Evitar el Ataque a RaptorCache

Publicado por joemg6, Octubre 27, 2012, 12:56:14 AM

Tema anterior - Siguiente tema

joemg6

Evitar ataque a RaptorCache
Si no cerramos algunos puertos de acceso a Raptor, desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el servidor no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar ataques.

Código (mk) [Seleccionar]

/ip firewall filter
add action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\
    no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \
    dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp


Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.
RaptorCache Developer

haroldbb24

excelente regla y tambien contra los virus

JOtiniano

Cita de: joemg6 en Octubre 27, 2012, 12:56:14 AM
Evitar el Ataque al ThunderCache
Si no cerramos algunos puertos de acceso al Thundercache desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el thunder no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar el ataque al Thunder.

Código (mk) [Seleccionar]

/ip firewall filter
add action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\
    no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \
    dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp


Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.
Estimado JOEMG,
Existe alguna regla para bloquear Spammer en la Red, te hago esta consulta por que tengo una IP Publica NAT y cada cierto tiempo se infecta y mi proveedor tiene que cambiarla.
Estuve averiguando y es verdad que aparece en las Listas de Spammer (http://www.dnsqueries.com/es/mi_ip_esta_en_lista_negra.php), por lo que me indica la Pagina en donde hago seguimiento a mi IP, me indican que es por Posibles Troyanos, Spammer o Proxy.
Espero puedas apoyarme con esto.
SL2.
Internet Satelital.
Servidores Firewall / Proxy.
Centrales Telefónicas / PBX.
Telefonía VOIP.
Sistemas de Información.

gbarrerax

Hola a todos, ojala y alguien me pueda auxiliar, resulta que llevo ya 2 veces formateando el equipo que tiene el thunder y en ambas ocasiones me doy cuenta que al estar la regla de re direccion al thunder empieza a enviar informacion hacia el internet, cuando normalmente no hacía eso, ¿Alguien sabe a que se debe esto?, he intentado averiguar por donde viene el problema, pero no doy con ello. Gracias

firecold

Cita de: gbarrerax en Abril 09, 2013, 09:53:26 PM
Hola a todos, ojala y alguien me pueda auxiliar, resulta que llevo ya 2 veces formateando el equipo que tiene el thunder y en ambas ocasiones me doy cuenta que al estar la regla de re direccion al thunder empieza a enviar informacion hacia el internet, cuando normalmente no hacía eso, ¿Alguien sabe a que se debe esto?, he intentado averiguar por donde viene el problema, pero no doy con ello. Gracias

Amigo no has intentado un firewall con politicas drop, eso quiere decir que deniegas todo y solo permites lo que necesitas, te doy un ejemplo el cual uso en mi maquina:

#!/bin/bash
############################################################
# VARIABLES DEL SCRIPT
############################################################
#Ruta del binario de iptables
IPTABLES=/sbin/iptables
#Interfaz conectada a internet
INTERNET="eth0"
#Interfaz conectada a nuestra LAN
LAN="eth1"
#Declarar la clase de la red local
CLASS=192.168.1.0/24
#Declarar el resto de la red
UNIVERSE=0.0.0.0/0
############################################################
# ELIMINACION DE REGLAS EXISTENTES
############################################################
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
############################################################
# ESTABLECEMOS POLITICAS POR DEFECTO (CERRADO)
############################################################
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
############################################################
# COMIENZAN REGLAS DE FILTRADO
############################################################
#El localhost se deja acceso total
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE INPUT                       #
#*************************************************************#
#*************************************************************#
#PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
$IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT
#PERMITIR PINGS DESDE INTERNET
$IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT
#PERMITIR EL USO DEL SERVIDOR DNS
$IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
# WEB
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 82 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 84 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 443 -j ACCEPT
# PROXY
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 8080 -j ACCEPT
# Control del Ciber
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 10000 -j ACCEPT
# IPP
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 631 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 631 -j ACCEPT
#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 135 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT
#PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A INPUT -i $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE OUTPUT                    #
#*************************************************************#
#*************************************************************#
#PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
$IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT
#PERMITIR PNGS DESDE INTERNET
$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT
#DNS
$IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d $CLASS --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --dport 53 -j ACCEPT
# WEB
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 443 -j ACCEPT
# PROXY
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 8080 -j ACCEPT
# Control del Ciber
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 10000 -j ACCEPT
# IPP
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 631 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 631 -j ACCEPT
#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 135 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT
#PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS
$IPTABLES -A OUTPUT -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LAN -d $CLASS -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE FORWARD                 #
#*************************************************************#
#*************************************************************#
#HABILITAR CONSULTA DNS
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 53 -j ACCEPT
#HABILITAR EL POP3
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 995 -j ACCEPT
#HABILITAR TRAFICO WEB
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT
#HABILITAR PING
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT
#PERMITIR EL USO DE MSN MESSENGER
$IPTABLES -A FORWARD -p tcp --dport 1863 -j ACCEPT
#PERMITIR EL USO DEL SSL
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p tcp --dport 443 -j ACCEPT
#HABILITAR LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS De NAT                         #
#*************************************************************#
#*************************************************************#
#ACTIVANDO EL NAT USANDO MASQUERADE
#echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s $CLASS -d $UNIVERSE -o $INTERNET -j MASQUERADE
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

gbarrerax

Hola Firecold, te agradezco la prontitud de tu respuesta, esto me sirve teniendo al thunder en forma paralela al mikrotik, viendo esa sugerencia, ¿que opinas del Arno's Firewall?  Saludos

firecold

Cita de: gbarrerax en Abril 09, 2013, 10:30:51 PM
Hola Firecold, te agradezco la prontitud de tu respuesta, esto me sirve teniendo al thunder en forma paralela al mikrotik, viendo esa sugerencia, ¿que opinas del Arno's Firewall?  Saludos

claro que te funciona, solo deves saber que puertos necesitas abrir para la comunicacion entre thunder y mk, en lo personal no uso mk, pero por ejemplo si el internet no entra desde thunder, entonces el problema esta en otro lado, con respecto a arno's firewall pienso que es mejor cuando uno hace su propio firewall, una asi aprendes y otra que sabes que estas bloqueando y que estas permitiendo, Saludos

luistec

En estos dias se ha identificado un virus que abre miles de conexiones HTTP a la vez, para evitar este tipo de ataque deben de poner las siguientes reglas en el Mikrotik

Código (mk) [Seleccionar]

/ip firewall address-list add address=118.69.169.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall address-list add address=206.161.219.0/24 disabled=no list=Sites_Virus comment="pkgiangho.com"
/ip firewall address-list add address=207.226.152.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall filter add place-before=0 chain=forward comment="Virus HTTP Con" dst-address-list=Sites_Virus action=drop
/ip firewall nat add place-before=0 chain=dstnat comment="Virus HTTP Con" dst-address-list=Sites_Virus action=accept


En caso tenga este comportamiento de muchas conexiones seria bueno hacer un torch, para ver de que direccion proviene, ya que puede ser que cambie de origen.

Saludos.

gbarrerax

Hola de nuevo:

Bien, despues de varios días formateando e implementando el firewall ya en forma personalizada del amigo Firecold, los problemas persisten, las dudas que tengo son:

1.- ¿Es normal que utilizando el thunder en paralelo a mikrotik, el cache llegue a generar un trafico excesivo sobre el upload del servicio?
2.- Lo anterior debido a que cuando tengo la redireccion NAT en el Mikrotik el trafico en upload se llegue a disparar hasta 3 veces cuando el servicio esta sin redireccionar al thunder, ¿A alguien mas le ha pasado o es normal?
3.- Por ultimo, pueden facilitarme algunas ideas de como detectar actividad anormal en el thunder.

Gracias

willysantana

Cita de: joemg6 en Octubre 27, 2012, 12:56:14 AM
Evitar el Ataque al ThunderCache
Si no cerramos algunos puertos de acceso al Thundercache desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el thunder no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar el ataque al Thunder.

Código (mk) [Seleccionar]

/ip firewall filter
add action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\
   no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \
   dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp


Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.

amigo como podrías bloquear los dns externo del server.
no se si esto estaría bien.
/ip firewall filter
add action=drop chain=input comment="Bloqueo DNS cache externo" disabled=\
   no dst-port=53 in-interface=ether1 protocol=udp
o esto no es necesario para el cuidado de la red.

luistec

Cita de: willysantana en Mayo 03, 2013, 11:27:24 AM
amigo como podrías bloquear los dns externo del server.
no se si esto estaría bien.
/ip firewall filter
add action=drop chain=input comment="Bloqueo DNS cache externo" disabled=\
    no dst-port=53 in-interface=ether1 protocol=udp
o esto no es necesario para el cuidado de la red.
Utiliza la cadena forward y en el in-interface tiene que ser la de tu PPPoE-Client o WAN.

Saludos.

willysantana

Cita de: luistec en Mayo 03, 2013, 11:32:43 AM
Utiliza la cadena forward y en el in-interface tiene que ser la de tu PPPoE-Client o WAN.

Saludos.

amigo asi estaría bien la wan de mi red es ether1
/ip firewall filter
add action=drop chain=forward comment="Bloqueo DNS cache externo" disabled=\
   no dst-port=53 in-interface=ether1 protocol=udp


amigo para bloquear el ping asi estaría bien
/ip firewall filter
add action=drop chain=input comment="bloqueo de ping" disabled=\
   no in-interface=ether5-local protocol=icmp
la ether5 es mi red la lan

willysantana

Cita de: luistec en Abril 10, 2013, 10:11:13 PM
En estos dias se ha identificado un virus que abre miles de conexiones HTTP a la vez, para evitar este tipo de ataque deben de poner las siguientes reglas en el Mikrotik

Código (mk) [Seleccionar]

/ip firewall address-list add address=118.69.169.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall address-list add address=206.161.219.0/24 disabled=no list=Sites_Virus comment="pkgiangho.com"
/ip firewall address-list add address=207.226.152.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall filter add place-before=0 chain=forward comment="Virus HTTP Con" dst-address-list=Sites_Virus action=drop
/ip firewall nat add place-before=0 chain=dstnat comment="Virus HTTP Con" dst-address-list=Sites_Virus action=accept


En caso tenga este comportamiento de muchas conexiones seria bueno hacer un torch, para ver de que direccion proviene, ya que puede ser que cambie de origen.

Saludos.

amigo como puedo saber si algún IP o virus me esta atacando el microtik.
cuantos conexiones es normal para cada IP así podre saber si en la red al IP con conexiones anormal.
gracias.

lantiano

Hola estas reglas tambien sirven para el raptor 2 ???

luistec

Cita de: lantiano en Octubre 12, 2015, 08:38:16 AM
Hola estas reglas tambien sirven para el raptor 2 ???
Claro, las reglas con las mismas ya que usan los mismos puertos.

Saludos.

lantiano

Cita de: luistec en Abril 10, 2013, 10:11:13 PM
En estos dias se ha identificado un virus que abre miles de conexiones HTTP a la vez, para evitar este tipo de ataque deben de poner las siguientes reglas en el Mikrotik

Código (mk) [Seleccionar]

/ip firewall address-list add address=118.69.169.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall address-list add address=206.161.219.0/24 disabled=no list=Sites_Virus comment="pkgiangho.com"
/ip firewall address-list add address=207.226.152.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall filter add place-before=0 chain=forward comment="Virus HTTP Con" dst-address-list=Sites_Virus action=drop
/ip firewall nat add place-before=0 chain=dstnat comment="Virus HTTP Con" dst-address-list=Sites_Virus action=accept


En caso tenga este comportamiento de muchas conexiones seria bueno hacer un torch, para ver de que direccion proviene, ya que puede ser que cambie de origen.

Saludos.

Hola gracias por tu respuetsa, estos ip se deben adaptar a los que tnemos en uso verdad ?
Y de acuerdo a cada interface que tenemos operativa ???
Gracias

driver.shoot

gclub มือถือ So, what do you think?  Do you agree? Thanks again to share articles like these, I have come across. So this is going to be an unusual one here, but I haven't been able to find any information despite searching the web for weeks now. รับแทงบอลออนไลน์ I was starting to think all newbie reports would involve getting robbed or nearly arrested. Lol