, visto anche che gli utenti potrebbero non essere loggati tramite Captive Portal?

Non so come risolvere, visto che gli access point non mi consentono di attivare l'autenticazione RADIUS che mi consentirebbe di individuare i "colpevoli" e di disattivare il captive portal.
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Apr 15, 2010 9:04 pm    Oggetto: Rispondi citando

Analizzando i log del connection tracking puoi risalire ai mac delle schede wifi che generano questo traffico. A questo punto o li blocchi in partenza tramite gli ap o tramite ZS.

Ciao.
Top
Profilo Invia messaggio privato
nispa



Registrato: 09/04/10 09:14
Messaggi: 6

MessaggioInviato: Ven Apr 16, 2010 7:15 am    Oggetto: Rispondi citando

Grazie Gianca...
ci proverò. Wink
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Ven Apr 16, 2010 2:38 pm    Oggetto: Re: Worm + Captive Portal + porta 53 Rispondi citando

C'e' qualcosa che mi sfugge, o che forse non mi e' chiara.
Quando parli di worm che inondano il WiFi di cosa parli ? Che tipo di worm e' ?
(non e' che per caso parli di numerose connessioni in broadcast? e attribuisci la colpa a quello che tu PENSI sia un worm ?)
Se la policy della chain Forward e' impostata per scartare tutto il traffico ad eccezione delle porte 80 e 443 (con protocollo TCP immagino), come fai ad affermare che qualcosa passa attraverso la porta 1 ???!!!
Perche' dici "la porta 1 che non e' configurata " ???!!!!
Top
Profilo Invia messaggio privato Invia e-mail
nispa



Registrato: 09/04/10 09:14
Messaggi: 6

MessaggioInviato: Ven Apr 16, 2010 3:24 pm    Oggetto: Re: Worm + Captive Portal + porta 53 Rispondi citando

Francesco Steno ha scritto:
C'e' qualcosa che mi sfugge, o che forse non mi e' chiara.
Quando parli di worm che inondano il WiFi di cosa parli ? Che tipo di worm e' ?
(non e' che per caso parli di numerose connessioni in broadcast? e attribuisci la colpa a quello che tu PENSI sia un worm ?)
Se la policy della chain Forward e' impostata per scartare tutto il traffico ad eccezione delle porte 80 e 443 (con protocollo TCP immagino), come fai ad affermare che qualcosa passa attraverso la porta 1 ???!!!
Perche' dici "la porta 1 che non e' configurata " ???!!!!


Salve, il server zeroshell in oggetto è un gateway WiFi connesso ad una LAN (ETH00) monitorata da altri tecnici che affermano che dal gateway ci sono "troppe conenssioni" alla porta UDP 53; gli stessi analizzando il traffico si sono accorti essere un malware la cui natura mi è sconosciuta e mi hanno dato l'ultimatum al quale segue la disconnessione dalla LAN. Gli stessi mi hanno comunicato che "il virus stava sfruttando proprio il protocollo DNS e il protocollo TCP 1".

Io ipotizzo che quello che loro ritengono sia un virus sia invece altro.

Sicuramente esiste un virus che si trova attualmente sul Notebook di qualche utente che si connette al mio WiFi. Lo stesso virus tenterà di connettersi sul web per scaricare altri compagnetti malevoli creando quindi tante connessioni DNS che hanno come riferimento richieste DNS che puntano a siti contententi malware da scaricare.

Il firewall di zeroshell teoricamente dovrebbe bloccare tutto. Ma non può purtroppo bloccare le richieste DNS.

Inoltre il captive portal deve necessariamente far passare tutte le richieste DNS, anche quelle da parte di utenti che hanno un IP assegnato tramite DHCP di zeroshell e non si sono ancora loggati al WebLogin.

L'unica soluzione l'ha ipotizzata gianca: "monitorare e bloccare i mac address"... Se potessi farlo automaticamente sarebbe certo meglio, ma non so da dove iniziare.
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Ven Apr 16, 2010 4:22 pm    Oggetto: Re: Worm + Captive Portal + porta 53 Rispondi citando

Citazione:

Salve, il server zeroshell in oggetto è un gateway WiFi connesso ad una LAN (ETH00) monitorata da altri tecnici che affermano che dal gateway ci sono "troppe conenssioni" alla porta UDP 53; gli stessi analizzando il traffico si sono accorti essere un malware la cui natura mi è sconosciuta e mi hanno dato l'ultimatum al quale segue la disconnessione dalla LAN.

Di che quantita' di traffico stiamo parlando ?
Citazione:

Gli stessi mi hanno comunicato che "il virus stava sfruttando proprio il protocollo DNS e il protocollo TCP 1".

Potresti chiedere a cosa si riferiscono quando parlano di "Protocollo TCP 1" ? Very Happy
Dai una controllata alle richieste sulla porta 53 in UDP, per verificare se all'interno dei pacchetti ci sia un normale payload (Tipico del servizio DNS) cosi' da accertarti che effettivamente siano delle richieste di risoluzione dei nomi e non altro (n.d.t. tunnelling).
Citazione:

Io ipotizzo che quello che loro ritengono sia un virus sia invece altro.

Sicuramente esiste un virus che si trova attualmente sul Notebook di qualche utente che si connette al mio WiFi. Lo stesso virus tenterà di connettersi sul web per scaricare altri compagnetti malevoli creando quindi tante connessioni DNS che hanno come riferimento richieste DNS che puntano a siti contententi malware da scaricare.

Il firewall di zeroshell teoricamente dovrebbe bloccare tutto. Ma non può purtroppo bloccare le richieste DNS.

Se sono richieste di risoluzione di nomi, no, non puoi farlo, altrimenti gli host non navigano +.
di solito i malware non utilizzano risoluzioni dei nomi, proprio per evitare di essere beccati, quindi hanno una lista di IP ai quali connettersi. Ma potrebbe anche trattarsi di qualcos'altro....
Citazione:

Inoltre il captive portal deve necessariamente far passare tutte le richieste DNS, anche quelle da parte di utenti che hanno un IP assegnato tramite DHCP di zeroshell e non si sono ancora loggati al WebLogin.

L'unica soluzione l'ha ipotizzata gianca: "monitorare e bloccare i mac address"... Se potessi farlo automaticamente sarebbe certo meglio, ma non so da dove iniziare.

Se io fossi al posto tuo farei cosiì

    I) Cercherei di capire quali computer generano maggior traffico
    II) Snifferei tutto il traffico che va in UDP sulla 53, e mi accerterei di capire:
    a ) Se il traffico su tale servizio sia veramente utilizzato per la risoluzione dei nomi
    b ) Cosa risolve il DNS (quindi che tipi di siti si cerca di raggiungere)

A me sembra che qualcuno nella rete abbia uno di quei programmini che aprono un'infinita' di pagine web e quant'altro...
tu abilita il connection tracking, e vedi cosa fanno gli utenti che generano maggior traffico ....
... si lo so che non si dovrebbe fare .... pero' non credo tu vada all'inferno per cosi' poco .... he he he he he Wink
Top
Profilo Invia messaggio privato Invia e-mail
nispa



Registrato: 09/04/10 09:14
Messaggi: 6

MessaggioInviato: Ven Apr 16, 2010 5:23 pm    Oggetto: Rispondi citando

Grazie Francesco per la tua risposta... sei stato davvero esaustivo.

...credo che attiverò il log del connection tracking, metto da parte tutte le richieste DNS e controllo che siti sono... sarà una faticaccia. Smile

vi terrò informati se trovo qualche soluzione alternativa. Sapete invece come fare e se è possibile bloccare proprio chi genera troppo traffico su una determinata porta?
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Ven Apr 16, 2010 5:36 pm    Oggetto: Rispondi citando

Se io fossi in te, metterei anche una macchina con GNU/Linux nella rete, e mi farei aiutare da un bello sniffer. Ti consiglio ettercap scritto da 2 italiani alog e Naga, oppure WireShark.
buon lavoro
Top
Profilo Invia messaggio privato Invia e-mail
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Ven Apr 16, 2010 10:49 pm    Oggetto: Rispondi citando

La porta 53 la puoi chiudere nella catena forward. In questo modo i client dovranno per forza utilizzare il dns di ZS e non potranno collegarsi collegarsi a dns esterni.

Ciao.
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Dom Apr 18, 2010 6:01 pm    Oggetto: Rispondi citando

Giusto, ma le richieste di risoluzione verrebbero comunque inoltrate ed i client interni avrebbero la loro risposta. Quindi nella LAN dove arriva il traffico di zeroshell, resterebbe tutto invariato.
Top
Profilo Invia messaggio privato Invia e-mail
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Lun Apr 19, 2010 4:57 pm    Oggetto: Rispondi citando

Mi sembra che il problema sia di chiudere la porta 53 in modo che i client non abbiano accesso verso internet tramite questa porta. Chiudendo la porta 53 nella catena di forward il client avrebbe accesso solo al dns di ZS e non accesso ad internet. Se un client si impostasse manualmente un dns diverso dall'ip di ZS non funzionerebbe. Il worm non avrebbe qundi accesso ad internet tramite la porta 53.

Ciao.
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Lun Apr 19, 2010 6:08 pm    Oggetto: Rispondi citando

Si si, il tuo discorso non fa una piega. Ma hai ragione se è un worm oppure un tunneling (forse), ma abbiamo ipotizzato che potrebbe essere un malware che genera parecchie connessioni ad internet, e che quindi quelle richieste siano traffico lecito.
Tanto per capirci, potrebbe essere un malware che si connette ad un mucchio di siti (hard, per viagra, publicita' in genere e cosi' via).
dico delle eresie ?
Top
Profilo Invia messaggio privato Invia e-mail
nispa



Registrato: 09/04/10 09:14
Messaggi: 6

MessaggioInviato: Mar Apr 20, 2010 10:15 am    Oggetto: Rispondi citando

Provo a mettere un blocco al forward del DNS... Vediamo che succede. Se nessuno rompe le scatole allora funziona.

Se è un worm risolvo, se è un Malware è impossibile risolvere senza sniffing.
Opto per il processo di filtraggio automatico e poi per il massacrante monitoraggio.
Grazie di tutto ad entrambi e vi farò sapere.
Top
Profilo Invia messaggio privato
nispa



Registrato: 09/04/10 09:14
Messaggi: 6

MessaggioInviato: Ven Mag 07, 2010 12:12 pm    Oggetto: Rispondi citando

giancagianca ha scritto:
La porta 53 la puoi chiudere nella catena forward. In questo modo i client dovranno per forza utilizzare il dns di ZS e non potranno collegarsi collegarsi a dns esterni.

Ciao.


Dopo una settimana questa soluzione è stata quella che ha funzionato... Grazie!
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Ven Mag 07, 2010 1:40 pm    Oggetto: Rispondi citando

Noti un aumento del traffico tra i client e la macchina Zeroshell ??
Se hai bloccato il forward delle richieste verso internet, è comunque ZeroShell che le fa per le tue macchine .... non credi ? Ammesso che siano richieste di vera risoluzione...
Top
Profilo Invia messaggio privato Invia e-mail
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mer Mag 12, 2010 8:47 am    Oggetto: Rispondi citando

Il problema potrebbe provenire anche da computer che usano programmi per P2P che hanno all'interno in programma per deviare il traffico sulla porta scansionata che trovano libera .
Se il traffico appare molto sostenuto anche nell'autenticazione del captive portal si potrebbe usare sul firewall la funzione connection limit per evitare richieste multiple di autenticazione su captive simulando attacchi dos.
Cordiali saluti Vito
Top
Profilo Invia messaggio privato
MrWolf444



Registrato: 08/05/09 09:53
Messaggi: 9

MessaggioInviato: Sab Mag 15, 2010 9:55 pm    Oggetto: Rispondi citando

Potresti usare cone DNS quelli di Open DNS , iscrivi l'IP e se ci sono dei malware lo trovi scritto sulla interfaccia di OpenDNS.
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Lun Mag 17, 2010 4:39 pm    Oggetto: Rispondi citando

Per bloccare Skype io ho agito in questo modo: http://www.zeroshell.net/forum/viewtopic.php?p=8717#8717

Dopo aver fatto questa modifica, il Captive Portal sembra ancora funzionare correttamente.....

Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it