Bonjour à tous,
 
Notre configuration réseau est la suivante:
45 stations XP /11 serveurs /1 serveur Web/ 1 Serveur Exchange 2007 Windows 2008 64bit/ un routeur Netopia 3386ENT configurer en NAT / Nerim comme fournisseur Internet.
 
On utilise donc la même adresse ip pour sortir sur internet pour la messagerie/pour le serveur Web/pour le surf des station XP .
 
Mais voila ,J'ai un gros problème car tout les jours notre serveur est blacklister, parce qu'a mon avis , il y a une station qui vérolé d'un malware qui envoie des mails sur internet de la part de notre adresse ip.
 
Donc notre adresse ip du serveur de messagerie est black listé nos messages revienne sans arrêt.
 
J'ai donc voulu fermer le port 25 pour interdire au station d'envoyé des messages vers l'extérieur sur le routeur directement Netopia mais le problème cela n'a rien fais,çà continue.
 
J'ai donc appeler la hotline Netopia qui ma dit qu'un vers ou virus peu utiliser n'importe quel port de l'intérieur de l'entreprise pour envoyer des mails vers l'extérieur...  
 
Donc j'aurais voulu avoir une solution pour stopper ce black listage en trouvant la station qui fais cela.
 
Sur les 45 stations ,  il y a Kaperski antivirus mais cela continue comme même,si c'est un malware il doit laisser passer.
 
Comment faire pour trouver quel station envoie c'est message ??? et stopper ce black listage ??? quel casse tête      
 
Merci de vos lumières ..

une simple analyse réseau avec un sniffer du type wireshark ne suffirait il pas à analyser le poste problème ? il doit pas y avoir 40 postes envoyant des spams non stop

 
merci de votre réponse dimz4
 
Mais l'analyser vous le poserez ou sur le réseau ?  
 
Il faut monté une station avec deux carte réseau entre le netopia et le switch ?
 
est ce qu'on est obliger de ce mettre dans cette configuration pour voir le trafic réseau ?
on peu pas ce connecter au switch comme n'importe quel station pour voir ce trafic ?
Quel solution utilise des deux ci-dessus?
 
 
lancer winsharck
 
mais la le problème, on vérait comme même du trafic ??? car les stations surf sur le net ?
 
Quel Solution utiliser ?
 
il y a pas un soft qui peut repérer ce genre de trafic ?

pas agressif le titre...
 
il s'agit d'un port wan ethernet, donc tu colle un pc avec 2 interfaces reseau entre le port wan du routeur et le modem. et tu sniffe.

tout à fait d'accord avec ducon3d  ;-) t'auras pas de mal à trouver quel poste envoit des spams

Merci à ducon3d (pas mal le pseudo hihihi ) et a dimz4
 
pas mal comme solution mais si vous en avez d'autre plus simple je suis preneurs....
 
Je sais pas trop activer le routage sur windows 2008. et quest ce qu'il faut installer sur le seveur pour ce faire...
 
ps: dsl pour le titre en gros mais j'arrive pas a le mettre en minuscule si vous savez faire je suis à l'écoute ....  
 
 

Il n'y a rien de bien compliqué à faire çà. Enfin c'est surtout la solution la plus simple. Sinon bah, mets un sniffer sur chaque poste et matte celui qui envoit des requêtes SMTP vers l'extérieur non stop. Mais bon courage

Ben non, y'a un point unique d'accès au net, ça ne sert à rien de faire le tour des postes, il perdra trop de temps.  

Salut Michael10fr,
Est-ce que tu fais la manipulation pour éviter les attaques DHA sur ton Exchange ? Chez nous, depuis qu'on l'a activé, on a beaucoup moins de spam.
Regarde voir cet article :
http://www.nemx.com/products/Secur [...] ttack.html
 
Peut être que ça t'aidera.

 
Au Merci Bocal83 de ta réponse ton site est super bien !!
 
Il explique super bien ce problème que j'ai eu avant celui et que j'ai résolue en installant un Anti-spam trés puissant qui est GFI mail essentiel .
Il stop vraiment tout c'est attaque c'est super mon serveur ce trouve vraiment trés léger grasse à cet application TOP Très efficace!!
 
Non ce que j'ai comme attack n'est pas celle la c'est l'attaque de pc zombi qui sont des bots spameurs qui ont infecter plusieur pc chez nous et qui envoie des message à tout le monde sur internet!
Le problème est que j'ai 45pc sur mon réseau et que l'anti virus Kaperski laisse faire car il detect pas pas de virus puisque c'est de la pub !!!
 
Donc je pense à une solution radical de mettre un boitier Firwall appliance comme sonic wall ou un pc avec deux carte réseau et linux+ipcop.
 
 
Voila si vous connaissez d'autre solution çà serais bien de les lister sur ce post à tout mes amies admin du web
 
Car l'union des savoirs fais la force contre c'est virus et méchante personne qui pense à ralentir l'internet .
 
Donc plus on s'entre aide entre nous plus l'internet deviendras plus rapide et moins infecter avec une bande passante plus rapide!

ben sinon regarde via netstat quel est ton pc client connecté (une ou plusieurs fois) sur le port smtp de ton exchange...

 
merci mais impossible il y a trop de connexion on peu savoir qui est bon et qui est mauvais ..
 
Si ta d'autre idée je suis preneur ...

Tu attends le soir, tu vérifies que tous tes utilisateurs soient bien déconnectés, postes allumés, tu coupes la connexion à internet, t'auras l'info direct.  
Mais tu penses que les spam passent par ton exchange en open relay ? A mon avis, ils partent direct vers le net.

+1

 
merci " gloubiboulga"pour ta réponse excellente technique ,je vais tester çà.
 
Oui ta raison ,ils peuvent aussi envoyer directement sur internet mais dans ce cas quel technique dois je utilisais pour les chopper ?
 
MErci de ton aide...
 
ps: config  
 
1 Lan de 45 Pc et Hotes réseau imprimantes,etc ..
1 Routeur chez Nérim avec un Netopia.
 
 

Si tu n'as pas accès à la config du netopia, tu places un autre routeur en amont, genre un ipcop, et tu modifies la gateway de tes postes pour qu'ils passent par ta nouvelle machine. Sur celle ci, tu mets en place une analyse des logs, et tu verras rapidement qui envoie, sur quels ports.

si le parc est homogène tu peux vérifier les processus et services qui tournent voir si il y a un loup évident

 
sauf que s'il fait ça, il va avoir un pb au niveau de l'adressage......  et il va etre obliger de changer l'ip coté Lan du nétopia. A moins d'utiliser uniquement la pate "lan/ green d'ipcop" et de faire une route vers le netopia.
 
 

il suffit de mettre un pc avec 2 interfaces en bridge et voila.
pas besoin de trafiquer la config du netopia.

 
Merci les gars ,mais j'ai penser à une autre idée plus simple voila vouis allez me dire ce que vous en pensez:
 
Entre le routeur Netopia et mon switch je place un HUB et pas un switch puis je branche deçu un ordinateur portable avec un Analyser de réseau genre capsa networks analyseur ou winshark (etherreal) puis la je snif le réseau.
 
Question :
 
On est d'accord que sur le Hup je vais pouvoir voir tout le trafic sortant ?
 
Qu'en pensez vous ? puis que c'est un HUP ? Qu'en pensez vous ?
 
 
Si çà marche ,j'aimerais savoir si vous connaissez un bon sniffer sécurité facile à utilisé qui me detecteras les intrus ?
 
Qu'en pensez vous ?
 
Merci

pas de soucis avec un hub, tu pourras voir tout le trafic.

 
 
Merci Vrobaina de ta réponse , finalement ma soluce est plus simple.
 
est ce possible de mettre un ipcop ou faut obliger deux cartes réseaux ?
 
Y a til un outil de sniff très performant et simple à installer sur  mon portable pour choper ce trafic non autorisé ?
 
Merci de votre aide

wireshark est un excellent sniffer gratuit.
Une fois installé il suffit de sélectionner la carte réseau et il t'affichera tous les paquets qui circulent sur le hub.
Tu pourras aussi utiliser la fonction de filtrage pour ne voir que les mails par exemple.

 
Merci Posteat mais comment voir çà avec wireshark ,car je sais sniffer avec mais comment voir les mail qui circule ?
 
Merci

Clic sur "Expression" tu auras le choix des filtres et en l'occurrence SMTP, tu choisis et tu appliques sur la capture.

 
Bah oui, mettons que son netopia soit x.x.x.254 côté LAN (je serais étonné qu'il ait une DMZ d'accès à Internet), il colle .253 sur la green d'Ipcop, modifie son DHCP et ses machines en ip fixe niveau GW, puis configure la red d'ipcop pour tout faire passer sur .254, et basta.  
C'est pas une config propre, le chainage de routeurs, mais pour moi c'est la solution la plus simple et la plus précise pour l'instant.  
 
Parce que les traces de wireshark, avec un hub, ça te sort aussi plein de merdes dont tu veux pas, et des kms de logs pas forcément clairs à analyser. Même avec les filtres (à moins que les dernières versions soient vraiment mieux, ce qui est possible).

et comment tu vas faire du routage entre les 2 pates Green/Red alors que tu es exactement dans le meme plan adressage ?.

Sauf erreur de ma part, c'est logiquement incorrect (comme je le disais plus haut), mais pas techniquement impossible, il m'est déjà arrivé de chainer deux routeurs, avec deux adresses consécutives. Et les paquets passaient bien par l'un puis l'autre.

existe t-il des version bootable de linux unbuntu + ipcop ?
 
çà fais un baille que j'ai pas utiliser linux à cause des problèmes de driver carte non reconnu ,pouvez vous me dire si çà évolué depuis et si c'est plus facile avec unbuntu de bouter dessus et que tout les drivers soit reconnu et les carte bien monté pour pouvoir ce concentrer sur la  la partie applicative d'ipcop...
 
Si oui avez vous des LIVE CD Plug and Play d'ipcop avec un lien ou le télécharger prés pour fonctionner ?
 
si ya un tuto c'est la cerise sur le bateau ... lol

ipcop n'est pas utile, une ubuntu toute bete (meme en livecd) fera l'affaire pour sniffer.
d'ailleurs ipcop est une distrib linux tout comme ubuntu pas un logiciel pour ubuntu.
 
donc si tu utilise ton hub, un pc avec une interface reseau un linux et wireshark.
si tu n'utilise pas ton hub, un pc avec 2 interfaces reseau configurees en bridge un linux et wireshark.
 
wireshark est le plus simple a utiliser, mais il y a d'autres outils.
 
ensuite tu configure ton filtre sur wireshark (par exemple recupere tout le smtp sauf celui de ton exchange) et tu trouvera le(s) fautif(s).
 
difficile de faire plus simple.
 
ps: pour ca j'utilise le bridge comme ca je touche a rien sur le reseau a part debranche un cable et en ajouter un autre, ca ne necessite aucune autre modifs.

 
 
Merci Ducon3D trop marrant ton pseudo  
 
Tu as bien résumé ce qui faut faire...
 
je pense que je vais opter pour un pc portable connecter à un hub avec wirshark sous windows.
 
une question me viens à l'espris.  
 
Si je brance donc un hub le portable et je boot sur un live CD et unbuntu comment lancer Ipcop ?
 
A quoi sert ipcop ? est ce un firewal ? ou un sniffer ? il lui faut une carte reseau ou deux carte reseau pour fonctionner ?    
 
Sans vouloir abusé mais c'est la premiére fois que je me lance dans le sniffage du smtp sur wirshark quel filtre je dois applique avec exclusion de mon serveur de mail?
 
pouvez vous m'écrire un exemple je voie que vous le maîtriser bien    
 
MErci de votre aide  

Je sais que je vais passer pour le chiant de service mais quand même: "Administrateur Reseau" cf profil.    
Et déjà une semaine qu'il bombarde nos BALs...
 
Je sors maintenant.

bon courage
et grouille toi de reparer ca, faut pas laisser trainer   enfin c'est un conseil rien de plus, comme ce qui suit
puis fait auditer ton reseau, c'est une bonne idee vu le contenu de ce topic.

 
en effet c'est surprenant.
 
 

/ mode troll on
 
C'est peut-être pour la certification HéFrien
 
/ mode troll off
 
 
===>....