Senha do admin - registro de mudanças

marcelloc

Na aba de restauração de backup, tem uma lista com as ultimas alterações.

marcosjost

Obrigado Marcello, ja consegui achar ….
Vendo os los do ligthsqui deu pra descobrir o IP.... porem ..... Existe algum log do squid ou do sistema que tenha alem do ip o mac-adress da maquina que acessou? Nos logs do squido so me retorna o site e o ip da maquina que acessou

marcelloc

Log do Mac nunca vi, mas se sua rede for pequena, Voce pode amarrar mac com ip no dhcp para sempre entregar o mesma configuracao para a máquina.

Para descobrir o Mac, estando no mesmo segmento de rede, Voce pode usar o arping ou Arp - a no seu micro(depois de pingar o ip)

marcosjost

O arp so me da a tabela recente de macs, nao de dias anteriores…

marcelloc

@marcosjost:

O arp so me da a tabela recente de macs, nao de dias anteriores…

Por isso sugeri voce fixar os ips no dhcp.

Desta forma, daqui pra frente, voce vais aber exatamente que estação fez o 'serviço'

marcosjost

O DHCP acaba nao resolvendo, pois nada impede que a pessoa coloque um ip fixo e faça o acesso.
O que precisaria é um sistema para auditoria de eventos.

johnnybe

@marcosjost:

O DHCP acaba nao resolvendo, pois nada impede que a pessoa coloque um ip fixo e faça o acesso.
O que precisaria é um sistema para auditoria de eventos.

Hmmm… desculpe-me @marcosjost... mas.... se isso abaixo ocorreu…

@marcosjost:

Bom, hoje tive problema com pfsense ( versao 1.2.3), a senha do admin foi trocada…

… Foi por falha de quem deixou facilitada a troca da senha.  ???
Ainda mais se estava no padrão…  ::)

marcosjost

@johnnybe
Ae é que está….senha era bem forte. Acredito que algum dos adminstradores tenha logado no pfsense em outra maquina, que provavelmente salvou a seção e possibilitou que outra pessoa acessasse, quando usou essa máquina.

johnnybe

@marcosjost:

@johnnybe
Ae é que está….senha era bem forte. Acredito que algum dos adminstradores tenha logado no pfsense em outra maquina, que provavelmente salvou a seção e possibilitou que outra pessoa acessasse, quando usou essa máquina.

Putz… então, audita seus admins! Como eu sempre digo, a falha é do usuário… pior ainda se for admin!  ::)
Deve ter muita gente aí precisando de treinamento básico. Sendo administrador, conheço vários lugares onde a guilhotina entrou em ação.
Não há nada que proteja invasões como esta. Apenas a educação visando a Engenharia Social pode… quando muito!  :'(

neriberto

Cara é a versão 1? atualiza para versão 2, tem a possibilidade de se trabalhar com vários usuários.

marcosjost

@johnnybe
foram tomadas algumas providencias …  :P
Este servidor está deixando de ser o principal da rede, já tenho um pfsense 2 rodando e cada admin com seu usuário e uma cartilha de recomendações.... :P
@neriberto
Como falei, este serviodr já esta sendo substituído por um com a versão 2.
Pra aposenta-lo definitivamente so falta sanar uns problemas com acessos de vpns.