Evitar ataques diversos e dúvidas sobre pfSense
-
Pessoal, boa tarde! Sou novo aqui no fórum e preciso de ajuda.
Estou começando a configurar meu pfSense como gateway da minha rede, e estou com algumas dúvidas. Vou tentar separar elas em tópicos, e quem puder responder nem que seja apenas uma delas, eu fico agradecido. Segue abaixo:
-
Instalei o pfSense em um servidor virtualizado pelo XenServer, e notei que ele tem picos de 50% processamento a cada 1 minuto. Queria saber se isso é normal, ou se devo me preocupar.
-
Notei que a WAN está executando um "ping eterno" no gateway, isso é normal?
-
Queria saber como evitar ping of death pelo pfSense. Não quero bloquear totalmente o ICMP pois quero utilizar quando necessário. Então pensei em limitar o numero de pings por host, e o tamanho do pacote ping aceito. Porém não achei uma forma de fazer isso. Alguém sabe me dizer se é possível? Ou para evitar este ataque a única coisa possível seria bloquear todo o tráfego ICMP?
-
Acho que limitar o numero de requisições e tamanho do pacote já seriam de grande ajuda para amenizar outros tipos de ataques DDOS também. Alguém sabe como?
-
Alguma dica para evitar Port Scanners?
-
Se tiverem alguma outra dica de segurança sobre algum outro tipo de ataque, peço que deixem abaixo.
Por enquanto é isso, fico agradecido desde já pela atenção.
Att,
Leonardo
-
-
1- depende da capacidade de processamento que você deixou para a vm
2- sim. É importante saber a saúde do Gateway
3- veja como funciona o ping da morte(se é que algum so ainda morre disso) e deixe somente os tipos de icmp que achar útil para você.
4- isso também depende de que tipo de aplicação Você está publicando para a internet. Se não tiver nenhuma aplicação publicada, o pfSense já bloqueia qualquer tráfego wan por padrão.
5- o snort pode detectar e bloquear o ip, mas novamente se não tiver nada publicado, nada vai estar aberto para scanear
6- ???
7- libere somente os serviços que precisa e use o snort ou o suricata como ids/ips
-
1- depende da capacidade de processamento que você deixou para a vm
2- sim. É importante saber a saúde do Gateway
3- veja como funciona o ping da morte(se é que algum so ainda morre disso) e deixe somente os tipos de icmp que achar útil para você.
4- isso também depende de que tipo de aplicação Você está publicando para a internet. Se não tiver nenhuma aplicação publicada, o pfSense já bloqueia qualquer tráfego wan por padrão.
5- o snort pode detectar e bloquear o ip, mas novamente se não tiver nada publicado, nada vai estar aberto para scanear
6- ???
7- libere somente os serviços que precisa e use o snort ou o suricata como ids/ips
Boa noite Marcello, muito obrigado por me responder.
Segue abaixo:
1 - Possuo um processador com 4 nucleos, e destinei dois deles para o pfSense. Acredito que é o suficiente, pois as especificações do pfSense são muito baixas.
4 - Entendo. Mas queria saber se existe alguma forma no pfSense de limitar o numero de conexões, requisições ou o tamanho do pacote.
5 - Já que você mencionou as portas abertas, precisei liberar o skype aqui, e no site da microsoft pede para liberar umas 15000 portas altas. Isso não cria uma vulnerabilidade nessas portas? Tendo em vista que também pode ocorrer ataques vindos da rede interna.
6 - pulei esta né kkkk
7 - Valeu a dica!