• Buenas, en estos días empece a tener problemas con el correo institucional en la red de mi Universidad con spamhaus por el conficker. La solución que estamos aplicando x ahora es detectar el equipo infectado y desinfectarlo.  Pero no me parece la solución correcta. Como puedo solucionar este problema con el Pfsense?
    Saludos..


  • Si tienes configurado spamhouse con pfBloquerNG es probable que te cause problemas.

    Tienes que darte de baja en las listas negras

    Spamhaus: http://www.spamhaus.org/lookup/

    pero primero debes limpiar el equipo que esta infectado o no tardaras mucho en volver a caer.


  • Muchas Gracias por la repuesta. Actualmente estamos haciendo los pasos que detallaste. Pero el problema es que cada tanto aparece una nueva notebook personal que nos infecta la red y volvemos a ingresar en spamhaus.  Desde pfsense se puede realizar algun tipo de bloqueo de puerto al conficker??

    saludos..


  • Hola

    Aunque lleva bastante trabajo administrativo de configuración de reglas y pass-list:

    Instala en el pfSense un IDS/IPS como el paquete Suricata o el Snort

    Y otra opción para filtrar virus para el tráfico http, es instalar  proxy Squid  con clamAV activado (y ya de paso instalaria squidGuard) y obligar a navegar solo vía proxy.

    Otra opción es instalar pfBlocker y añadirle listas negras ipv4 o DNSBL con los dominios infectados por ese gusano (el mismo spamhaus tal vez os proporcione esas listas u otro servicio similar)

    Ese gusano creo que usa el servicio rpc de win… pero no me queda claro que puertos usa, seguramente usa puertos legítimos pero explotando un bug en wins no parcheados.

    Salu2


  • Mmm, si conectas una máquina infectada a tu red, el pfSense no hará nada, pfSense es Borde, puede que te proteja de los virus desde afuera hacia adentro y dependiendo de qué configures (por ejemplo, squid+clamav.), ahora bien, en tu red el pfSense no interactúa. Si conectas una máquina infectada, el virus se propagará por LAN con ayuda de los switches, para lo que quieres hacer necesitas un antivirus preferiblemente asociado a tu LDAP, para que cuando ese equipo trate de autenticarse a la red, el servidor antivirus haga su trabajo.

    Saludos


  • Hola.

    Pero lo que se trata es que no salga de la red la propagación del gusano, sino spamhaus te mete en lista negra …
    ¿Y como hacerlo? pues con Suricata, creo que se puede (al menos a mi me ha detectado y bloqueado net trojans incoming y outcoming)

    Y ya de paso securizar la red, como comentaba antes. (pfBlocker/DNSBL bloqueando listas de dominios con ese gusano, squid+squidGuard controlando los contenidos, etc)

    Lo que está claro es que si hay máquinas win no actualizadas al día e infectadas, van a tener mucho trabajo inside de la red local :)

    Salu2


  • Sí, el problema es que cuando salen esos paquetes, salen como "correos" y a cualquier parte, yo dudo que el pfSense se autobloquee mandando a reportarse a spamhouse, al menos es lo que entiendo en sus comentarios.

    Aunque las listas negras estén automatizadas, no veo lógico que un equipo se auto denuncie en los BL.

    La idea que si te compro, es que puedas configurar una regla en el IDS/IPS para que puedas detectar esta anomalía y evitar que esa máquina infectada envíe esa basura a internet, sería hasta ideal bloquearla, de esa manera podrán saber que los equipos que están bloqueados posiblemente estén infectados, en caso de que no posean un AV.

    Saludos


  • Hola

    Suricata destripa los paquetes hasta de los correos (smtp, ssmtp, pop3, imap), ptocolos: icmp, https, http, ftp, ssh, etc, etc … y bloquea (mínimo una hora, se puede definir tb listas negras) al "intruso", lo que no sé es si detecta especificamente ese gusano.

    El problema con Suricata suele estar en que bloquea de más ... :) , es decir bloquea mucho tráfico legítimo si no lo configuras ok y te haces con un conjunto de reglas adecuadas a tu escenario de red

    Salu2


  • No uso Suricata, pero posiblemente ya existan reglas para ese tipo de malware en los foros/comunidad que se puedan usar. Aunque no hay nada tan grande como CPAN, presumo que debe haber algo parecido en esas comunidades :D

    Saludos


  • Muchas gracias x las respuestas. Yo x ahora bloquee los puertos 139 y 445 en la reglas de pfsense. Ahora me voy a poner a investigar de suricata.
    Saludos..