Escenario más seguro versus optimizado

javcasta

Hola.
Lo lógico seria no poner al más debil delante en vanguardia, sino al más fuerte … Es solo una opinión, en cuanto a logs, imagino que monitorizar cierto tráfico en la wan se puede descartar, por ejemplo el icmp (ping, traceroute), creas una regla que filtre ese tráfico no deseado y no le das la opción de log

Salu2

tsis

gracias por la info, hablas de crear una regla en la pata wan? por ejemplo me aparece mucho trafico cortado IPV porque lo tengo deshabilitado (no lo uso), sabes si se puede descartar que aparezaca este log de trafico IP v6?

javcasta

Hola.

En la imagen adjunta se ve, simplemente no habilites log

Salu2

blockIPv6-b.png_thumb

tsis

ok

pero como tengo la otra opcion donde cortar el trafico v6
el trafico sigue apareciendo logado en los logs, probare a quitar esa opcion.

he metido otras reglas de bloqueo como una para RDP y SSH bloquedas en WAN y sin logear.

que más se te ocurren?

gracias

Captura.PNG_thumb

javcasta

Hola.
Que deshabilites IPv6 en System: Advanced: Networking , no quiere decir que no te aparezca en los logs debido a la default deny/block rule. Mira lo que dice pfSense para deshabilitar logs:

https://doc.pfsense.org/index.php/Firewall_Logs#Disable_Default_Block_Logging

To disable logging of blocked packets from the default deny rule, go to to Status > System Logs, Settings tab, then uncheck Log packets blocked by the default rule and Click Save.

Ver img

Salu2

no-logs.png_thumb

tsis

de momento deshabilare esas tres y la cosa mejorara, hice una prueba en su momento y la primera la deshailite pero no me funciono .

gracias por la ayuda,

tsis

ahora no tengo tanto trafico de logs,

conoces algun produto donde almacenar esos logs y tener graficas estadisticas etc. tu sabes haciendo de syslog y mandado todos los valores a esa ip.

gracias

Captura.PNG_thumb

javcasta

Hola.
Existen servidores de rsyslog (remote syslog)
http://www.javcasta.com/blog/rsyslog-servidor-de-logs-remoto-en-debian-con-mysql/

Suelen trabajar escuchando en el puerto UDP514, pero esto es configurable.

En el lado del cliente (pfSense) en el menú Status: System logs: Settings > Remote Logging Options

Se configuraria el servidor (ip) y lo que se desea enviar de logs
http://www.javcasta.com/blog/cambiar-puerto-por-defecto-udp514-del-cliente-rsyslog-en-pfsense-2-02/

Salu2

tsis

yaya eso lo sabemos, es si sabias de algun producto que te de la misma info pero via web, en el propio syslogs con base de datos etc , es demasiada info para manejarse.

gracias

javcasta

Hola.

Hay un paquete disponible en pfSense: el Syslog-ng

https://syslog-ng.org/
https://www.balabit.com/network-security/syslog-ng

Dispone de versión open-source y comercial. Parece que tiene buena pinta.

–- añadido ---

El syslog-ng trae un cliente windows en su edición premium (de pago)
Para algo free, acabo de probar kiwi-syslog-server , que trae un cliente para win

http://www.kiwisyslog.com/products/kiwi-syslog-server/product-overview.aspx

Parece bastante aceptable.

Acabo de probar

Salu2

kiwi-syslog-server.png_thumb