Evitar ataques diversos e dúvidas sobre pfSense



  • Pessoal, boa tarde! Sou novo aqui no fórum e preciso de ajuda.

    Estou começando a configurar meu pfSense como gateway da minha rede, e estou com algumas dúvidas. Vou tentar separar elas em tópicos, e quem puder responder nem que seja apenas uma delas, eu fico agradecido. Segue abaixo:

    1. Instalei o pfSense em um servidor virtualizado pelo XenServer, e notei que ele tem picos de 50% processamento a cada 1 minuto. Queria saber se isso é normal, ou se devo me preocupar.

    2. Notei que a WAN está executando um "ping eterno" no gateway, isso é normal?

    3. Queria saber como evitar ping of death pelo pfSense. Não quero bloquear totalmente o ICMP pois quero utilizar quando necessário. Então pensei em limitar o numero de pings por host, e o tamanho do pacote ping aceito. Porém não achei uma forma de fazer isso. Alguém sabe me dizer se é possível? Ou para evitar este ataque a única coisa possível seria bloquear todo o tráfego ICMP?

    4. Acho que limitar o numero de requisições e tamanho do pacote já seriam de grande ajuda para amenizar outros tipos de ataques DDOS também. Alguém sabe como?

    5. Alguma dica para evitar Port Scanners?

    6. Se tiverem alguma outra dica de segurança sobre algum outro tipo de ataque, peço que deixem abaixo.

    Por enquanto é isso, fico agradecido desde já pela atenção.

    Att,

    Leonardo



  • 1- depende da capacidade de processamento que você deixou para a vm

    2- sim. É importante saber a saúde do Gateway

    3- veja como funciona o ping da morte(se é que algum so ainda morre disso) e deixe somente os tipos de icmp que achar útil para você.

    4- isso também depende de que tipo de aplicação Você está publicando para a internet. Se não tiver nenhuma aplicação publicada, o pfSense já bloqueia qualquer tráfego wan por padrão.

    5- o snort pode detectar e bloquear o ip, mas novamente se não tiver nada publicado, nada vai estar aberto para scanear

    6- ???

    7- libere somente os serviços que precisa e use o snort ou o suricata como ids/ips



  • @marcelloc:

    1- depende da capacidade de processamento que você deixou para a vm

    2- sim. É importante saber a saúde do Gateway

    3- veja como funciona o ping da morte(se é que algum so ainda morre disso) e deixe somente os tipos de icmp que achar útil para você.

    4- isso também depende de que tipo de aplicação Você está publicando para a internet. Se não tiver nenhuma aplicação publicada, o pfSense já bloqueia qualquer tráfego wan por padrão.

    5- o snort pode detectar e bloquear o ip, mas novamente se não tiver nada publicado, nada vai estar aberto para scanear

    6- ???

    7- libere somente os serviços que precisa e use o snort ou o suricata como ids/ips

    Boa noite Marcello, muito obrigado por me responder.

    Segue abaixo:

    1 - Possuo um processador com 4 nucleos, e destinei dois deles para o pfSense. Acredito que é o suficiente, pois as especificações do pfSense são muito baixas.

    4 - Entendo. Mas queria saber se existe alguma forma no pfSense de limitar o numero de conexões, requisições ou o tamanho do pacote.

    5 - Já que você mencionou as portas abertas, precisei liberar o skype aqui, e no site da microsoft pede para liberar umas 15000 portas altas. Isso não cria uma vulnerabilidade nessas portas? Tendo em vista que também pode ocorrer ataques vindos da rede interna.

    6 - pulei esta né kkkk

    7 - Valeu a dica!


Log in to reply