[Lista ArNOG] Tráfico no valido en ITX

Jose Luis Gaspoz gaspozj en is.com.ar
Lun Nov 7 08:58:46 ART 2016


Fernando:

El filtrado debería ser en Output según red privada origen, esta después del NAT

Va una captura del trafico de salida de un Mikrotik que tiene mascarade en su wan y se ve que los paquetes con redes privadas que salen por ahí son la mayoría RST o FIN-ACK de conexiones reales cuyas hilos de connection tracking fueron dados de bajas cuando llegó un RST desde el destino y cuando el cliente quiere mandar el ultimo RST o FIN-ACK no lo encuentra y por lo tanto no encuentra el PAT correpondiente y sale sin trasladar (Hay que considerar en un equipo orientado a la conexión, que el Socket lo inspecciona y termina en el MK y para la lógica de estructura no termina en el equipo cliente, por eso pasa estas cosas.... para otros equipos que no hacen inspecciones de estructura son mas transparentes en los traslados y las conexiones terminan realmente en el cliente por mas que este nateado).


 
Ing. Jose Luis Gaspoz
Internet Services S.A.
Tel: 0342-4565118
Cel: 342-5008523

From: Fernando R. Soto 
Sent: Saturday, November 05, 2016 1:30 PM
To: 'Jose Gaspoz' ; lista en arnog.com.ar ; 'Eduardo Tealdi Saad' 
Subject: RE: [Lista ArNOG] Tráfico no valido en ITX

Ok me voy a fijar lo que decis. 

 

Como lo podes filtrar? Si el srcnat esta al final de las cadenas

 

Slds. 

 

 

De: Jose Gaspoz [mailto:gaspozj en is.com.ar] 
Enviado el: sábado, 5 de noviembre de 2016 12:37 p. m.
Para: lista en arnog.com.ar; Fernando R. Soto <fsoto en fi.uba.ar>; 'Eduardo Tealdi Saad' <eduardots en amc.com.ar>
Asunto: Re: [Lista ArNOG] Tráfico no valido en ITX

 

Fernando:


Si te fijas en el trafico de salida de la Wan en ese caso, vas a ver paquetes con origen 10.0.0.0/26 saliendo por la Wan sin trasladar.


Si no me equivoco es porque el MK en ese caso esta haciendo PAT y usa el connexion tracking para hacer el mapeo (puerto interno a Pat puerto externo del 200.1.2.3) y esto esta orientado a la conexion. SI la conexion termina por un RST externo , el MK corta la conexion y los paquetes que salen despues de eso del origen correspondiente no la encuentran, entonces no tienen politica de puertos disponible y salen sin natear.


Si te fijas, siempre en la wan que tiene un mascarade va a ver trafico saliente con ips internas.


El el caso de otro SO no orientados a la conexion, no usa la politica de tracking para el nateo , por lo que siempre traslada un PAT por mas que las conexiones se corten.


NO obstante seria menester Bloquear ese trafico en MK con reglas de salida.


Saludos

 

José
 

 

  -----Original Message-----
  From: "Fernando R. Soto" <fsoto en fi.uba.ar>
  To: <lista en arnog.com.ar>, "'Eduardo Tealdi Saad'" <eduardots en amc.com.ar>
  Date: Sat, 5 Nov 2016 11:51:09 -0300
  Subject: Re: [Lista ArNOG] Tráfico no valido en ITX

  Hola Jose.  Podrias explicarlo mas? Pq no me quedo claro. 

   

  Si el Mk tiene un regla asi:

  chain=srcnat action=src-nat to-addresses=200.1.2.3 src-address=10.0.0.0/26 log=no log-prefix=""

   

  cual seria el caso donde el MK no lo natee cuando el paquete salga por la wan del router? 

   

   

  De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Jose Gaspoz
  Enviado el: sábado, 5 de noviembre de 2016 11:16 a. m.
  Para: lista en arnog.com.ar; Eduardo Tealdi Saad <eduardots en amc.com.ar>
  Asunto: Re: [Lista ArNOG] Tráfico no valido en ITX 

   

  El caso es que algunos con Mikrotik natean directamente en el borde, y como es por conexion, cuando viene un Reset de la conexion desde el destino, el tracking del MK da de baja la conexion, por lo que por ejemplo el Reset que viene despues desde el host no encuentra el tracking y el nat no lo agarra por lo que sale sin trasladar. 

   

  Si se ponen a ver el tráfico interno que sale sin trasladar desde un MK que tiene src-nat o mascarade en su Wan van a ver que es mucho.

   

  Esto ocurre por mas que filtren los inválidos de entrada... porque es de salida. 

   

  Saludos

   

  Jose 


    

   

    -----Original Message-----
    From: Eduardo Tealdi Saad <mailto:eduardots en amc.com.ar>
    To: lista en arnog.com.ar
    Date: Fri, 4 Nov 2016 18:08:00 -0300
    Subject: Re: [Lista ArNOG] Tráfico no valido en ITX

    Mas facil, habilita MikroTik Neighbor Discovery protocol (MNDP)  y fijate quien aparece. si no filtran esto o MAC-server, menos van a filtrar la salida de IPs privadas, invalidas o algo peor.

     



    O sobre el tunel de PaisDigital



     

    Saludos Eduardo 

     

     

    El 4/11/2016 a las 9:45 a. m., Uriel Rozenbaum escribió:

      Hola Pablo,

      Nosotros también recibimos un montón de trafico del NAP con origenes privados; digo montón porque debería ser 0 y sorprende un poco que alguien se haya olvidado el filtro.

      También lo mandamos a masa con filtros ya que todo lo que sea privado (entrante o saliente, sin distinci{on) que quiera salir por un transito, se descarta.

      Podríamos impulsar una movida para incentivar a meter filtros, ya que es fácil detectar a quién se le escapa:

      Yo en lo personal tomo una captura en la interfaz que va al NAP, solamente filtrando con la red 10.0.0.0/8 (como ejemplo nomás). Luego la analizo con wireshark y veo cuales son las MAC que me llegan:



      Despues buscas esas MAC en la tabla ARP para ver a que IP corresponden:
      ? (200.0.17.107) at 00:12:1e:82:aa:79 [ether] on vlan106
      ? (200.0.17.121) at d4:ca:6d:01:2e:34 [ether] on vlan106
      ? (200.0.17.184) at d4:ca:6d:98:98:5a [ether] on vlan106

      Despues en el looking glass ves de quien es cada IP: 

      BGP neighbor is 200.0.17.107,  remote AS 18747, external link
      Description: MIEMBRO: IFX (IFX)

      BGP neighbor is 200.0.17.121,  remote AS 27881, external link
      Description: MIEMBRO: IPNEXT SA (IPN)

      BGP neighbor is 200.0.17.184,  remote AS 263196, external link
      Description: MIEMBRO: Telwinet (TWN)

      Si, me puse la gorra de buchón, pero es por el bien de todos.





       

       

      On Thu, Nov 3, 2016 at 5:54 PM, Pablo Moran <mailto:pmoran en telecentro.net.ar> wrote:

        Buenas tardes. 

         

            Escribo para compartirles esta lista de flujos IP que nos llegan por nuestra ITX con C ABASE, nos llama mucho la atención las redes de origen de estos flujos, redes privadas RFC1918 (192.168/16, 172.16/12, 10.0/8), que intentan acceder redes públicas de nuestra red, esto es solo un extracto hay muchos mas flujos que llegan de forma continua. Aclaro que no nos afecta debido a que aplicamos filtros en la interfaz de la ITX, los paquetes no llegan al destino, pero evidentemente si hay algo que está generando este tráfico. 

          

        Dicho lo anterior les hago la siguiente consulta

          

        ¿Alguno de ustedes vio algo parecido o reconoce si estas IPs privadas pertenecen a los segmentos que utilizan en sus redes de clientes o redes coorporativas?

         

Aggregated flows  455Top 50 flows ordered by bytes:Date first seen          Duration Proto      Src IP Addr:Port           Dst  IP Addr:Port   Out Pkt   In Pkt Out Byte  In Byte Flows2016-11-03 14:13:40.973     0.000 TCP          10.6.3.21:61083 <->     190.55.61.221:443          0        1        0      1003     12016-11-03 10:36:08.445     0.000 TCP        10.33.31.164:46510 <->     190.55.61.204:443          0        1        0      999     12016-11-03 11:46:07.408     0.000 TCP         192.168.0.4:35958 <->    181.47.248.88:80           0        1        0       603     12016-11-03 12:59:09.727     0.000 TCP           10.5.1.11:25971 <->      168.83.77.30:80           0        1        0       590     12016-11-03 06:02:32.451     0.000 TCP          10.1.1.81:443   <->    186.19.111.211:32964        0        1        0       393     1 2016-11-03 05:57:05.811     0.000 TCP        10.50.114.20:993   <->     186.18.173.54:62261        0        1        0       156     12016-11-03 15:59:48.333     0.000 UDP       10.19.193.204:43832 <->      186.23.58.52:50321        0        1        0       145     12016-11-03 11:56:51.840     0.000 UDP       10.19.193.204:43832 <->    181.46.106.174:18118        0        1        0       145     1 2016-11-03 06:39:45.140     0.000 UDP         10.3.152.2:35906 <->   255.255.255.255:5678         0        1        0       140   �� 12016-11-03 08:24:56.444     0.000 TCP        172.19.15.47:50831 <->      186.18.65.49:16836        0        1        0       140     12016-11-03 12:45:38.058     0.000 TCP        10.1.219.250:38911 <->     181.44.74.138:443          0        1        0       129     12016-11-03 11:05:07.253     0.000 TCP         10.1.212.68:48728 <->     181.44.74.147:443          0        1        0       129     12016-11-03 15:31:37.815     0.000 TCP         10.1.212.2:55810 <->     181.44.74.163:443          0        1        0       129     12016-11-03 06:26:24.664     0.000 UDP        10.225.2.20:5678  <->   255.255.255.255:5678         0        1        0       127     12016-11-03 11:46:07.438     0.000 TCP        10.255.255.6:15250 <->      181.45.139.2:50186        0        1        0       108     12016-11-03 14:00:06.547     0.000 TCP        10.255.255.6:57865 <->    181.46.165.236:46582        0        1        0       108     1 2016-11-03 14:32:08.541     0.000 TCP        10.255.255.6:53342 <->      181.45.27.38:58732        0        1        0       108     12016-11-03 12:51:15.782     0.000 TCP        10.154.10.48:59850 <->     186.18.65.179:28579        0        1        0       108     12016-11-03 11:02:26.444     0.000 TCP        10.1.219.209:47448 <->     190.55.61.208:443          0        1        0       105     12016-11-03 13:23:10.777     0.000 UDP       192.168.10.57:63398 <->    186.23.224.163:57585        0        1        0        91     12016-11-03 09:07:02.552     0.000 TCP         172.30.1.4:143   <->   181.44.218.105:50508        0        1        0        85     12016-11-03 15:15:18.797     0.000 TCP         10.90.0.23:49694 <->    181.47.248.210:443          0        1        0        76     12016-11-03 10:46:34.385     0.000 UDP      192.168.244.50:60345 <->    200.115.192.89:53           0        1        0        75     12016-11-03 15:50:20.988     0.000 UDP        192.168.0.22:63176 <->    181.47.248.205:443          0        1        0        72     12016-11-03 10:59:50.265     0.000 UDP      192.168.85.100:30166 <->     190.55.61.210:443          0        1        0        67     1 2016-11-03 11:11:03.211     0.000 TCP        10.194.0.192:1236  <->       186.18.86.1:44487        0        1        0        64     12016-11-03 11:19:53.552     0.000 UDP       10.160.50.51:63530 <->      200.16.99.17:53           0        1        0        64     12016-11-03 12:26:03.474     0.000 TCP      172.17.255.250:49670 <->     186.19.62.108:17146        0        1        0        60     1 2016-11-03 08:38:05.822     0.000 UDP      192.168.244.50:55041 <->    200.115.192.30:53           0        1        0        60     12016-11-03 10:28:49.934     0.000 UDP      192.168.244.50:44206 <->    200.115.192.89:53           0        1        0        60     12016-11-03 13:30:40.562     0.000 TCP         10.1.90.13:8003  <->    181.44.126.234:47774        0        1        0        60     1 

        Esperamos novedades.

         

        Desde ya muchas gracias. 

         

        Saludos.

         

        Pablo Fernandez Moran 

        Ing. de Backbone 

        54 11 15-6516-3730 || pmoran en telecentro.net.ar 

         



         


        _______________________________________________
        Lista mailing list
        Lista en arnog.com.ar
        http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista 

       





 _______________________________________________Lista mailing list Lista en arnog.com.ar http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista 

-- Eduardo Tealdi Saad Administrador de RedCooperativa Mariano AcostaSuperi 660, Mariano Acosta (CP 1723) Cel: 221 643-4291 eduardots en amc.com.arSe certificó que el correo no contiene virus.
Comprobada por AVG - www.avg.com
Versión: 2016.0.7859 / Base de datos de virus: 4664/13362 - Fecha de la versión: 07/11/2016
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161107/1f166e5c/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: trafico%20salida%20MK%20redes%20privadas[2].jpg
Type: image/jpeg
Size: 246244 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161107/1f166e5c/attachment-0001.jpg>


Más información sobre la lista de distribución Lista