Bajo ataque
Si ya se que he andado un poco callado, pero parece que ya puedo volver a las andadas.
Desde el pasado jueves comencé a notar un comportamiento anormal tanto en la salida como en la entrada de datos provenientes del ancho de banda de la universidad, dicho comportamiento me hizo revisar un poco el olvidado router que tenemos aquí, para detectar la posible falla.
Mas o menos para que se den una idea los anchos de banda andaban así:
Como se puede apreciar, no es nada normal este comportamiento y mas cuando no se permite usar KaZaas, Torrents y esas cosas que comen ancho de banda a lo loco y mucho menos en un domingo por la tarde, lo único que se me ocurrió es que estábamos siendo víctimas de algún tipo de ataque.
Con el comando show processes cpu history desde la linea de comandos del router se puede apreciar los picos, en las últimas 72 hrs. que estaba teniendo el router. En días normales el procesador anda entre el 7% y 10% de utilización y como se puede ver hubo momentos en que se tuvo hasta el 100%.
100 * *
90 * *
80 * * *
70 * *#******** *
60 * *#**####*** *
50 * *##*######****
40 * *##*#######***
30 * **##########***
20 * **###########**
10 #################
0….5….1….1….2….2….3….3….4….4….5….5….6….6….7.
CPU% per hour (last 72 hours)
* = maximum CPU% # = average CPU%
Desgraciadamente CISCO por si solo no ofrece mucha información y la poca que ofrece es muy enredosa. Afortunadamente Google siempre será el mejor amigo del administrador de sistemas, pero aún y con esa herramienta, la información es muy escasa, genérica o muy técnica. ¿Qué es lo que buscaba? Bueno pues básicamente la manera de habilitar los logs para las interfaces seriales del router, que son las que reciben los E1, de tal manera que me dijeran los destinos, orígenes, protocolos y puertos del tráfico que se estaba generando. En mis primeros intentos por ahí del domingo en la noche, eran tantas las transacciones que estaba teniendo el router que al momento de habilitar estos logs en pantalla, el router simplemente dejó de responder.
Lo que me llevo a buscar la manera de arrojar esos logs pero hacia otro equipo, ya que querer visualizarlos en la consola era imposible. El servicio capaz de hacer esto, generalmente es un Syslog Server, toda distribución de Linux cuenta con uno, ya que es el que se encarga de archivar los logs del propio sistema, lo único que había que ajustar es que recibiera esos logs de un equipo (router) externo.
Una vez habilitado el Syslog server, es necesario indicar al router quien sera ese server, que es lo que “logeara” y de donde y hacia donde.
Inmediatamente al empezar a aparecer los primeros logs se podía apreciar claramente que varias redes o hosts estaban llegando a una misma red (SYN Attack o Flood Attack), la cual no estaba definida en el router. Mas tarde me daría cuenta que esa red si pertenecía a UNIVA, pero no se estaba utilizando.
Ya con el conocimiento de la red víctima, simplemente agregé algunas ACL (Access Control Lists o Listas de control de acceso) en las interfaces seriales del router y listo… ataque terminado, pero casi cinco días después.
Gracias a que el router es un equipo bastante pero bastante grande en cuanto a capacidad, el ataque no tuvo repercusiones hacia los usuarios directamente, de hecho el firewall ni se enteró que había un ataque en su perímetro. Sin embargo tardé mucho tiempo en bloquear el ataque, en parte por que mis conocimientos sobre el IOS (sistema operativo del router) de Cisco eran casi nulos, ahora ya aprendí varias cosas que espero me sirvan en un futuro. Sin embargo creo que la base para una buena detección es tener herramientas como los Syslogs o el MRTG, para conocer y detectar comportamientos anormales en nuestras redes o equipos.
Posts
Comentarios
[...] que últimamente los problemas en la red vienen multiplicados por dos, primero lo del router y ahora el envío de correos hacia Hotmail no [...]
Que tal, disculpa, estaba leyendo tus comentarios que haces, y vi uno de cuando levantaste un exchange2003 porque el disco duro donde tenias los buzones se daño, una pregunta, como creaste los buzones nuevamente con ex2003 ? de manera manual?, ya que tengo la necesidad de crear aprox 2000 cuentas de correo, m epuedes decir la manera en que administras a tantos usuarios? , en que Universidad trabajas?..
Saludos
Hola Sergio, normalmente realizo respaldos diarios de mi información, con el Backup que trae Windows, yo sé que hay mejores, pero en verdad con ese me es mas que suficiente. Al tener el respaldo (en otro equipo) simplemente restablezco los buzones, de otra manera, sin tener el respaldo va a estar un poco difícil realizarlo, tal vez haya maneras, no se que tan difícil sea. Yo trabajo actualmente en la Universidad del Valle de Atemajac (UNIVA) en Zapopan Jalisco.
En cuanto a lo de la administración de usuarios, bueno pues se tienen politicas de uso, limites de espacio, limites de envio y se tienen organizados a los usuarios en Unidades Organizacionales.
Espero mis comentarios te sirvan y estamos en contacto.
BUeno estuve leyendo tu post y me intereso la idea de instalar un servidor de logs, y mrtg, para graficar,para ver si me echas una mano
Gracias amigo, mi msn-hotmail es mpomol@ryaczm.com, si quieres puedes agregarme para estar en contacto