Pessoal, em um cliente externo meu vem acontecendo o descrito abaixo.
Ele utiliza um BIG VPN-1 2000 e est� prestes a migrar para o NG .
[]'S
------------------------------------
Antonio Costa
------------------------------------------------------------------------
Cen�rio
------------------------
Site 1
1 segmento de rede interno chamado de SERVIDORES
1 segmento de rede interno chamado de ESCRITORIO
1 segmento de rede interno chamado de DISTRIBUICAO
1 segmento de rede externo chamado de INTERNET
Site 2
1 segmento de rede interno chamado de DATACENTER
1 segmento de rede interno chamado de MANUTENCAO
Conectividade
Site 1 - possue roteadores em DISTRIBUI��O com links dedicados
interestaduais em fase de desativa��o
- possue uma conex�o de 1Mb com a Telemar para servi�o
de VPN figurando como CONCENTRA��O-VPN-1
- No ESCRITORIO existe um roteador com um link VPN Telemar
com um t�nel para o Site 2 e ele � o default gateway da
rede. Existem rotas para as redes do Site 2 e a rota
default do roteador vai para o firewall que separa os
segmentos.
Site 2 - possue uma conex�o de 1Mb com a Telemar para servi�o
de VPN figurando como CONCENTRA��O-VPN-2
Demais redes - conex�es VPN Telemar de 64k, 128k e 256k com
2 t�neis para as duas concentra��es ( Site 1
e Site 2)
Politica de acesso � Internet
Todo acesso corporativo � feito via Site 1 com
servi�os p�blicos de Proxy, Correio, DNS em
SERVIDORES.
Acesso dos usu�rios direto para Internet para
servi�o de FTP
Nenhum servi�o interno � oferecido na Internet sem
autentica��o e criptografia.
2 servidores externos executam servi�o de DNS e m�nimo
servi�os de FTP/WWW .
Redes conectadas a este cen�rio via VPN telemar
------------------------
Problema
Sem uma periodicidade de dias, horas ou minutos acontece
um overload da rede de forma que os pacotes internos
no ESCRITORIO s�o dropados e os usu�rios que normalmente
conectam em um servidor Proxy interno, passam a realizar
tentativas de conex�o proxy usando m�quinas de usu�rio,
outros servidores, servidores do Site 2, etc.
------------------------
Procedimentos
O Snort+MySQL+Acid mostrou algumas conex�es de NINDA, por�m estas foram
inoculadas com remo��o das m�quinas da rede, limpeza com MCAFFE e
NAV2002 .
Foi instalado inclusive um personal firewall (NIS) para logar os
programas que estivessem usando a rede e nada foi achado al�m dos
mesmos v�rus e um pacote de v�rus chamado pelo Norton de "Macro Virus"
sem maiores descri��es.
O tr�fego de ICMP est� muito intenso.
O Snort sem excluir nenhum pacote de leis de alerta, registra
normalmente
70-80% de ICMP , 30-15% de TCP e 0-5% UDP.
Zero de PortScans.
J� foram executados o FIXBADTRANS em algumas m�quinas suspeitas.
------------------------
Sugest�es ?
Perguntas ?
--
Assinantes em 08/02/2002: 2233
Mensagens recebidas desde 07/01/1999: 154181
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
