Gros probléme d'envoie de spam sur mon réseau d'entreprise - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 14-01-2010 à 12:36:15
une simple analyse réseau avec un sniffer du type wireshark ne suffirait il pas à analyser le poste problème ? il doit pas y avoir 40 postes envoyant des spams non stop
Marsh Posté le 14-01-2010 à 13:09:08
dimz4 a écrit : une simple analyse réseau avec un sniffer du type wireshark ne suffirait il pas à analyser le poste problème ? il doit pas y avoir 40 postes envoyant des spams non stop |
merci de votre réponse dimz4
Mais l'analyser vous le poserez ou sur le réseau ?
Il faut monté une station avec deux carte réseau entre le netopia et le switch ?
est ce qu'on est obliger de ce mettre dans cette configuration pour voir le trafic réseau ?
on peu pas ce connecter au switch comme n'importe quel station pour voir ce trafic ?
Quel solution utilise des deux ci-dessus?
lancer winsharck
mais la le problème, on vérait comme même du trafic ??? car les stations surf sur le net ?
Quel Solution utiliser ?
il y a pas un soft qui peut repérer ce genre de trafic ?
Marsh Posté le 14-01-2010 à 15:34:52
pas agressif le titre...
il s'agit d'un port wan ethernet, donc tu colle un pc avec 2 interfaces reseau entre le port wan du routeur et le modem. et tu sniffe.
Marsh Posté le 14-01-2010 à 15:36:15
tout à fait d'accord avec ducon3d ;-) t'auras pas de mal à trouver quel poste envoit des spams
Marsh Posté le 14-01-2010 à 16:12:58
dimz4 a écrit : tout à fait d'accord avec ducon3d ;-) t'auras pas de mal à trouver quel poste envoit des spams |
Merci à ducon3d (pas mal le pseudo hihihi ) et a dimz4
pas mal comme solution mais si vous en avez d'autre plus simple je suis preneurs....
Je sais pas trop activer le routage sur windows 2008. et quest ce qu'il faut installer sur le seveur pour ce faire...
ps: dsl pour le titre en gros mais j'arrive pas a le mettre en minuscule si vous savez faire je suis à l'écoute ....
Marsh Posté le 14-01-2010 à 17:15:17
Il n'y a rien de bien compliqué à faire çà. Enfin c'est surtout la solution la plus simple. Sinon bah, mets un sniffer sur chaque poste et matte celui qui envoit des requêtes SMTP vers l'extérieur non stop. Mais bon courage
Marsh Posté le 18-01-2010 à 10:03:52
dimz4 a écrit : Il n'y a rien de bien compliqué à faire çà. Enfin c'est surtout la solution la plus simple. Sinon bah, mets un sniffer sur chaque poste et matte celui qui envoit des requêtes SMTP vers l'extérieur non stop. Mais bon courage |
Ben non, y'a un point unique d'accès au net, ça ne sert à rien de faire le tour des postes, il perdra trop de temps.
Marsh Posté le 18-01-2010 à 10:19:09
Salut Michael10fr,
Est-ce que tu fais la manipulation pour éviter les attaques DHA sur ton Exchange ? Chez nous, depuis qu'on l'a activé, on a beaucoup moins de spam.
Regarde voir cet article :
http://www.nemx.com/products/Secur [...] ttack.html
Peut être que ça t'aidera.
Marsh Posté le 18-01-2010 à 10:53:08
Bocal83 a écrit : Salut Michael10fr, |
Au Merci Bocal83 de ta réponse ton site est super bien !!
Il explique super bien ce problème que j'ai eu avant celui et que j'ai résolue en installant un Anti-spam trés puissant qui est GFI mail essentiel .
Il stop vraiment tout c'est attaque c'est super mon serveur ce trouve vraiment trés léger grasse à cet application TOP Très efficace!!
Non ce que j'ai comme attack n'est pas celle la c'est l'attaque de pc zombi qui sont des bots spameurs qui ont infecter plusieur pc chez nous et qui envoie des message à tout le monde sur internet!
Le problème est que j'ai 45pc sur mon réseau et que l'anti virus Kaperski laisse faire car il detect pas pas de virus puisque c'est de la pub !!!
Donc je pense à une solution radical de mettre un boitier Firwall appliance comme sonic wall ou un pc avec deux carte réseau et linux+ipcop.
Voila si vous connaissez d'autre solution çà serais bien de les lister sur ce post à tout mes amies admin du web
Car l'union des savoirs fais la force contre c'est virus et méchante personne qui pense à ralentir l'internet .
Donc plus on s'entre aide entre nous plus l'internet deviendras plus rapide et moins infecter avec une bande passante plus rapide!
Marsh Posté le 20-01-2010 à 08:53:51
ben sinon regarde via netstat quel est ton pc client connecté (une ou plusieurs fois) sur le port smtp de ton exchange...
Marsh Posté le 20-01-2010 à 11:51:01
Quich'Man a écrit : ben sinon regarde via netstat quel est ton pc client connecté (une ou plusieurs fois) sur le port smtp de ton exchange... |
merci mais impossible il y a trop de connexion on peu savoir qui est bon et qui est mauvais ..
Si ta d'autre idée je suis preneur ...
Marsh Posté le 20-01-2010 à 12:09:24
michael10fr a écrit : |
Tu attends le soir, tu vérifies que tous tes utilisateurs soient bien déconnectés, postes allumés, tu coupes la connexion à internet, t'auras l'info direct.
Mais tu penses que les spam passent par ton exchange en open relay ? A mon avis, ils partent direct vers le net.
Marsh Posté le 20-01-2010 à 13:41:07
merci " gloubiboulga"pour ta réponse excellente technique ,je vais tester çà.
Oui ta raison ,ils peuvent aussi envoyer directement sur internet mais dans ce cas quel technique dois je utilisais pour les chopper ?
MErci de ton aide...
ps: config
1 Lan de 45 Pc et Hotes réseau imprimantes,etc ..
1 Routeur chez Nérim avec un Netopia.
Marsh Posté le 20-01-2010 à 13:59:25
Si tu n'as pas accès à la config du netopia, tu places un autre routeur en amont, genre un ipcop, et tu modifies la gateway de tes postes pour qu'ils passent par ta nouvelle machine. Sur celle ci, tu mets en place une analyse des logs, et tu verras rapidement qui envoie, sur quels ports.
Marsh Posté le 20-01-2010 à 18:04:40
si le parc est homogène tu peux vérifier les processus et services qui tournent voir si il y a un loup évident
Marsh Posté le 20-01-2010 à 20:39:26
gloubiboulga a écrit : Si tu n'as pas accès à la config du netopia, tu places un autre routeur en amont, genre un ipcop, et tu modifies la gateway de tes postes pour qu'ils passent par ta nouvelle machine. Sur celle ci, tu mets en place une analyse des logs, et tu verras rapidement qui envoie, sur quels ports. |
sauf que s'il fait ça, il va avoir un pb au niveau de l'adressage...... et il va etre obliger de changer l'ip coté Lan du nétopia. A moins d'utiliser uniquement la pate "lan/ green d'ipcop" et de faire une route vers le netopia.
Marsh Posté le 20-01-2010 à 21:12:35
il suffit de mettre un pc avec 2 interfaces en bridge et voila.
pas besoin de trafiquer la config du netopia.
Marsh Posté le 20-01-2010 à 21:15:33
vrobaina a écrit : |
Merci les gars ,mais j'ai penser à une autre idée plus simple voila vouis allez me dire ce que vous en pensez:
Entre le routeur Netopia et mon switch je place un HUB et pas un switch puis je branche deçu un ordinateur portable avec un Analyser de réseau genre capsa networks analyseur ou winshark (etherreal) puis la je snif le réseau.
Question :
On est d'accord que sur le Hup je vais pouvoir voir tout le trafic sortant ?
Qu'en pensez vous ? puis que c'est un HUP ? Qu'en pensez vous ?
Si çà marche ,j'aimerais savoir si vous connaissez un bon sniffer sécurité facile à utilisé qui me detecteras les intrus ?
Qu'en pensez vous ?
Merci
Marsh Posté le 20-01-2010 à 22:09:22
pas de soucis avec un hub, tu pourras voir tout le trafic.
Marsh Posté le 20-01-2010 à 23:08:38
vrobaina a écrit : pas de soucis avec un hub, tu pourras voir tout le trafic. |
Merci Vrobaina de ta réponse , finalement ma soluce est plus simple.
est ce possible de mettre un ipcop ou faut obliger deux cartes réseaux ?
Y a til un outil de sniff très performant et simple à installer sur mon portable pour choper ce trafic non autorisé ?
Merci de votre aide
Marsh Posté le 21-01-2010 à 11:06:52
wireshark est un excellent sniffer gratuit.
Une fois installé il suffit de sélectionner la carte réseau et il t'affichera tous les paquets qui circulent sur le hub.
Tu pourras aussi utiliser la fonction de filtrage pour ne voir que les mails par exemple.
Marsh Posté le 21-01-2010 à 11:28:08
PostEat a écrit : wireshark est un excellent sniffer gratuit. |
Merci Posteat mais comment voir çà avec wireshark ,car je sais sniffer avec mais comment voir les mail qui circule ?
Merci
Marsh Posté le 21-01-2010 à 13:20:21
vrobaina a écrit : |
Bah oui, mettons que son netopia soit x.x.x.254 côté LAN (je serais étonné qu'il ait une DMZ d'accès à Internet), il colle .253 sur la green d'Ipcop, modifie son DHCP et ses machines en ip fixe niveau GW, puis configure la red d'ipcop pour tout faire passer sur .254, et basta.
C'est pas une config propre, le chainage de routeurs, mais pour moi c'est la solution la plus simple et la plus précise pour l'instant.
Parce que les traces de wireshark, avec un hub, ça te sort aussi plein de merdes dont tu veux pas, et des kms de logs pas forcément clairs à analyser. Même avec les filtres (à moins que les dernières versions soient vraiment mieux, ce qui est possible).
Marsh Posté le 21-01-2010 à 14:08:38
et comment tu vas faire du routage entre les 2 pates Green/Red alors que tu es exactement dans le meme plan adressage ?.
Marsh Posté le 21-01-2010 à 14:29:09
vrobaina a écrit : et comment tu vas faire du routage entre les 2 pates Green/Red alors que tu es exactement dans le meme plan adressage ?. |
Sauf erreur de ma part, c'est logiquement incorrect (comme je le disais plus haut), mais pas techniquement impossible, il m'est déjà arrivé de chainer deux routeurs, avec deux adresses consécutives. Et les paquets passaient bien par l'un puis l'autre.
Marsh Posté le 21-01-2010 à 14:41:11
existe t-il des version bootable de linux unbuntu + ipcop ?
çà fais un baille que j'ai pas utiliser linux à cause des problèmes de driver carte non reconnu ,pouvez vous me dire si çà évolué depuis et si c'est plus facile avec unbuntu de bouter dessus et que tout les drivers soit reconnu et les carte bien monté pour pouvoir ce concentrer sur la la partie applicative d'ipcop...
Si oui avez vous des LIVE CD Plug and Play d'ipcop avec un lien ou le télécharger prés pour fonctionner ?
si ya un tuto c'est la cerise sur le bateau ... lol
Marsh Posté le 21-01-2010 à 20:51:38
ipcop n'est pas utile, une ubuntu toute bete (meme en livecd) fera l'affaire pour sniffer.
d'ailleurs ipcop est une distrib linux tout comme ubuntu pas un logiciel pour ubuntu.
donc si tu utilise ton hub, un pc avec une interface reseau un linux et wireshark.
si tu n'utilise pas ton hub, un pc avec 2 interfaces reseau configurees en bridge un linux et wireshark.
wireshark est le plus simple a utiliser, mais il y a d'autres outils.
ensuite tu configure ton filtre sur wireshark (par exemple recupere tout le smtp sauf celui de ton exchange) et tu trouvera le(s) fautif(s).
difficile de faire plus simple.
ps: pour ca j'utilise le bridge comme ca je touche a rien sur le reseau a part debranche un cable et en ajouter un autre, ca ne necessite aucune autre modifs.
Marsh Posté le 21-01-2010 à 21:19:42
ducon3d a écrit : ipcop n'est pas utile, une ubuntu toute bete (meme en livecd) fera l'affaire pour sniffer. |
Merci Ducon3D trop marrant ton pseudo
Tu as bien résumé ce qui faut faire...
je pense que je vais opter pour un pc portable connecter à un hub avec wirshark sous windows.
une question me viens à l'espris.
Si je brance donc un hub le portable et je boot sur un live CD et unbuntu comment lancer Ipcop ?
A quoi sert ipcop ? est ce un firewal ? ou un sniffer ? il lui faut une carte reseau ou deux carte reseau pour fonctionner ?
Sans vouloir abusé mais c'est la premiére fois que je me lance dans le sniffage du smtp sur wirshark quel filtre je dois applique avec exclusion de mon serveur de mail?
pouvez vous m'écrire un exemple je voie que vous le maîtriser bien
MErci de votre aide
Marsh Posté le 21-01-2010 à 23:00:44
Je sais que je vais passer pour le chiant de service mais quand même: "Administrateur Reseau" cf profil.
Et déjà une semaine qu'il bombarde nos BALs...
Je sors maintenant.
Marsh Posté le 22-01-2010 à 04:21:28
ducon3d a écrit : d'ailleurs ipcop est une distrib linux tout comme ubuntu pas un logiciel pour ubuntu. |
michael10fr a écrit : |
bon courage
et grouille toi de reparer ca, faut pas laisser trainer enfin c'est un conseil rien de plus, comme ce qui suit
puis fait auditer ton reseau, c'est une bonne idee vu le contenu de ce topic.
clockover a écrit : Je sais que je vais passer pour le chiant de service mais quand même: "Administrateur Reseau" cf profil. |
en effet c'est surprenant.
Marsh Posté le 14-01-2010 à 12:22:01
Bonjour à tous,
Notre configuration réseau est la suivante:
45 stations XP /11 serveurs /1 serveur Web/ 1 Serveur Exchange 2007 Windows 2008 64bit/ un routeur Netopia 3386ENT configurer en NAT / Nerim comme fournisseur Internet.
On utilise donc la même adresse ip pour sortir sur internet pour la messagerie/pour le serveur Web/pour le surf des station XP .
Mais voila ,J'ai un gros problème car tout les jours notre serveur est blacklister, parce qu'a mon avis , il y a une station qui vérolé d'un malware qui envoie des mails sur internet de la part de notre adresse ip.
Donc notre adresse ip du serveur de messagerie est black listé nos messages revienne sans arrêt.
J'ai donc voulu fermer le port 25 pour interdire au station d'envoyé des messages vers l'extérieur sur le routeur directement Netopia mais le problème cela n'a rien fais,çà continue.
J'ai donc appeler la hotline Netopia qui ma dit qu'un vers ou virus peu utiliser n'importe quel port de l'intérieur de l'entreprise pour envoyer des mails vers l'extérieur...
Donc j'aurais voulu avoir une solution pour stopper ce black listage en trouvant la station qui fais cela.
Sur les 45 stations , il y a Kaperski antivirus mais cela continue comme même,si c'est un malware il doit laisser passer.
Comment faire pour trouver quel station envoie c'est message ??? et stopper ce black listage ??? quel casse tête
Merci de vos lumières ..
Message édité par michael10fr le 14-01-2010 à 16:55:23