Tutorial, Internet, Hardware, Software, Os, Linux, Android, Security, Mikrotik

04 February, 2015

Mendeteksi Trojan Spam dengan Mikrotik

Mendeteksi Trojan Spam dengan Mikrotik
Salah satu isu utama yang dihadapi ISP saat ini adalah kesulitan mendapatkan ruang IP cukup untuk setiap customer. Bagi banyak orang, ini masalah biaya dan untuk beberapa itu hanya pilihan untuk nat pelanggan mereka di belakang router mereka / firewall. Untuk sebagian besar , NAT berperilaku jauh lebih baik hari ini daripada di masa lalu, tapi ada satu masalah yang sangat bermasalah bagi mereka yang memilih untuk Nat customers. mereka ada proliferasi yang signifikan dari generasi baru dari trojan yang turns komputer pengguna ke sebuah ancaman ke community. Internet ini generasi baru trojan (secara kolektif dikenal sebagai "botnet") dapat menyebabkan masalah untuk tidak hanya pemilik, tetapi untuk pelanggan lain dari ISP yang memilih untuk NAT. karena sejumlah besar botnet ini digunakan untuk mengirim spam di seluruh internet, kita, sebagai penyedia layanan, harus menemukan cara untuk melindungi jaringan kita dari menjadi hitam, sementara masih memungkinkan pelanggan kami untuk memanfaatkan internet dengan cara yang tidak ditetapkan terlalu banyak boundries. dalam artikel, saya akan membahas dua pendekatan untuk menetapkan batas-batas ini yang telah terbukti efektif baik dan relatif mantenance gratis.

Sebelum saya memulai menjadi memperbaiki, mari saya mulai dengan membantu Anda untuk memahami MENGAPA pendekatan ini work. Untuk jumlah terbesar dari pelanggan, server surat yang mereka gunakan untuk mengirim email melalui (server SMTP mereka) adalah server yang sama pada whichâ mereka cek email (POP mereka / IMAP server) .Sebuah Salah satu metode yang akan kita gunakan untuk mempertahankan diri dari bot ini mengambil keuntungan dari fact. bahwa hal lain yang kita perhatikan tentang "normal" lalu lintas SMTP adalah bahwa pengguna biasanya tidak membuat lebih dari koneksi outbound beberapa ketika mereka mengirim email. fakta ini akan memungkinkan kita untuk membatasi koneksi keluar menghitung beberapa nomor yang masuk akal dan "menganggap" bahwa hitungan di luar itu hARUS aktivitas spam.

Ada BEBERAPA ISP di luar sana yang telah mengambil approach. Salah satu pendekatan lain seperti ini mengharuskan semua pengguna sistem menggunakan ISP server mail untuk semua keluar SMTP connections. Sementara pendekatan ini tidak "buruk" rencana, itu tidak memaksakan beberapa keterbatasan yang banyak pelanggan (terutama beberapa pelanggan bisnis) tidak senang with. pendekatan lain, yang saya sebut aKAN rencana yang buruk, yang mengarahkan semua koneksi SMTP keluar ke server SMTP tunggal pada network. lokal pendekatan ini, umumnya, mensyaratkan bahwa ISP memiliki filter spam BAIK berjalan di depan server SMTP untuk mencegah server yANG dari yang blacklisted. aku sudah ISP mengatakan bahwa masalah ini tidak memiliki dampak pada jaringan mereka karena mereka menggunakan SMTP auth .A hal ini tidak case. Jika robot spam tersebut menggunakan server Anda, itu MUNGKIN memberitahu Anda yang mengirimkan spam, tetapi akan terlalu sedikit, terlalu terlambat, karena spam akan sudah meninggalkan jaringan Anda.

Sekarang kita telah membahas beberapa pendekatan untuk memperbaiki masalah, dan bahkan dibahas jenis perilaku yang bisa kita harapkan untuk melihat dari kedua "normal" klien dan orang yang terinfeksi dengan trojan spambot, mari kita lihat pada beberapa solutions. saya ingin mengungkapkan juga, bahwa sementara saya membahas dua pendekatan ini secara terpisah, mereka tidak, tentu, saling exclusive. Hal ini dapat diterima, dan kadang-kadang berguna, untuk mengambil potongan-potongan dari kedua untuk membangun solusi lengkap untuk menyesuaikan keseluruhan policy. ISP ANDA The pendekatan pertama agak simple. Bahkan, itu adalah total 2 aturan.

/ip firewall filteradd chain=forward protocol=tcp dst-port=25 \ src-address-list=suspectedspambot \ action=drop comment="Drop traffic from those on the suspect list" add chain=forward protocol=tcp dst-port=25 \ connection-limit=10,32 \ action=add-src-to-address-list \ address-list=suspectedspambot \ address-list-timeout=2d \ comment="More than 10 simultaneous connections looks spammy"

Saya telah berganti-ganti warna untuk readability. Operasi pendekatan ini cukup simple. Aturan pertama (warna biru) hanya tetes setiap upaya koneksi SMTP dari siapa saja yang ditemukan dalam daftar alamat yang disebut "suspectedspambot" .a Aturan kedua (merah) adalah salah satu yang melakukan pekerjaan benar-benar mendeteksi spammers. Apa aturan ini dilakukan adalah menonton untuk koneksi SMTP dan, jika jumlah koneksi dari IP tunggal (/ 32) berjalan di atas 10, maka alamat sumber yang paket ditambahkan ke daftar alamat yang disebut "suspectedspambot" .a pada usaha sambungan berikutnya, paket akan dropped. satu-satunya masalah dengan pendekatan ini adalah bahwa hal itu mengasumsikan bahwa ada tidak ada mail server yang MUNGKIN mengirimkan lebih dari 10 email pada suatu waktu legitimately. Jika hal ini terjadi, Anda hanya dapat membuat daftar alamat lain yang disebut "smtpservers" kemudian menambahkan aturan sebagai berikut aTAS aturan di atas (warna biru):

add chain=forward protocol=tcp dst-port=25 \ src-address-list=smtpservers action=accept \ comment="Allow known smtp servers to send email"

Hal ini akan memungkinkan server mail Anda dikenal untuk mengirim email tanpa takut "tertangkap" dan ditandai sebagai spam source. Satu komentar lebih lanjut tentang rules. ini Ini seperangkat aturan tidak memperhitungkan lalu lintas smtp yang akan ke email Anda server. aku akan meninggalkan memperbaiki itu sebagai latihan untuk reader. Jika salah satu dari pelanggan Anda "tagged" sebagai spambot dicurigai, Anda akan menemukan alamat IP mereka dalam daftar alamat dan dapat mulai mengatasi masalah dari sana. Pendekatan kedua akan saya bahas adalah favorite. pribadi saya, saya telah dikerahkan solusi yang sama di lebih dari 300 ISP routers. Pertama, kode:

/ip firewall address-listadd list=APPROVED_SMTP_SERVERS address=10.10.10.10 \ comment="An email server INSIDE the network" \ disabled=noadd list=VALID_SMTP address=12.12.12.12 \ comment="Valid email server OUTSIDE your network" \ disabled=no /ip firewall filter
add chain=forward protocol=tcp dst-port=25 \ src-address-list=APPROVED_SMTP_SERVERS action=accept \ comment="Allow email from our approved SMTP senders list regardless of destination"add chain=forward protocol=tcp dst-port=25 \ dst-address-list=APPROVED_SMTP_SERVERS action=accept \ comment="Allow email from our approved SMTP senders list regardless of destination"add chain=forward protocol=tcp dst-port=110 \ action=add-dst-to-address-list address-list=VALID_SMTP \ comment="Checking POP3" address-list-timeout=48hadd chain=forward protocol=tcp dst-port=143 \ action=add-dst-to-address-list address-list=VALID_SMTP \ comment="Checking POP3" address-list-timeout=48hadd chain=forward protocol=tcp dst-port=25 \ dst-address-list=VALID_SMTP action=accept \ comment="Allow SMTP going to known servers"add chain=forward protocol=tcp dst-port=25 \ action=add-src-to-address-list \ address-list=POSSIBLE_TROJAN \ address-list-timeout=1h \ comment="These will be users using SMTP servers that are not on our approved list"add chain=forward protocol=tcp dst-port=25 \ action=drop \ comment="Drop traffic to invalid SMTP servers"

Peraturan di atas akan menerapkan solusi yang saya jelaskan di atas sebagai pendekatan pertama untuk solution. Bagian pertama menciptakan 2 alamat lists. daftar alamat ini, meskipun nama mereka mirip, yang digunakan untuk purposes. berbeda The "APPROVED_SMTP_SERVERS" adalah daftar IP yang tidak akan tunduk pada pembatasan koneksi outbound ATAU connections. masuk dalam ruleset, pertama 2 aturan biru menerima SEMUA koneksi SMTP untuk paket dengan sumber ATAU alamat tujuan ditemukan di list. ini Ini akan menjadi mail server Thata yang pada network. daftar kedua akan mencakup statis (Anda menambahkan secara manual) dan dinamis (kita akan membahas bahwa dalam satu detik) entries. daftar ini, yang disebut "VALID_SMTP", adalah daftar server yang kita ingin memungkinkan pengguna untuk mengirim email through. dengan kata lain, itu adalah mail server kami yang ada LUAR network. Sebenarnya, itu bisa berada di dalam jaringan, juga, tapi untuk jenis mail server , Anda harus daftar mereka dalam daftar lain sudah.

2 aturan hijau adalah pekerja untuk aturan ini set. Mereka menonton lalu lintas untuk koneksi di mana orang memeriksa email. mereka Asumsinya adalah bahwa jika pengguna adalah memeriksa mail pada server tertentu, maka ok bagi mereka untuk mengirim surat menggunakan server. sama ISP PALING cenderung menggunakan server yang sama untuk kedua tujuan, jadi ini hampir selalu case. aturan ambil alamat IP server menggunakan tindakan "add-dst-to-address-list" tindakan dan menambahkannya ke "VALID_SMTP" alamat list. daftar ini surat memeriksa protokol TIDAK complete. Ada banyak pelabuhan lain yang bisa digunakan, sehingga Anda akan perlu untuk mengumpulkan daftar port dan hanya menduplikasi aturan hijau untuk menyelesaikan set aturan.

Akhirnya, untuk SMTP lalu lintas yang akan server yang ada di "VALID_SMTP" daftar, kita membiarkan bahwa traffic. APAPUN lalu lintas SMTP LAIN kita 2 hal (rule biru orange dan terakhir) .Sebuah Pertama, kita ambil alamat sumber dari orang yang mencoba untuk mengirim email dan kemudian kita drop lalu lintas. Dengan cara ini, kita membatasi kemampuan pelanggan untuk mengirim ke "disetujui" server, tetapi memberi mereka kemampuan untuk menggunakan mail server yang mereka pilih.

Dalam hal kegunaan, yang satu ini memiliki beberapa hal yang harus diperhatikan of. Pertama, tidak semua admin email menggunakan alamat yang sama untuk POP dan SMTP. Jika hal ini terjadi, Anda mungkin harus menambahkan alamat IP server mail ke daftar VALID_SMTP manually. Juga, Anda akan memiliki daftar yang disebut "POSSIBLE_TROJANS" .A daftar ini tidak menetapkan batas pada pengguna, tetapi semacam "log" yang dapat Anda gunakan ketika masalah masalah email pengguna.  Jika mereka menggunakan server SMTP "tidak sah" atau "disetujui", IP mereka akan berada di daftar ini.

Saya harap artikel ini telah membantu.Makan Saya senang untuk menjawab pertanyaan mengenai pendekatan dan implementations. Jangan ragu untuk menambahkan komentar dan dengan segala cara, jika artikel ini berguna bagi Anda, pastikan untuk "Digg IT!" (melihat tombol di sudut kanan atas).


No comments:

Post a Comment

Terima kasih atas komentarnya