Cómo evitar que un virus infecte la LAN

Imagen de xime

Forums: 

Muy buenas, saludos a todos; tengo un problema en mi lan, el virus Win32/Conficker.AA worm ha infectado a una par de máquinas en la red. Ya lo he eliminado de las mismas. Pero como siempre a pesar de las medidas de antivirus y protecciones en las pcs, los usuarios siempre encuentran la forma de re-infectarse.

El virus empieza a atacar al resto de pcs en la LAN, afortunadamente las máquinas que están con su antivirus han bloqueado los ataques del mismo.

Pero se que volverá a pasar, sea con este virus o con algún otro, entonces mi duda es: ¿cómo puedo evitar que dentro de la LAN algunas máquinas se vean entre si, a pesar de estar en la misma sub red?

Alguna solución usando iptables?

El problema está en que necesito que estén en la misma subred, pero al mismo tiempo no se vean entre si todas.

Ideas?

Haber

Imagen de punky

Tu problema es en una red que las maquinas tienen windows ?? o como mismo .

No hay lenguajes de programación malos solo programadores ineptos:

options: - crea subredes con

Imagen de falcom

options:
- crea subredes con un mismo gateway para q se puedan ver (digo si tienes centralizadas aplicaciones en un server/s)
- usa vlans (necesitas de hardware q soporte, pros:seguro contras: costoso)
- cambiate a linux (la mejor)

Tips: Debido a la capacidad de expansion de los virus en windose creo q todas estas son soluciones temporales si quieres algo definitivo proponte cambiar a linux todas las desktops, hay buena info de un plan de migracion en la pag de la subsecretaria de informatica del gobierno (asi lo hice yop)

Estaba leyendo algo del tema,

Imagen de xime

Estaba leyendo algo del tema, y creo que lo de las vlans, es lo más optimo, desafortunadamente el solo mencionar cambiar win2s a un Linux, empieza a dar ataques de pánico a los usuarios. Voy a tratar de a poco ir cambiando eso.

Hasta el momento todos los computadores pasan por el mismo servidor, así que se me ocurre usar un: iptables -A FORWARD -i eth1 –d 192.168.X.X/24 -j DROP siendo eth1 la interfaz LAN. Es decir el tráfico que llegue por la interfaz LAN con destino a la subred sea descartado. Así no se comunican entre ellos.

¿Cree que funcione? Aún no lo pruebo estoy esperando que se desconecten algunos usuarios por si dejo sin servicio a la red =P

Muchas gracias por la sugerencia.

http://poquiblog.blogspot.com/

mmm... En una misma subred

Imagen de deathUser

mmm...

En una misma subred generalmente los paquetes no pasan por el Default Gateway, a no ser que deban salir de ella, se comunican vía MAC ADDRESS ...

Por lo que deberías usar vlans ...

bye
;)

sobre tu regla, tienes q

Imagen de falcom

sobre tu regla, tienes q tomar en cta + aspectos recuerdas q los windozes antiguos tenian x default habilitado el netbios (creo q hasta xp) entonces igual comparten x alli virus bichos y demas, lo q te trato de decir es q claro no pasarian x tu gw/proxy pero entre ellos si (da lo mismo)
Tip: si te vas a quedar con windoze lo + recomendable es centralizar una solucion antivirus de pago digo esto x experiencia propia ya q los free ni cosquillas

Concuerdo con Deathuser, yo

Imagen de damage

Concuerdo con Deathuser, yo ya tuve ese problema y genera arto DoS, si quieres evitar que la LAN se infecte, pues como sun clientes windox, debes primero tener actualizados tus AV y tener uno que valga medio la pena, he tenido buena experiencia con kaspersky, ya que el firewall que tiene y remplaza la huevada que viene con win2us, evita el ataque por el puerto tcp 445 (al menos). Si tienes un server linux como gateway evita en el enmascaramiento al mencionado puerto asi no te jode el squid en caso que lo tengas te dejo par lineas de enmascaramiento:

$IPT -t nat -I POSTROUTING -s $IF_RED -p tcp -m multiport ! --dport 25,110,139,445,843 -o $IF_INT -j MASQUERADE
$IPT -t nat -I POSTROUTING -s $IF_RED -p udp -m multiport ! --dport 139,445 -o $IF_INT -j MASQUERADE
$IPT -t nat -I POSTROUTING -s $IF_RED -p icmp -o $IF_INT -j MASQUERADE

Debes colocar las 3 lineas ya que haces un ! a lo que es tcp, te deja sin enmascarar todo lo que sea udp, icmp, igmp y demás protocolos, si necesitas adicionar alguno solo copia y pega una linea similar y la modificas.
Ojo esas lineas solo es de enmascaramiento no te sirven para filtrar paquetes desde un host a otro de tu LAN.

Muchas gracias a todos por

Imagen de xime

Muchas gracias a todos por las ideas, voy a ponerlo en práctica, espero controlar al menos un poco el problema con un nuevo antivirus.

http://poquiblog.blogspot.com/