[opensuse-es] Frustracion con mi linux firewall
hola lista aquí , ayúdenme , denme ideas!! , sáquenme de dudas!! , les cuento hace unos 3 días vengo viendo con mi suse 10.2 que hace de firewall y server mail con el postfix +amavisd-new + spamassasin + clamav + razor + dcc + rules du jur , veo un alto indice de trafico malicio generados por ciertas pc winsock en mi red lan con la ayuda de iptraf, le pase a unos amigo que revisaron con un antivirus y antispyware esas pc , pues el dia de ayer se desato lo que temía , me llaman de una oficina y me muestran un correo electronico donde sale que mi servidor esta siendo bloqueado por alto indice de troyanos en mi red, veo la cola de mi correo y en efecto como 20 mensajes en cola con mensajes de este tipo: Connections not accepted from IP addresses on Spamhaus XBL; see http://postmaster.yahoo.com/550571-2.html [550]) veo mas abajo que estoy pegado dentro de la lista de http://cbl.abuseat.org/ , http://anti-spam.org.cn que es china etc etc , estoy como en 7 listas , pues mis amigotes ya comenzaron con desinfección de las maquinas windows , aquí vienen mis preguntas 1 - como puedo evitar este tipo de ataques con mi firewall (SuseFirewall2 debe haber una forma que no he encontrado? 2 - amavisd-new no detecta este tipo de infeccion? ideas envió por attach , el mensajito cuando caes un una de esas, uff que rollo saludos rickygm
El 7/02/08, troxlinux escribió:
1 - como puedo evitar este tipo de ataques con mi firewall (SuseFirewall2 debe haber una forma que no he encontrado?
Por medio del cortafuegos sólo si los mensajes salen siempre por el mismo puerto o un rango determinado o si tienen un patrón que puedas usar como filtro... pero el cortafuegos de suse "per se" ¿permite filtro por contenido / patrones de texto o sólo por puertos? :-? No creo que esos mensajes pasen por tu servidor de correo (recuerda que esos bichitos usan su propio motor smtp), pero si usas la misma IP para los clientes que navegan por Internet y para el servidor de correo, pues te habrá fastidiado :-/ Si los correos salieran por Postfix (que lo dudo) podrías solicitar autentificación a los usuarios locales (smtp auth) y si hace falta, pues aplicando filtros antispam del SA también.
2 - amavisd-new no detecta este tipo de infeccion?
¿A qué tipo de infección te refieres? ClamAV detecta virus (spyware creo que no), SA spam y Amavisd-new por sí mismo, no detecta esas cosas. Además, si se trata de equipos zombies, lo mensajes que envía suelen ser "inocuos", es decir, que sólo sacan spam. Pero primero tendría que determinar a qué te enfrentas. Si los clientes con windows tienen algún programa de esos que envían vía smtp, tendrás que: - Analizar el tráfico de salida de esas estaciones para ver qué puerto usan (si es siempre el mismo se podría bloquear directamente). - Limpiar las estaciones con windows de bichos :-). - Eliminar de las listas negras tu IP (si es posible, algunas no permiten hacerlo de forma automática). Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-02-07 a las 10:09 +0100, Camaleón escribió:
El 7/02/08, troxlinux escribió:
1 - como puedo evitar este tipo de ataques con mi firewall (SuseFirewall2 debe haber una forma que no he encontrado?
Por medio del cortafuegos sólo si los mensajes salen siempre por el mismo puerto o un rango determinado o si tienen un patrón que puedas usar como filtro... pero el cortafuegos de suse "per se" ¿permite filtro por contenido / patrones de texto o sólo por puertos? :-?
Por patrones, que yo sepa no lo puede hacer.
No creo que esos mensajes pasen por tu servidor de correo (recuerda que esos bichitos usan su propio motor smtp), pero si usas la misma IP para los clientes que navegan por Internet y para el servidor de correo, pues te habrá fastidiado :-/
Pues es verdad, que el servidor de correo debería tener su propia IP aparte de la red. La fija para el servidor y una dinámica para la plebe.
Si los correos salieran por Postfix (que lo dudo) podrías solicitar autentificación a los usuarios locales (smtp auth) y si hace falta, pues aplicando filtros antispam del SA también.
Hace falta auth local, porque si no, los troyanos pueden enviar tan campantes a través del servidor postfix.
- Analizar el tráfico de salida de esas estaciones para ver qué puerto usan (si es siempre el mismo se podría bloquear directamente).
Lo que pasa es que el cortafuegos de suse deja pasar todo lo de la red interna por defecto, y enruta todo. Ahora tendría que hacer lo contrario: bloquear todo, y usar proxy. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHqt5XtTMYHG2NR9URAt8rAJ9ZzPzzz153/tTzJINrgHR6Oi3hCQCeOoiL fWKpATGYH63E6leo2IrrkSw= =nt7s -----END PGP SIGNATURE-----
troxlinux escribió:
hola lista aquí , ayúdenme , denme ideas!! , sáquenme de dudas!! , les cuento hace unos 3 días vengo viendo con mi suse 10.2 que hace de firewall y server mail con el postfix +amavisd-new + spamassasin + clamav + razor + dcc + rules du jur , veo un alto indice de trafico malicio generados por ciertas pc winsock en mi red lan con la ayuda de iptraf, le pase a unos amigo que revisaron con un antivirus y antispyware esas pc , pues el dia de ayer se desato lo que temía , me llaman de una oficina y me muestran un correo electronico donde sale que mi servidor esta siendo bloqueado por alto indice de troyanos en mi red, veo la cola de mi correo y en efecto como 20 mensajes en cola con mensajes de este tipo:
Connections not accepted from IP addresses on Spamhaus XBL; see http://postmaster.yahoo.com/550571-2.html [550])
veo mas abajo que estoy pegado dentro de la lista de http://cbl.abuseat.org/ , http://anti-spam.org.cn que es china etc etc , estoy como en 7 listas , pues mis amigotes ya comenzaron con desinfección de las maquinas windows , aquí vienen mis preguntas
1 - como puedo evitar este tipo de ataques con mi firewall (SuseFirewall2 debe haber una forma que no he encontrado?
2 - amavisd-new no detecta este tipo de infeccion?
ideas
envió por attach , el mensajito cuando caes un una de esas, uff que rollo
saludos rickygm
------------------------------------------------------------------------
Por lo que cuentas me parece que los equipos de la red interna están haciendo NAT directo a través del firewall. La mejor practica es que no puedan hacer NAT, si quieren navegar utilizar proxies, y si necesitas utilizar nat, no les permitas natear a través del tcp 25. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Content-ID: <alpine.LSU.1.00.0802071612350.6498@nimrodel.valinor> El 2008-02-06 a las 21:01 -0600, troxlinux escribió:
Connections not accepted from IP addresses on Spamhaus XBL; see http://postmaster.yahoo.com/550571-2.html [550])
veo mas abajo que estoy pegado dentro de la lista de http://cbl.abuseat.org/ , http://anti-spam.org.cn que es china etc etc , estoy como en 7 listas , pues mis amigotes ya comenzaron con desinfección de las maquinas windows , aquí vienen mis preguntas
Tienes que buscar en esos sitios cuales son las causas exactas de tu listado ahí.
1 - como puedo evitar este tipo de ataques con mi firewall (SuseFirewall2 debe haber una forma que no he encontrado?
Cierra el puerto 25 en la red interna, de manera que nadie pueda enviar correo. No rutes. Acepta correo interno sólo con autentificación.
2 - amavisd-new no detecta este tipo de infeccion?
No, puesto que no viaja en los correos que salen del servidor. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHqx/ztTMYHG2NR9URAuu5AKCGfI/HQRewyfih/rrf4QsB5WreUQCeMLp2 l3JdGnrftSb2tVJgaPmA/bA= =/REw -----END PGP SIGNATURE-----
de hecho he estado monitoreando la actividad de mi servidor últimamente , y si estos vichos parecen tener su propio motor smtp , ya que no veo que pase por mi servidor basura es mas en los últimos meses del 100 % de mensajes solo he tenido como el 8% de spam , y en mi servidor tengo activo el sasl uff por lo menos , aunque conociendo esos vichos que son smart , pudieran usar la autenticacion del thunderbird El 7/02/08, Carlos E. R. <robin.listas@telefonica.net> escribió:
Tienes que buscar en esos sitios cuales son las causas exactas de tu listado ahí.
1 - como puedo evitar este tipo de ataques con mi firewall (SuseFirewall2 debe haber una forma que no he encontrado?
Cierra el puerto 25 en la red interna, de manera que nadie pueda enviar correo. No rutes. Acepta correo interno sólo con autentificación.
si lo cierro dejo sin enviar correos a mis usuarios de lan interna , no habre otro metodo , este tema es candente mas cuando son estaciones winsock
2 - amavisd-new no detecta este tipo de infeccion?
No, puesto que no viaja en los correos que salen del servidor.
si me imaginaba .. saludosss --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-02-07 a las 10:22 -0600, troxlinux escribió:
Cierra el puerto 25 en la red interna, de manera que nadie pueda enviar correo. No rutes. Acepta correo interno sólo con autentificación.
si lo cierro dejo sin enviar correos a mis usuarios de lan interna , no habre otro metodo , este tema es candente mas cuando son estaciones winsock
¡Precisamente! ¡Ciérralo a cal y canto! El único que envía correo eres tú. Que te lo pasen a tí, o sea, a tu postfix, por otro puerto (el de submission), con login y password, y ya verás tú si lo reenvías o no. De enviar ellos, narices: ya ves lo que pasa y a lo que te arriesgas. Y si no puedes, contrata dos IPs: una para ellos, otra para tí solo, fija. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHq2CetTMYHG2NR9URAolfAJwKNKCngzd8RRpUzs8+sdKlPJ/LwwCfe/Sv h5lvuXAXOW5kg8OCttiuD9Q= =Uq3U -----END PGP SIGNATURE-----
uff , ya te entendi , exacto cierro el puerto 25 y abro el submission y asi evito menos el ataque para que pasen por el puerto 25 ... saludoosss El 7/02/08, Carlos E. R. <robin.listas@telefonica.net> escribió:
-----BEGIN PGP SIGNED MESSAGE-----
¡Precisamente! ¡Ciérralo a cal y canto!
El único que envía correo eres tú. Que te lo pasen a tí, o sea, a tu postfix, por otro puerto (el de submission), con login y password, y ya verás tú si lo reenvías o no. De enviar ellos, narices: ya ves lo que pasa y a lo que te arriesgas.
Y si no puedes, contrata dos IPs: una para ellos, otra para tí solo, fija.
- --
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (4)
-
Camaleón -
Carlos E. R. -
Sebastian Juarez -
troxlinux