Duvida sobre Invasão log de entrada wan externa
-
Oba Beleza!,
Queria saber se tem como eu ver ou existe log de entrada da wan de acesso externo no firewall quando se tem uma nat, para um acesso interno remoto (RDP) na maquina da empresa, por que recentemente tivemos uma invasão e pessoa que entrou usou uma conta ainda não desativada que estava bem escondida no AD, mas no eventos da máquina no caso do servidor não mostra a wan e sim os acessos feitos localmente.
-
Localmente de que ip?
No firewall você não vai ter informação de que ip usou a conta, Se você não habilitou o log da regra, não vai ter nada no log.
-
oba marcelo!,
então o que eu quero dizer é que o cara estava em casa ou na lan house, e queria saber se fica log de entrada dessa wan no firewall com a regra criada para acesso remoto na rede da empresa acessando a maquina com essa regra indicada pela NAT exemplo:
estou em casa com a minha net de wan 189.134.335.46 e vou acessar o remoto da empresa onde eu trabalho 200.342.55.68 na minha maquina com nat para RDP.
Queria saber se a wan 189.134.335.46 vai estar no log do pfsense de quando foi solicitada a permissão de regra liberada para o acesso remoto na máquina da empresa.
só a wan externa de quem acesso eu quero saber se fica.
-
Então Atsuma, como o Marcelloc disse, se você havia ativado o LOG para essa regra de NAT que redireciona o acesso, sim, as conexões realizadas são mantidas em LOG. Então a primeira pergunta é: Você tinha essa opção ativada no momento da tal invasão?
Outra coisa, não dá nem pra dizer que foi uma invasão, pois você deixou a porta do Servidor exposta na internet, é meio que um convite. Use VPN quando precisar liberar acesso remoto de usuários ou até seu a rede.
-
O problema é que não sou eu quem controla o firewall da empresa e sim uma empresa de fora.eles usam debian e consequentemente o squid,e pelo o que eu sei não dá para aplicar log de nada diretamente no squid ao debian porém eu presto serviço a essa empresa então no momento estou vendo a bagunça que está, a empresa liberou a porta padrão rdp em vez de colocar nat para outra…enfim, e VPN sem chance a empresa usa 2 Mbps, e om ad continua uma bagunça.O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.
-
O que eu sei não dá para aplicar log de nada diretamente no squid ao debian.
Procure a informação no log do windows, o squid não trata nada de nat para rdp.
O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.
Aproveite e veja pelo quais são os outros domain admins e mude a porta do rdp no firewall.
Com o rdp aberto e falta de atualização do windows, você fica exposto a vários tipos de ataque.Considere também mudar a empresa que toma conta do firewall, se quiser me mande uma mensagem em pvt.
-
No log do windows não pega a wan, só acesso interno.
no squid do debian eu já imaginava que não pegava, mas quando habilita o log da nat do pfsense para entrada aparece normalmente a wan que foi acessada.
Em questão de mudar de empresa já estou colocando um pfsense lá, era só uma dúvida que eu tinha mesmo.
-
Atsuma,
Deixar a porta RDP aberta e redirecionada para um servidor windows não é a melhor prática de segurança (quanto menos portas de entrada abertas no seu firewall, melhor). O correto é você configurar uma VPN e acessar seus servidores dessa forma.
Deixar o seu Servidor Windows exposto dessa forma é receita para o desastre.
-
No log do windows não pega a wan, só acesso interno.
Então seu nat está pior ainda, deveria aparecer o ip externo, não o ip do firewall ou o do debian.
-
Olá!
Sei exatamente como o Atsuma se sente, hoje é complicado, muitas empresas implantam soluções "parciais" e quando o "bicho pega", a solução não da conta.
Muitas vezes esses serviços são legados e há resistência da administração em trocar. -
Muitas vezes esses serviços são legados e há resistência da administração em trocar.
Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.
Em certos momentos, argumentos técnicos não são suficientes. :(
-
Muitas vezes esses serviços são legados e há resistência da administração em trocar.
Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.
Em certos momentos, argumentos técnicos não são suficientes. :(
Não são suficientes até que tudo pare de funcionar e precisem dos seus argumentos técnicos para resolver o problema.
Já ouviu falar no ditado que diz:
"Mulher de bandido gosta de apanhar." -
Muitas vezes esses serviços são legados e há resistência da administração em trocar.
Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.
Em certos momentos, argumentos técnicos não são suficientes. :(
Pois é. Trata-se de uma relação custo/benefício. A maioria dos Empresários "parecem entender de custos" mas não percebem o Benefício. Para estes, Roteador WiFi com SPI Firewall habilitado é tão seguro quanto qualquer outra coisa. Estes caras não vão precisar chamar ninguém para nada mais, uma vez configurado. Triste realidade, apesar de eficiente em muitos casos.
-
Valeu aí quem contribui pela a pesquisa!