WannaCry, como se proteger com PFsense?
-
Não sei se estou enganado, mas acredito que um Snort bem configurado pode ajudar bastante na segurança da Rede.
também não sei, mas deve ter como sim, O snort tendo no banco de dados dele esse comportamento do exploit ele deverá notificar.
Exemplo esse link abaixo cita:
-
Pelo menos na versão incial do worm, a maquina que conseguisse resolver(ou acessar) esse dns, desarmava o worm.
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
-
Pelo menos na versão incial do worm, a maquina que conseguisse resolver(ou acessar) esse dns, desarmava o worm.
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
por isso que não é recomendável bloquear o acesso a este domínio.
-
To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.
-
Bloqueio da 139 e 445 saindo. A Wan já bloqueia por padrão qualquer coisa que não esteja explicitamente liberado, mas vai que um nat1:1 acabou publicando um serviço tão frágil quanto o NetBIOS.
dei patch em 90% das maquinas, mas seguranca nunca eh de mais.
No caso eu criei uma alias 445+135:139(Nomeei como NetBIOS), ta correto?
http://imgur.com/a/kGzZD
Para melhorar seria ideal incluir o range 52000 - 53000 nessa mesmo padrão de regra?
-
Se a sua Wan só tem essas que postou, então você já bloqueia qualquer tráfego entrante.
Confere a sua Lan também.
-
To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.
A regra do Snort GPLv2.community.rules é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
.
SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa. -
To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.
A regra do Snort GPLv2.community.rules é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
.
SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.Onde exatamente eu encontro essa opção: GPLv2.community.rules
-
To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.
A regra do Snort GPLv2.community.rules é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
.
SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.Onde exatamente eu encontro essa opção: GPLv2.community.rules
Em Global Setting ativa a opção Enable Snort GPLv2.
De em atualizações, clique para atualizar as categorias, após a atualização estiver concluída com sucesso.
Edite sua interface, em Wan ou Lan Categoria, lá vc vai ativar a opção Snort GPLv2 Community Rules.Pronto.
-
Global Sittings
-
Show de boa! Agora foi.
-
Se a sua Wan só tem essas que postou, então você já bloqueia qualquer tráfego entrante.
Confere a sua Lan também.
Na WAN:
Tenho alguns NATs de RDP(uns 10) e VPN Windows (ISAKMP, PPTP, GRE, l2tp)Minha lan to acertando ainda, quero desativar a default allow da LAN, vou tentar fazer isso hoje. Seria o ideal eu adicionar mais algum bloqueio na lan?
http://imgur.com/a/5FY0Q
Mto obrigado Marcelloc!!
EDIT: Ja desabilitei a regra Default LAN Allow
-
To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.
A regra do Snort GPLv2.community.rules é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
.
SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.Vou testar tambem, obrigado pela dica!!!
-
algumas boas praticas
1 verifique os nats para sua rede local e tenha apenas o necessário, se possível até eles limitados filtrando a origem, incrivelmente já achei NAT permitindo porta 445 …
2 desative contas guest e convidado em suas estações;
3 desative o compartilhamento x$ das estações locais;
4 usuário é usuário e não deve ter conta com poderes administrativos;
-
Usuário é usuário e não deve ter conta com poderes administrativos;
Receita milenar de longevidade. É como trocar cigarros por palitos de cenoura. ;D
