Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Duvida sobre Invasão log de entrada wan externa

    Scheduled Pinned Locked Moved Portuguese
    14 Posts 5 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      atsuma
      last edited by

      oba marcelo!,

      então o que eu quero dizer é que o cara estava em casa ou na lan house, e queria saber se fica log de entrada dessa wan no firewall com a regra criada para acesso remoto na rede da empresa acessando a maquina com essa regra indicada pela NAT exemplo:

      estou em casa com a minha net de wan 189.134.335.46 e vou acessar o remoto da empresa onde eu trabalho 200.342.55.68 na minha maquina com nat para RDP.

      Queria saber se a wan 189.134.335.46 vai estar no log do pfsense de quando foi solicitada a permissão de regra liberada para o acesso remoto na máquina da empresa.

      só a wan externa de quem acesso eu quero saber se fica.

      1 Reply Last reply Reply Quote 0
      • L
        LFCavalcanti
        last edited by

        Então Atsuma, como o Marcelloc disse, se você havia ativado o LOG para essa regra de NAT que redireciona o acesso, sim, as conexões realizadas são mantidas em LOG. Então a primeira pergunta é: Você tinha essa opção ativada no momento da tal invasão?

        Outra coisa, não dá nem pra dizer que foi uma invasão, pois você deixou a porta do Servidor exposta na internet, é meio que um convite. Use VPN quando precisar liberar acesso remoto de usuários ou até seu a rede.

        –

        Luiz Fernando Cavalcanti
        IT Manager
        Arriviera Technology Group

        1 Reply Last reply Reply Quote 0
        • A
          atsuma
          last edited by

          O problema é que não sou eu quem controla o firewall da empresa e sim uma empresa de fora.eles usam debian e consequentemente o squid,e pelo o que eu sei não dá para aplicar log de nada diretamente no squid ao debian porém eu presto serviço a essa empresa então no momento estou vendo a bagunça que está, a empresa liberou a porta padrão rdp em vez de colocar nat para outra…enfim, e VPN sem chance a empresa usa 2 Mbps, e om ad continua uma bagunça.O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            @atsuma:

            O que eu sei não dá para aplicar log de nada diretamente no squid ao debian.

            Procure a informação no log do windows, o squid não trata nada de nat para rdp.

            @atsuma:

            O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.

            Aproveite e veja pelo quais são os outros domain admins e mude a porta do rdp no firewall.
            Com o rdp aberto e falta de atualização do windows, você fica exposto a vários tipos de ataque.

            Considere também mudar a empresa que toma conta do firewall, se quiser me mande uma mensagem em pvt.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • A
              atsuma
              last edited by

              No log do windows não pega a wan, só acesso interno.

              no squid do debian eu já imaginava que não pegava, mas quando habilita o log da nat do pfsense para entrada  aparece normalmente a wan que foi acessada.

              Em questão de mudar de empresa já estou colocando um pfsense lá, era só uma dúvida que eu tinha mesmo.

              1 Reply Last reply Reply Quote 0
              • C
                comazzi
                last edited by

                Atsuma,

                Deixar a porta RDP aberta e redirecionada para um servidor windows não é a melhor prática de segurança (quanto menos portas de entrada abertas no seu firewall, melhor). O correto é você configurar uma VPN e acessar seus servidores dessa forma.

                Deixar o seu Servidor Windows exposto dessa forma é receita para o desastre.

                1 Reply Last reply Reply Quote 0
                • marcellocM
                  marcelloc
                  last edited by

                  @atsuma:

                  No log do windows não pega a wan, só acesso interno.

                  Então seu nat está pior ainda, deveria aparecer o ip externo, não o ip do firewall ou o do debian.

                  Treinamentos de Elite: http://sys-squad.com

                  Help a community developer! ;D

                  1 Reply Last reply Reply Quote 0
                  • L
                    LFCavalcanti
                    last edited by

                    Olá!

                    Sei exatamente como o Atsuma se sente, hoje é complicado, muitas empresas implantam soluções "parciais" e quando o "bicho pega", a solução não da conta.
                    Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                    –

                    Luiz Fernando Cavalcanti
                    IT Manager
                    Arriviera Technology Group

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @LFCavalcanti:

                      Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                      Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                      Em certos momentos, argumentos técnicos não são suficientes. :(

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • L
                        LFCavalcanti
                        last edited by

                        @marcelloc:

                        @LFCavalcanti:

                        Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                        Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                        Em certos momentos, argumentos técnicos não são suficientes. :(

                        Não são suficientes até que tudo pare de funcionar e precisem dos seus argumentos técnicos para resolver o problema.

                        Já ouviu falar no ditado que diz:
                        "Mulher de bandido gosta de apanhar."

                        –

                        Luiz Fernando Cavalcanti
                        IT Manager
                        Arriviera Technology Group

                        1 Reply Last reply Reply Quote 0
                        • J
                          johnnybe
                          last edited by

                          @marcelloc:

                          @LFCavalcanti:

                          Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                          Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                          Em certos momentos, argumentos técnicos não são suficientes. :(

                          Pois é. Trata-se de uma relação custo/benefício. A maioria dos Empresários "parecem entender de custos" mas não percebem o Benefício. Para estes, Roteador WiFi com SPI Firewall habilitado é tão seguro quanto qualquer outra coisa. Estes caras não vão precisar chamar ninguém para nada mais, uma vez configurado. Triste realidade, apesar de eficiente em muitos casos.

                          you would not believe the view up here

                          1 Reply Last reply Reply Quote 0
                          • A
                            atsuma
                            last edited by

                            Valeu aí quem contribui pela a pesquisa!

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.