Votre question

[resolu]Probleme groupe de travail

Tags :
  • Serveur d'application
  • Internet
Dernière réponse : dans Internet
9 Avril 2009 14:06:27

Voila, j'ai un grand problème.

Je suis stagiaire dans une mairie, et il y a un problème depuis peu.

- La mairie c'est retrouvé en black liste chez les opérateurs (CBL) pour cause de spamming avec virus (trojan notament)
- Le groupe de travail qui est utilisé dans la mairie n'est plus accessible, le message a la fin est assez perturbant

La liste des serveurs n'est pas disponible actuellement.

Le réseau est composé de pc sous XP et Vista, de serveur sous windows 2003 Server (serveur d'application) d'un serveur Telmaweb pour la passerelle internet.

Le réseau est séparé, entre les bâtiment les switchs sont reliés en fibre optique, et sinon tout les pc sont reliés a des switchs. 1 dans la mediateque, 3 dans le bâtiments administratifs et 4 switch dans le bâtiment (2 coeurs de réseau qui relient tout les switch avec de la fibre optique, et 2 switch pour les postes et serveurs)

A cause de se problème, et de problème de recherche (largement plus longue que 2 semaines avant).

J'ai donc décidé d'utiliser Wireshark, et j'ai remarquer un nombre anormal de requête ARP d'un adresse ip vers elle même en broadcast.

De plus cette adresse ne se trouve pas dans le même sous réseau. Elle est en 192.168.30.32 (je ne sais pas si il est en Classe B ou C).
Et encore une chose étonnante, l'adresse mac appartient bien a une machine du réseau, mais lorsqu'on a couper la carte réseau, la requête ne c'est pas stopper pour autant.

Alors que le réseau principal est en 126.x.x.x (en classe B).

Je me demande donc comment je dois faire pour stopper cela?

Autres pages sur : resolu probleme groupe travail

10 Avril 2009 21:32:52

Je up mon sujet, merci de m'aider s'il vous plait
10 Avril 2009 21:52:46

Ben je crois que le mieux à faire c'est de trouver cette fameuse machine qui émet les requêtes ARP. Le fait que son adresse IP ne corresponde pas au réseau est assez étrange. Soit c'est une machine qui a été mal configurée, soit c'est un employé de la mairie qui a amené son ordinateur portable et qui l'a branché sur la première prise Ethernet qui venait.
Fais une petite enquête... :D 
Contenus similaires
10 Avril 2009 22:04:44

tu as plusieurs façon d'analyser/réparer tout ça proprement
ça dépend grandement du type de matériel réseau (donc de ces fonctionnalités), de tes connaissances/capacités techniques et du temps que tu peux y consacrer
mais la première chose à faire pour ne pas avoir de problèmes vis à vis de l'extérieur est de ne laisser sortir QUE les flux autorisés ET contrôlés

je m'explique (ou plus exactement j'explique ce que je ferai pour un réseau de ce type) :
1-on bloque TOUS les flux (dans les 2 sens) au niveau du firewall de sortie
2-on ajoute un (ou plusieurs en cas de charge) proxy (http/https/pop/imap/... c'est selon les flux qui sont utilisés vers le NET) et on fait en sorte dans que le FW n'accepte QUE les flux venant des ce proxy
3-pour les flux qui ne peuvent pas passer par un proxy, on contrôle de manière drastique les machines qui génèrent ces flux avant de les autoriser dans le FW (sauf rares exceptions, tout ce qui sort d'un poste de travail peut passer par un proxy)
4-on segmente le réseau en vlan et en sous réseaux privés (pas la peine d'avoir des IP public pour ce qui ne doit pas être accessible depuis le NET (un poste de travail, un serveur privé, ...)
5-pour ce qui doit avoir une IP public (normalement uniquement certains serveurs), on les mets dans une DMZ cloisonnée
6-chacun des réseaux DOIT passer par un point de coupure obligatoire, c'est à cet endroit qu'on installera un IDS (voir un IPS)

tout ça peut être fait assez facilement, c'est peut-être déjà le cas, le but est simple, faire des petits segments plus facilement analysable qu'un gros réseau (de plus en cas de pb sur un segment, si l'archi est bien faite, les autres segments ne sont pas génés)

maintenant pour en revenir à ton problème, il faut commencer par analyser ce qui sort de ton lan vers le WAN (le net), normalement tu as au moins un firewall entre tes utilisateurs et le NET, c'est sur celui ci qu'il faut commencer les recherches (y a t'il du smtp qui vient d'autre part que le serveur de messagerie par exemple, à toi de connaitre les flux qui sont légitimes)
pour ce qui est du broadcast ARP en interne, tu peux utiliser des outils comme ntop afin de connaitre la part de telle ou telle machine.

tu peux aussi mettre un serveur linux en mode bridge avec un analyseur (wireshark par exemple) en coupure PHYSIQUE de ton réseau (attention à la charge si tu as beaucoup de trafic)

tu peux ajouter des outils de monitoring comme cacti afin de voir la charge réseau des ports, le taux d'erreur, ...

pour le reste, il faudrait plus de détails sur l'architecture du réseau et les services en places
-par exemple si tes switchs le permettent tu peux limiter le taux de broadcast, mettre en place des acl afin de stopper à la source le trafic illégitime, faire du 8021x pour contrôler les accès au port, ...
-si tu as un serveur ou une passerelle de messagerie en interne, tu peux filtrer les mails (spam+virus) en obligeant tes utilisateurs à utiliser TON serveur pour envoyer des mails (il suffit de bloquer le smtp au niveau FW)

mais réponses peuvent te sembler généraliste (elles le sont) car avec si peu d'éléments, on ne peut pas t'aider bcp plus
10 Avril 2009 22:09:03

Je vais m'amuser avec les switch, mais vu que ca fait presque 1mois qu'ils ont pas été stopper, coter nombre de broadcast c'est assez important.

Faudra que je regarde avec la chef pour les restarts ou voir si je peux faire un raz des compteur (en espérant que je peux)

Mais merci de l'info c'est ce que j'avais prévu, mais j'aurais bien aimé une solution plus simple et plus rapide ^^
10 Avril 2009 22:15:18

maith a dit :
tu as plusieurs façon d'analyser/réparer tout ça proprement
ça dépend grandement du type de matériel réseau (donc de ces fonctionnalités), de tes connaissances/capacités techniques et du temps que tu peux y consacrer
mais la première chose à faire pour ne pas avoir de problèmes vis à vis de l'extérieur est de ne laisser sortir QUE les flux autorisés ET contrôlés

je m'explique (ou plus exactement j'explique ce que je ferai pour un réseau de ce type) :
1-on bloque TOUS les flux (dans les 2 sens) au niveau du firewall de sortie
2-on ajoute un (ou plusieurs en cas de charge) proxy (http/https/pop/imap/... c'est selon les flux qui sont utilisés vers le NET) et on fait en sorte dans que le FW n'accepte QUE les flux venant des ce proxy
3-pour les flux qui ne peuvent pas passer par un proxy, on contrôle de manière drastique les machines qui génèrent ces flux avant de les autoriser dans le FW (sauf rares exceptions, tout ce qui sort d'un poste de travail peut passer par un proxy)
4-on segmente le réseau en vlan et en sous réseaux privés (pas la peine d'avoir des IP public pour ce qui ne doit pas être accessible depuis le NET (un poste de travail, un serveur privé, ...)
5-pour ce qui doit avoir une IP public (normalement uniquement certains serveurs), on les mets dans une DMZ cloisonnée
6-chacun des réseaux DOIT passer par un point de coupure obligatoire, c'est à cet endroit qu'on installera un IDS (voir un IPS)

tout ça peut être fait assez facilement, c'est peut-être déjà le cas, le but est simple, faire des petits segments plus facilement analysable qu'un gros réseau (de plus en cas de pb sur un segment, si l'archi est bien faite, les autres segments ne sont pas génés)

maintenant pour en revenir à ton problème, il faut commencer par analyser ce qui sort de ton lan vers le WAN (le net), normalement tu as au moins un firewall entre tes utilisateurs et le NET, c'est sur celui ci qu'il faut commencer les recherches (y a t'il du smtp qui vient d'autre part que le serveur de messagerie par exemple, à toi de connaitre les flux qui sont légitimes)
pour ce qui est du broadcast ARP en interne, tu peux utiliser des outils comme ntop afin de connaitre la part de telle ou telle machine.

tu peux aussi mettre un serveur linux en mode bridge avec un analyseur (wireshark par exemple) en coupure PHYSIQUE de ton réseau (attention à la charge si tu as beaucoup de trafic)

tu peux ajouter des outils de monitoring comme cacti afin de voir la charge réseau des ports, le taux d'erreur, ...

pour le reste, il faudrait plus de détails sur l'architecture du réseau et les services en places
-par exemple si tes switchs le permettent tu peux limiter le taux de broadcast, mettre en place des acl afin de stopper à la source le trafic illégitime, faire du 8021x pour contrôler les accès au port, ...
-si tu as un serveur ou une passerelle de messagerie en interne, tu peux filtrer les mails (spam+virus) en obligeant tes utilisateurs à utiliser TON serveur pour envoyer des mails (il suffit de bloquer le smtp au niveau FW)

mais réponses peuvent te sembler généraliste (elles le sont) car avec si peu d'éléments, on ne peut pas t'aider bcp plus



Merci de l'astuce, mais, je ne peux pas bloquer les flux (j'exploserai le standart du service info ^^).
le serveur mail, n'est pas toucher, car le virus n'envoie pas via le serveur web (filtrer par un serveur telmaweb qui bloque tout les mails contenant des virus).
De plus toute les machines sorte via un proxi, qui indique les actions de chaque utilisateur. Et il n'y a pas eu d'action insolite (pas de connexion vers gmail ou autre, pour justement nous faire black lister d'une autre manière)

Le virus en question est juste la pour faire planter en quelque sorte le réseau

Je vais voir avec ma chef pour les autres info.

Merci encore pour le chemin a suivre
10 Avril 2009 22:25:48

si ta passerelle telmatweb filtre si bien les virus/spam et que tu te fais blacklister pour envoi de spam/virus, c'est qu'il y a un problème :
-elle ne fait pas son taf
-certains ont des passe droits pour ne pas se faire filtrer
-elle est elle même infectée
-certains peuvent envoyer directement des mails sans passer par cette passerelle

enfin je dis ça, mais comme je ne sais pas le motif exact de ce "blacklistage" ...

ps : dans quel département cette mairie ?
11 Avril 2009 00:01:27

J'ai appris que les problèmes on vraiment commencer quand il y a eu un soucis électrique qui a fait sauté tout les serveurs.

De plus, je ne connais pas encore exactement comment fonctionne la mairie (qui se trouve dans le 68) :
- qui peut se connecter sans passer par le proxy
- comment fonctionne le réseau en général

Je vais le faire a la dur pour virer le virus dans un premier temps et ainsi libérer la bande passante du réseau.

après on le sécurisera d'avantage le réseau afin que cela ne se reproduise plus.

Mais je ne suis que stagiaire ^^ donc je devrai en discuter avec ma chef.

Le blacklistage est causé par un envois de grand nombre de mail contenant un trojan. (j'ai pas plus d'info)
11 Avril 2009 00:18:28

sécurise en même temps que tu nettoie, sinon ça ne sert à rien
mais commence par bloquer le smtp en sortie (sauf bien sur depuis le serveur de mail, qui je l'espère, demande une authentification aux utilisateurs...)

j'administre un réseau d'une dizaine de milliers de postes et seuls 5 d'entre eux ont le droit d'envoyer des mails vers l'extérieur, les 5 passerelles de messagerie, AUCUNE autre machine (celles de l'équipe informatique y compris) n'a le droit d'envoyer de mail à autre chose qu'à son serveur de messagerie, qui sont les seules machines ayant le droit d'en envoyer aux passerelles

(pour le département je demandai au cas où ça serait dans mon secteur, mais ce n'est pas le cas)
14 Avril 2009 08:20:43

Maith, j'ai finalement trouvé le problème il s'agit en faite de la carte réseau, qui est une intel : 82541gi

Qui pollue le réseau, et provoque donc des lenteurs, ce n'est donc pas du arp cache poisoning. Je vais allez voir. Si elle nécessite une mise a jour, sinon je la change, afin de libérer le broadcast du réseau.

Edit :

Par contre le réseau fonctionne a nouveau (parfois des lenteurs mais je vois clairement le groupe de travail)

Il y a eu une mise a jour du serveur qui s'occupe de la passerelle, le telmaweb, a mon avis, c'est lui qui nous paralysait l'affichage, vu qu'il fait également serveur dns.

Maintenant on peut facilement revoir tout les postes du groupe.

Donc le problème est résolu par lui même et une simple mise a jour et redémarrage du serveur
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS