Duvida sobre Invasão log de entrada wan externa
-
oba marcelo!,
então o que eu quero dizer é que o cara estava em casa ou na lan house, e queria saber se fica log de entrada dessa wan no firewall com a regra criada para acesso remoto na rede da empresa acessando a maquina com essa regra indicada pela NAT exemplo:
estou em casa com a minha net de wan 189.134.335.46 e vou acessar o remoto da empresa onde eu trabalho 200.342.55.68 na minha maquina com nat para RDP.
Queria saber se a wan 189.134.335.46 vai estar no log do pfsense de quando foi solicitada a permissão de regra liberada para o acesso remoto na máquina da empresa.
só a wan externa de quem acesso eu quero saber se fica.
-
Então Atsuma, como o Marcelloc disse, se você havia ativado o LOG para essa regra de NAT que redireciona o acesso, sim, as conexões realizadas são mantidas em LOG. Então a primeira pergunta é: Você tinha essa opção ativada no momento da tal invasão?
Outra coisa, não dá nem pra dizer que foi uma invasão, pois você deixou a porta do Servidor exposta na internet, é meio que um convite. Use VPN quando precisar liberar acesso remoto de usuários ou até seu a rede.
-
O problema é que não sou eu quem controla o firewall da empresa e sim uma empresa de fora.eles usam debian e consequentemente o squid,e pelo o que eu sei não dá para aplicar log de nada diretamente no squid ao debian porém eu presto serviço a essa empresa então no momento estou vendo a bagunça que está, a empresa liberou a porta padrão rdp em vez de colocar nat para outra…enfim, e VPN sem chance a empresa usa 2 Mbps, e om ad continua uma bagunça.O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.
-
O que eu sei não dá para aplicar log de nada diretamente no squid ao debian.
Procure a informação no log do windows, o squid não trata nada de nat para rdp.
O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.
Aproveite e veja pelo quais são os outros domain admins e mude a porta do rdp no firewall.
Com o rdp aberto e falta de atualização do windows, você fica exposto a vários tipos de ataque.Considere também mudar a empresa que toma conta do firewall, se quiser me mande uma mensagem em pvt.
-
No log do windows não pega a wan, só acesso interno.
no squid do debian eu já imaginava que não pegava, mas quando habilita o log da nat do pfsense para entrada aparece normalmente a wan que foi acessada.
Em questão de mudar de empresa já estou colocando um pfsense lá, era só uma dúvida que eu tinha mesmo.
-
Atsuma,
Deixar a porta RDP aberta e redirecionada para um servidor windows não é a melhor prática de segurança (quanto menos portas de entrada abertas no seu firewall, melhor). O correto é você configurar uma VPN e acessar seus servidores dessa forma.
Deixar o seu Servidor Windows exposto dessa forma é receita para o desastre.
-
No log do windows não pega a wan, só acesso interno.
Então seu nat está pior ainda, deveria aparecer o ip externo, não o ip do firewall ou o do debian.
-
Olá!
Sei exatamente como o Atsuma se sente, hoje é complicado, muitas empresas implantam soluções "parciais" e quando o "bicho pega", a solução não da conta.
Muitas vezes esses serviços são legados e há resistência da administração em trocar. -
Muitas vezes esses serviços são legados e há resistência da administração em trocar.
Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.
Em certos momentos, argumentos técnicos não são suficientes. :(
-
Muitas vezes esses serviços são legados e há resistência da administração em trocar.
Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.
Em certos momentos, argumentos técnicos não são suficientes. :(
Não são suficientes até que tudo pare de funcionar e precisem dos seus argumentos técnicos para resolver o problema.
Já ouviu falar no ditado que diz:
"Mulher de bandido gosta de apanhar." -
Muitas vezes esses serviços são legados e há resistência da administração em trocar.
Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.
Em certos momentos, argumentos técnicos não são suficientes. :(
Pois é. Trata-se de uma relação custo/benefício. A maioria dos Empresários "parecem entender de custos" mas não percebem o Benefício. Para estes, Roteador WiFi com SPI Firewall habilitado é tão seguro quanto qualquer outra coisa. Estes caras não vão precisar chamar ninguém para nada mais, uma vez configurado. Triste realidade, apesar de eficiente em muitos casos.
-
Valeu aí quem contribui pela a pesquisa!