Strana 1 z 2

Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: So 20. Okt, 2012, 20:04
od používateľa felipe25
Mam problem.

Mam problem s jednym "net pripojenim", kde je jedna externa IPcka, zanou jeden router ktory routuje asi 150PC.
Dostal som na starost e-mail, ktory prisiel majitelovi tej IPcky v zneni:

Dobry den,

dostal som hlasenie, ze Vasa IP adresa rozosiela spamy/virury.
Prosim o urychlene riesenie.

xy

----- Forwarded message from SpamCop <summaries@admin.spamcop.net> -----

From: SpamCop <summaries@admin.spamcop.net>
Date: Thu, 18 Oct 2012 08:34:32 GMT
To: spamcop-report@salstar.sk
Subject: [SpamCop] Alert

IPs reported in past hour:
xyz.

----- End forwarded message -----


Router ktory to routuje je Airlive 3000R - ano, za nejakych 40€ no funguje to tak uz roky bez problemov. Ako vyriesim dany problem, ak nemam obehat 150PC ktore su na sieti a nieco take robia? Pravdepodobne kupou lepsieho routra, alebo ako mam uplne zablokovat virusy/spamy aby isli z tej IPcky?

Dik za odpoved.

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Ne 21. Okt, 2012, 02:43
od používateľa Snake
vezmes ntb s dvomi sietovkami, prekonfigurujes airlive na inu IP, to pichnes do WAN sietovky tvojho ntb, nainstalujes winsrv kde zapnes routing a dhcp pre LAN sietovku s IP siete co bola na airlive, a nasledne sniffujes data (MS network monitor, wireshark a pod.)

Problem je, ze nejake PC je infikovane.

Ak nemas na tych PC AV si debil a je to tvoj problem ze budes musiet obehat 150PC...
Ak tam nemas domenu si takisto debil a taktiez je to tvoj problem ze budes musiet obehat 150PC...
To ze tam na sieti nemas NPS server je taktisto tvoj amaterizmus a tvoj problem ze budes musiet obehat 150PC...
Ak tam AV mas, a nemas 150 peciek menezovanych centralne (System Center, Eset Remote Admin a pod.), tak plati case popisany vyssie...

PS: nie, nie ej to utocny ton ale:

150 peciek neni maly pocet, je to...hodne, polka z /24 subnetu...golden rule je, ze pri 1/4 velkosti subnetu nasadzujeme zariadenia ktore by sme nasadili pri 1/2 velkosti subnetu. Ty mas siet robenu tak, ze pre 1/2 /24 subnetu mas nasadene zariadenie ktore ledva utiahne 1/6 /24 subnetu...trosku oxymoron nie?

Ten airlive tam nema co robit, to zaprve, zadruhe, ta siet uz davno mala byt pod WSUSom s reportingom a NPS s Health Check, kde by takehoto klienta na zaklade politiky ani nepustilo na net...

PPS: este mi povedz, ze DHCP prideluje ten AirLive a to uz totalne pochovas...

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Ne 21. Okt, 2012, 12:36
od používateľa felipe25
Jasne. Ja uz dlho viem ze tam taky router nema co robit, no problemom su financie.

Btw, je tam WIFI otvorena siet, pretoze tak si to firma vyzaduje. Takze, tych 150PC prakticky ani neviem obehat. Mohol to byt clovek ktory tam bol len jeden den a uz nieje. Proste, su firmy kde nic kvoli €uram nefunguje tak, ako by malo.

Btw polke z toho co si popisal nerozumiem, book s dvomi sietovkami nemam, ale cca viem ako myslis to monitorovanie. - uz len ako to zrealizovat :) Ako pisem, problemy su financie. Poziadavka na nakup kabloveho routra CISCO za 110€ bola zrusena pred dvomi rokmi, takze asi tak.

Btw 3 roky to tak fungovalo, takze sa naucili fungovat tak. Naco nieco kupovat, ked netreba...

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Ne 21. Okt, 2012, 12:43
od používateľa felipe25
Btw, Ano, airlive prideluje IPcky :)

Opytam sa takto: Co tam treba kupit, aby to fungovalo ako ma?
Je nemozne riesit aby mal kazdy PC antivir, kedze ako pisem pridu odidu, a nemam na tie PC ziaden dosah. Cize by tam trebalo riesit asi nieco co si pisal tu:
"ta siet uz davno mala byt pod WSUSom s reportingom a NPS s Health Check,"

Viem ze stary poskytovatel netu im tam poskytol PCcko with linux, ktore priradovalo IPcky a asi to bolo aj server - neviem. No uz to zrusili a server si vzal. Cize, treba kupit nejake PC - "server", ktory sa bude spravat ako router a pridelovat IPcky? Alebo existuje nejaky lepsi router ktory to zvladne?

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Ne 21. Okt, 2012, 14:41
od používateľa Snake
firma o 150PC a nie su peniaze na 110€ Cisco? co je v podstate isto SOHO? To pre ake firmy robis? :)

Sietovku ti mozem poslat, USBckova 100mbitka ak by si chcel, takisto ti viem predpripravit VMware image ktory si potom iba natiahnes, pridelis fyzicke sietovky a pustis monitoring.

Otvorena wifi neni problem, riesenie popisane vyssie a hotovo, mam to tak v X pripadoch kde sa siet javi ako unsecured a overuje sa voci RADIUSu co je na sieti (IPsec zapnute spolu s EAP, takze sniffovat to tiez nie je mozne), nikto sa nic nepyta, secure to je, neni o com. No a ti navsetvnici ktori nemaju svoju MAC v zozname skoncia vo VLANe s takymi restrikciami ze su radi ze odoslu mail :D

Ked ti neuznali 110€ router, tak 800€ server neuznaju taktiez.

Jeden z naj prikladov ako by to malo fungovat:

Na zaciatku Mikrotik, to je zaklad, nasledne WinSrv s routingom, DNS, DHCP, ADCS, ADDS a RRAS a WSUS, idealne este aj Forefront, ale to nezaplatia uz duplom (plus na spravu je to marha :) ). Mng switche s 802.1X ktore sa budu odkazovat na NPS/RADIUS co bezi na Windows Serveri, ono toto je skor na telefonicky rozhovor lebo je tam toho X, ale v skratke by to fungovalo ako doteraz, 200% lepsie, chytrejsie na spravu a bezpecnejsie :)

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Ne 21. Okt, 2012, 15:37
od používateľa faugusztin
felipe25 napísal:Opytam sa takto: Co tam treba kupit, aby to fungovalo ako ma?
Nic. Treba sa zobrat, zmluvy s tou firmou roztrhat, budovy zburat, pozemok pre istotu posolit... Inac povedane, s takou firmou sa treba rozlucit a nikdy s nou nemat nic do cinenia.

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Ne 21. Okt, 2012, 15:43
od používateľa felipe25
Je to internat, ktory je rad, ak ma kazdy mesiac na konci na ucte par eur v pluse.
Takze dufam ze uz chapete.

Wifi otvorene, je tam jeden hlavny router, ktory bol najprv len pre zamestnancov, no casom sa dali na vsetky poschodia APcka a momentalne je tam napojenych cca 150PCciek.

Stenly:
Sietoviek mam do bludu, myslel som ze potrebujem nejaky specialny book co ma WAN port... tak si to napisal. Ak staci hocijaky PC ktory ma 2sietovky nieje problem.
800€ - nieje sanca
Rozmyslal som ci by pomohol nejaky PC s Windows Server 2008 SP2 ktory by priradoval DHCP a zamedzil vysielanie virov a spamov do netu, ci to je asi blbost, ci? :)
Taky PC na to najdem, no na nieco ine nebudu peniaze.
Internet je tam v ramci projektov EU priama optika 1Gbps, no nic ine firma ktora to riesila nedodala. Konci to optickym prevodnikom a 1Gbit switchom ktory ma 5 vystupov s tym ze mozem pouzit 5externych IPciek, no pouzivam len jednu kedze je len jeden router hlavny.

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 09:02
od používateľa felipe25
Snake:
"vezmes ntb s dvomi sietovkami, prekonfigurujes airlive na inu IP, to pichnes do WAN sietovky tvojho ntb, nainstalujes winsrv kde zapnes routing a dhcp pre LAN sietovku s IP siete co bola na airlive, a nasledne sniffujes data (MS network monitor, wireshark a pod.)"

Rozmyslal som, ci ma toto riesenie vobec vyznam, kedze do buducna aj tak nepomoze zamedzit tomu aby sli viry/spamy do siete. Ale ak chcem pohrozit, ze odpojim ten PC ktory to robi, asi je to najucinejsie.
Problem vsak moze byt ten, ze ten PC ked budem sniffovat nebude napojeny do siete, a predpokladam ze tam behom dna co to necham zapnute bude tolko "dat", ze to nebudem mat sancu poriesit.
Druhy problem je ze ked som sem dosiel, predtym uz siet nejako bezala, a pod hlavnym routrom su dalsie styri routre. Teda podsiete, a pravdepodobne asi neuvidim MAC toho konkretneho PC ktory to robi, ci? Ja som tu uz daval APcka, prave z dovodou aby som videl celu siet a nemal to takto "zakryte".
Neviem ci tomu rozumiem spravne, dufam ze ano.
Cize ak sa da a mas cas, tak napis ci mi staci PC s dvoma sietovkami. Potrebujes vediet co su to za sietovky alebo ako? Samozrejme ak nemas cas to vysvetlovat tak pochopim, zakladne rady si mi uz dal, no sam si s tym neporadim kedze som vela nepochopil z toho co si pisal :rolleyes:

"takisto ti viem predpripravit VMware image ktory si potom iba natiahnes, pridelis fyzicke sietovky a pustis monitoring."
Teda mam nainstalovat na ten PC windows server, alebo ako si to myslel? Btw pocas doby toho sniffingu siete nepojde nikomu net alebo ako?
Ono, ja viem ze vysvetlovanie zaberie vela casu, nevies odporucit dajaku literaturu kde sa o tom docitam, lebo takto to bude aj tak najlepsie. Len to potrebujem rychlo, kedze pravdepodobne hrozi ze vypnu celu siet ak pride este jeden Alert. Ale do buducna jednoznacne budem riesit trvalu ochranu, lebo toto sice dva roky nevyskocilo, ale urcite mat siet 150PC bez servera nieje normalne :) No ak momentalne niesu € nepohnem s tym.

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 12:34
od používateľa Snake
toto si radšej zavolajme (kludne zavolam), lebo na vytukavanie tolko nemam cas :)

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 17:13
od používateľa koco11
Snake napísal:
Na zaciatku Mikrotik, to je zaklad
?????WTF???
to myslis vazne ci iba joke?
radcej by som kupil pouzitu ASA, PIX ako mikrotik(nie niesom debil, skusal som to)...

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 17:37
od používateľa Snake
ou jea, na to isto budú prachy, nestávaš T1 sieť pre ISP koco...

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 18:02
od používateľa koco11
pre ake ISP?
ASA 5505 s 10 licenciami pre VPN stoji aj zo supportom do 400 eur....
myslim ze to nieje taka horibilna suma za nieco co sam uznas je lepsie ako mikrotik...
a na ebay zozenies pouzitu asu, alebo pix do 100 eur tiez...

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 19:52
od používateľa felipe25
Jaasne, a uz by ma len zaujimalo, ako vyfakturuje internat vydavok z ebayu + dolozi vyberove konanie :rolleyes:

Snake- momentalne sa ma vec tak, ze som bol zavolany dnes ako z nicoho nic vypadol net, vidim to na vadny starsi 24portovy switch Allied, aj ked svieti, niektorym PC v nom napojenych nepriradi router IPcku, ak dam kabel priamo do prvotneho routra, internet ide, samozrejme len casti. :facepalm:
Btw medzitym som sa zbezne rozpraval s clovekom co ma podobne pripojenie na starosti, a jednoznacne odporucil mikrotik, + som sa o to zacal zaujimat, ale asi licenciu na Mikrotik OS, co je presne to co potrebujem. Nahodit na nejaky PC ktory najdem nejaky OS ktory sa bude spravat ako server + firewall, aj ked zaciatky a nastavovanie urcite nebudu lahke. OS Windows Server mi bolo odporucene vyhnut sa, a ta licencia na urovni L4 stoji 20€.
+ sa s tym jeden den mozem aj pohrat - vyskusat, co je asi este lepsie.
Takze momentalne musim riesit to, ze net vobec nejde, potom Ti pisem SS.

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 20:39
od používateľa Snake
koco: v Soitrone veci riešite cez ebay, mne je jasné že Cisco je Cisco, o tom mi nemusíš hovoriť, ja mám aj Ciscá, aj Mikrotiky nasadené tiež, a porovnávať sa to veru nedá, len iné prachy zhrabnem za konfig Cisca, a iné za Mikrotik ;)

felipe: na Routing ti nikto WinSrv neodporúčal, WinSrv je tam z úplne iného dôvodu, lenže ano, kupovať 200CALov tiež nie je bohvie čo.

PS: nie som STANLY!

Re: Problem - IP adresa vysiela spamy...Ako tomu zamedzit?

Napísané: Po 22. Okt, 2012, 21:13
od používateľa felipe25
Sorry, opravene. Aha, tak potom sa Win Serverom nebudem zaoberat vobec.
Cize aj Ty mi v podstate radis kupit licenciu na Mikrotik l4 a dat to na jeden schopny PC, pripadne sa casom kupi server?

Dokazem nejak rychlo sprevadzovat to aby to fungovalo ako router a teda bol sfunkcneny net?
Ak sa teda vykasleme na sniffing, ktory to nevyriesi dlhodobo, mam sa vybrat tymto smerom? PC - ako server + OS Mikrotik?