virus en mikrotik

Publicado en 'Redes Inalámbricas' por STARNIK£, 23 May 2010.





  1. STARNIK£

    STARNIK£ Miembro frecuente

    Registro:
    9 May 2010
    Mensajes:
    192
    Likes:
    1




    Saludos amigos , y la consulta es tal cual la pongo ,

    Que pasa si le entra un virus a mi pc Routher MIKROTIK , se que el virus dentro del lunix , pos no le hace nada , pero atravez de la red , se puede propagar a mis clientes ?, como evitarlo y si saben instalar algun antivirus para ese entorno del mismo mikrotik, espero respuestas ya q io no las tengo
    :yeah:
     


  2. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Ahhhhhh??????? virus n linux?? pues la verdad nunk lo habia escuchado o habia visto, alguien sabe algo al respecto?? xq la verdad q m kede atonito al leer el nombre del tema
     
  3. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Una vez más, mikrotik es un router firewall, lo más que puede hacer es evitar -en lo posible- que un virus atraviece el server, ya sea del internet a la red, o de la red al internet. Si el virus ta está dentro de la red, entonces el server no puede hacer nada. Mikrotik no puede ser infectado por virus alguno, pero puede caer en la trampa de un virus de ARP o un MAC spoofing y enviar conexiones erráticas a las MAC clonadas o inventadas desde dentro de la red.

    Saludos.
     
  4. STARNIK£

    STARNIK£ Miembro frecuente

    Registro:
    9 May 2010
    Mensajes:
    192
    Likes:
    1
    si se que pasa en proxys de linux como ubuntu y similares , pero no se si en mikrotik , y si pasara , como se eliminaria , ojo , hablamos de un vurus que ingrese al mikrotik , pero el "daño " lo hace a los clientes pq se puede propagar en la red.

    Como solucionamos esto desde el servidor Mikrotik , si es que nos pasara

    Alguien sabe

    :yeah:
     
  5. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Si un proxy llegara a almacenar un 'virus', este desde ahí no puede hacer ningún daño hasta que un cliente lo ejecute desde su PC -con windows, por lo general-, y recién ahí, cuando está dentro de la red, puede generar problemas, pero lo mismo pasaría sin proxy.

    Cuando se habla de proxy (con 'antivirus') o firewalls, lo más que pueden hacer es evitar que un virus atraviece el server, nada más.

    Saludos.
     
  6. STARNIK£

    STARNIK£ Miembro frecuente

    Registro:
    9 May 2010
    Mensajes:
    192
    Likes:
    1
    Correcto , no puede hacer daño al proxi , pero si a los de la red , que como bien has dicho regularmen estan bajo windows.

    Osea , me dices que si es posible que le ingrese un virus de red al mikrotik ,


    Ahora la pregunta es , si es q alguien lo hizo , como lo elimino ? , para que deje de molestar a mis clientes , que se les da por aceptar a todo lo que sale en la pantalla,y se esta convirtiendo en un circulo vicioso


    Saludos
    :yeah:
     
  7. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    wow, una vez más, si yo descargo un virus a mi compu, no va hacer absolutamente nada hasta que lo ejecute, del mismo modo con los proxy caché, que dentro de su contenido, puede haber un .mp3, un .zip, un .rar, etc, y dentro de eso, un virus, pero son inofensivos para TODOS si sólo están ahí, ya un cliente puede ejecutarlo desde su compu y recié ahí generar problemas, pero eso puede suceder con server o sin server, hasta un virus que fue ejecutado desde una memoria USB puede generar un gran problema en la red.

    Eliminar un virus de red puede ser muy fácil, y también extremadamente difícil, hay de muchos tipos, y muchas formas de hacerlo, osea, no hay una manera universal, primero se intenta identificar y luego se actua. Para prevenir, cada compu debería de estar con todos los parches de seguridad de windows, además de utilizar SIEMPRE un firewall.

    Una manera es aislar los virus de red es separando redes, cada usuario detrás de un router + sistema de autenticación/encriptación (usar pppoe es lo común), como lo hace cualquier ISP formal.

    Saludos.
     
  8. STARNIK£

    STARNIK£ Miembro frecuente

    Registro:
    9 May 2010
    Mensajes:
    192
    Likes:
    1
    Gracias , por tu respuesta , esto , puede ser , la funcion que tienes algunos ap que es la de Isolation:yeah: , en la cual puedes formar grupos de usuarios o mono usuarios , de modo que no tengan acceso a los demas mienbros de red , cierto ?

    Saludos
     
  9. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    Claaaro eso ayuda montones, además si tienes a todos tus clientes con AP client mode, ya estás ayudando bastante, que el MAC spoofing no pueden atravezar el AP client mode, este siempre va a otorgar su MAC a todas las conexiones salientes. El problema viene cuando se tiene la red llena de tarjetas wireless, y USB.

    Saludos
     
  10. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Ryo con tu respuesta kieres decir q una red inalambrica con AP como receptores es mas "segura" q una con tarjetas de red o usb? estoy n lo correcto o t estoy ntendiendo mal??
     
  11. ryohnosuke

    ryohnosuke Miembro de plata

    Registro:
    28 Mar 2008
    Mensajes:
    2,626
    Likes:
    83
    No existe un AP 'receptor' existe AP base y AP cliente. No me inventen términos por favor, que a la larga generan confusión.

    Un AP cliente es seguro contra virus de 'MAC', ya que el AP cliente enmascara con su propia MAC todas las conexiones que se originan detrás de este. Así que no existe manera que un PC infectado pueda clonar la MAC del Gateway y así engañar a los demás equipos a conectarse en él, ya que lo que saldrá de ahí será únicamente la MAC del AP cliente.

    Saludos.
     
  12. DvilPriest

    DvilPriest Miembro maestro

    Registro:
    17 Ago 2009
    Mensajes:
    575
    Likes:
    4
    Ryo una consulta si toy ekivokado korrigeme por favor.
    Hay script para mikrotik para filtrar virus.
    No se si sirviria eso para evitar este tipo de kontratiempos??
     
  13. rvc63

    rvc63 Miembro de bronce

    Registro:
    26 Feb 2010
    Mensajes:
    1,081
    Likes:
    17
    Creo q hay Servicios firewalls de pago que te filtran de todo, ataques .. pero cuesta muy caro y para WISP es mucho dinero, talves por medio de las DNS ... uhmm por lo menos limitar sitios con virus.
     
  14. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    Por ahi corre un script de mikrotik que dice que es para virus.. los que SABEN SOLO COPIAR Y PEGAR pensaran que con eso yaaaa listo 100% libre de virus.. pero bueno lo que sucede es que el script es un conjunto de reglas para algunos puertos muy comunes por donde los virus entra y viajan.. ahora que esto sea mejor o peor.. es demasiada libertad..
     
  15. ulmerdark

    ulmerdark Miembro nuevo

    Registro:
    17 Jun 2010
    Mensajes:
    1
    Likes:
    0
    Diosss mira sho nose quiero tb que alguien me expliq tengo mikrotick pero el problema es que se entro un virus de red
    ahora molesta este virus a tdos los clientes es un virus llamado EXPLOID ms08-067 este virus se ah difundido por toda la red todos mis clientes lo tienen sho me puse el panda
    y em manda avisos de intrusion de virusde red ahora lo peor no es eso lo peor es que se lentea horrible el internet nose puede ni navegar sha probamos todo nosotros pensabamos que era la confifugracion del mikrotick hasta compramos nuevos equipos de todo whaa i naa ahora quiero saber si el virus afecta el proceso del mikrotick
     
  16. STARNIK£

    STARNIK£ Miembro frecuente

    Registro:
    9 May 2010
    Mensajes:
    192
    Likes:
    1
    Si tienes virus en tu red , hayq eliminarlo uno por uno
    Sino , no hiciste nada

    IO tengo Bit Defender Original en todos mis clientes (35 soles les vendi ) , y solucionado el asunto
    Ya que este me protege mucho la red

    Saludos:yeah:
     
  17. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    es una opcion , pero cuando hay problemas de virus de red ahi se complica la cosa cuando pasa eso lo mejor es cerrar todos los port forward , como input y output solo los necesarios , los forward directamente para la RED de internet y tus usuarios y los input y output para la seguridad el mismo MK
     
  18. yohanvil

    yohanvil Miembro de bronce

    Registro:
    18 May 2009
    Mensajes:
    2,299
    Likes:
    57
    Bueno... lo que afirmas sucede siempre y cuando un AP Cliente actue en modo router, por que si esta en bridge siempre manejaran la misma puerta de enlace... la del servidor, ahora por el tema de MAC... defiitivamente la MAC que se vera desde el lado del WLAN siempre sera la del AP cliente... no se... pero yo a todos mis usuarios los pongo en modo router y listo...

    Podrias compartir con nosotros como tienes estructurada tu Red?

    Eso mismo hago... yo cierro todos los puertos y solo dejo los que necesito, y si luego hay algun otro cliente pues en demanda... voy abriendo los que sean solicitados.

    saludos
     
  19. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Hola MIKRORAT !!!!! podrias ayudarnos con esa configuracion de cerrar los puertos (si se cuales son los puertos de debo dejar abiertos) pero kisiera saber como cierre "todos" y solo abro los necesarios...
     
  20. MikroRAT

    MikroRAT Miembro maestro

    Registro:
    22 Oct 2009
    Mensajes:
    415
    Likes:
    48
    en mikrotik como en cualquier distro que conosca de linux las reglas son secuenciales , en mi caso primero habilitamos los que necesitamos y al ultimo cerramos todos ahi checalo espero que te ayude saludos.

    # jan/03/1970 19:23:04 by RouterOS 4.10
    # software id = XXXXXXX
    #
    /ip firewall filter
    add action=accept chain=forward comment=PASARELLA disabled=no src-address=\
    192.168.10.0/24
    add action=drop chain=forward comment=ARES disabled=no p2p=all-p2p
    add action=accept chain=input comment="INGRESO INTERNO DNS" disabled=no \
    dst-port=53 protocol=udp src-address-list=clients
    add action=accept chain=output comment="" disabled=no protocol=udp src-port=\
    53
    add action=accept chain=input comment="INGRESO AL MK PORT 80" disabled=no \
    dst-port=441 protocol=tcp src-address-list=clients
    add action=accept chain=input comment="" disabled=no dst-port=80 protocol=tcp \
    src-address-list=clients
    add action=accept chain=forward comment=PROXY disabled=no protocol=tcp \
    src-address=192.168.10.250 src-port=5128
    add action=accept chain=forward comment="" disabled=no dst-address=\
    192.168.10.250 dst-port=5128 protocol=tcp
    add action=accept chain=forward comment=\
    "INGRESO AL PORTAL WEB SQUID PORT 80" disabled=no protocol=tcp \
    src-address-list=clients src-port=80
    add action=accept chain=forward comment="PETICIONES EXTERNAS DNS " disabled=\
    no dst-port=53 protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=53 protocol=\
    udp src-address-list=clients
    add action=accept chain=forward comment="PETICIONES EXTERNAS MSN" disabled=no \
    dst-port=1863 protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=80 protocol=\
    tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=21 protocol=\
    tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=8080 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=443 protocol=\
    tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=22 protocol=\
    tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=995 protocol=\
    tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=110 protocol=\
    tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=8360-8372 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment=LIMEWIRE disabled=no dst-port=6346 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="FACEBOOK - CHAT" disabled=no \
    dst-port=5222 protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="INGRESO A LA RB BRIDGE" disabled=no \
    dst-port=8291-8294 protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=tcp \
    src-address-list=clients src-port=8291-8294
    add action=accept chain=input comment="INGRESO AL MK WINBOX" disabled=no \
    dst-port=8292 protocol=tcp src-address-list=clients
    add action=accept chain=output comment="" disabled=no protocol=tcp \
    src-address-list=clients src-port=8292
    add action=accept chain=forward comment="MSN YAHOO" disabled=no dst-port=5050 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment=GARENA disabled=no dst-port=1513 \
    protocol=udp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=7456 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=8352 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment=GB disabled=no dst-port=8400 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=tcp \
    src-address-list=clients src-port=8400
    add action=accept chain=forward comment="" disabled=no dst-port=8444 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=tcp \
    src-address-list=clients src-port=8444
    add action=accept chain=forward comment="" disabled=no dst-port=8360 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=tcp \
    src-address-list=clients src-port=8360
    add action=accept chain=forward comment="" disabled=no dst-port=8352 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=tcp \
    src-address-list=clients src-port=8352
    add action=accept chain=forward comment="" disabled=no dst-port=8372 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=tcp \
    src-address-list=clients src-port=8372
    add action=accept chain=forward comment=GB disabled=no dst-port=8400 \
    protocol=udp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address-list=clients src-port=8400
    add action=accept chain=forward comment="" disabled=no dst-port=8444 \
    protocol=udp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address-list=clients src-port=8444
    add action=accept chain=forward comment="" disabled=no dst-port=8360 \
    protocol=udp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address-list=clients src-port=8360
    add action=accept chain=forward comment="" disabled=no dst-port=8352 \
    protocol=udp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address-list=clients src-port=8352
    add action=accept chain=forward comment="" disabled=no dst-port=8352 \
    protocol=udp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no dst-port=8372 \
    protocol=udp src-address-list=clients
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address-list=clients src-port=8372
    add action=accept chain=forward comment=TEAMVIEWER disabled=no dst-port=5938 \
    protocol=tcp src-address-list=clients
    add action=accept chain=forward comment="HABILITO PORT TOTALES - CESAR DIAZ" \
    disabled=no protocol=tcp src-address=192.168.100.73
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=192.168.100.73
    add action=accept chain=forward comment="HABILITO PORT TOTALES - ZOILITA" \
    disabled=no protocol=tcp src-address=10.26.13.201
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=10.26.13.201
    add action=accept chain=forward comment=JOEL disabled=no protocol=tcp \
    src-address=192.168.100.170
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=192.168.100.170
    add action=accept chain=forward comment=\
    "HABILITO PORT TOTALES - ERCIK DELGADO - PRIMO DE JOEL" disabled=no \
    protocol=tcp src-address=192.168.100.97
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=192.168.100.97
    add action=accept chain=forward comment="PORT ABIERTO - AMIGO MONROY " \
    disabled=no protocol=tcp src-address=192.168.100.118
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=192.168.100.118
    add action=accept chain=output comment=SYSLOG disabled=no dst-address=\
    10.26.13.50 dst-port=514 protocol=udp
    add action=accept chain=forward comment=TOCAS disabled=no protocol=tcp \
    src-address=192.168.100.54
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=192.168.100.54
    add action=accept chain=forward comment="PC BERNARDO ICMP" disabled=no \
    dst-address=200.48.225.130 protocol=icmp src-address=10.26.13.201
    add action=accept chain=forward comment="MARISCALA - MILTON" disabled=no \
    protocol=tcp src-address=192.168.100.105
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=192.168.100.105
    add action=accept chain=forward comment="TELEFONO VOIP BETO" disabled=no \
    protocol=tcp src-address=10.26.13.102
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=10.26.13.102
    add action=accept chain=forward comment=MOTO disabled=no protocol=tcp \
    src-address=192.168.100.60
    add action=accept chain=forward comment="" disabled=no protocol=udp \
    src-address=192.168.100.60
    add action=accept chain=input comment=WEBPROXY disabled=no dst-port=10101 \
    protocol=tcp
    add action=accept chain=output comment="" disabled=no protocol=tcp src-port=\
    10101
    add action=drop chain=input comment="BLOQUEO INTERNO" disabled=no \
    src-address-list=clients
    add action=drop chain=output comment="" disabled=no src-address-list=clients
    add action=drop chain=forward comment="BLOQUEO EXTERNO TOTAL" disabled=no \
    src-address-list=clients
     
    Última edición: 10 Jul 2010