Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    WannaCry, como se proteger com PFsense?

    Scheduled Pinned Locked Moved Portuguese
    21 Posts 9 Posters 3.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      ttercio
      last edited by

      Pessoal muito temos lido a respeito dos ataques do dia 12 de maio 2017, e sei que o "básico" da história já sabemos, mas a pergunta que não quer calar é: Como podemos nos proteger dessa praga a nível de Firewall? Resolvi abrir o tópico pois não vi nenhum post a respeito do mesmo e sabemos que é muito sério. A parte de instalar atualização + antivírus todos já sabemos. Segundo site que vou postar abaixo o worm usa o range de portas TCP 52000 - 53000 além de listar uns Ips que achei bem interessante adicionar nas blacklists. Fora isso Alguém tem mais alguma contribuição tanto do comportamento quanto de como um usuário de minha rede que tem apenas as portas de destino abertas 53, 80, 443, 3128 etc abertas??? Siricata será que detectaria ?

      Vamos la galera juntos somos mais fortes  8)
      Fonte
      http://www.oanalista.com.br/2017/05/14/ainda-nao-acabou-diz-jovem-de-22-anos-que-parou-a-propagacao-do-wannacry/

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        O bloqueio padrão de NetBIOS, tanto entrada quanto saída e o principal que garante continuidade frente a qualquer ameaça, reforce com seus clientes a importância de backups offline.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • T
          ttercio
          last edited by

          @marcelloc:

          O bloqueio padrão de NetBIOS, tanto entrada quanto saída e o principal que garante continuidade frente a qualquer ameaça, reforce com seus clientes a importância de backups offline.

          Bom dia a todos. Marcelloc  seria no caso eu bloquear as portas 139 e 445 tráfego entrante (WAN)  ?
          Outra coisa que pensei para máquinas que não estou conseguindo baixar a update KB4012212 foi desistalar o protocolo smb, pois, para máquinas que não necessitam disponibilizar na rede algum compartilhamento até então não tive problemas.

          1 Reply Last reply Reply Quote 0
          • marcellocM
            marcelloc
            last edited by

            Bloqueio da 139 e 445 saindo. A Wan já bloqueia por padrão qualquer coisa que não esteja explicitamente liberado, mas vai que um nat1:1 acabou publicando um serviço tão frágil quanto o NetBIOS.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • T
              ttercio
              last edited by

              @marcelloc:

              Bloqueio da 139 e 445 saindo. A Wan já bloqueia por padrão qualquer coisa que não esteja liberado, mas vai que um nat1:1 acabou publicando um serviço tão frágil quanto o NetBIOS.

              entendi … blz ... valews marcelloc

              1 Reply Last reply Reply Quote 0
              • andrezaomacA
                andrezaomac
                last edited by

                Não sei se estou enganado, mas acredito que um Snort bem configurado pode ajudar bastante na segurança da Rede.

                Consultoria em Servidores Linux/Windows.
                contato@andrenetwork.com.br

                Tecnólogo em Redes de Computadores.
                Bacharel em Sistemas da Informação.


                http://www.andrenetwork.com.br

                Limeira - SP

                1 Reply Last reply Reply Quote 0
                • T
                  ttercio
                  last edited by

                  @andrezaomac:

                  Não sei se estou enganado, mas acredito que um Snort bem configurado pode ajudar bastante na segurança da Rede.

                  também não sei, mas deve ter como sim, O snort tendo no banco de dados dele esse comportamento do exploit ele deverá notificar.

                  Exemplo esse link abaixo cita:

                  http://blog.talosintelligence.com/2017/05/wannacry.html

                  1 Reply Last reply Reply Quote 0
                  • marcellocM
                    marcelloc
                    last edited by

                    Pelo menos na versão incial do worm, a maquina que conseguisse resolver(ou acessar) esse dns, desarmava o worm.

                    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

                    Treinamentos de Elite: http://sys-squad.com

                    Help a community developer! ;D

                    1 Reply Last reply Reply Quote 0
                    • C
                      chipbr
                      last edited by

                      @marcelloc:

                      Pelo menos na versão incial do worm, a maquina que conseguisse resolver(ou acessar) esse dns, desarmava o worm.

                      iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

                      por isso que não é recomendável bloquear o acesso a este domínio.

                      1 Reply Last reply Reply Quote 0
                      • R
                        rlrobs
                        last edited by

                        To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

                        1 Reply Last reply Reply Quote 0
                        • V
                          vsaad
                          last edited by

                          @marcelloc:

                          Bloqueio da 139 e 445 saindo. A Wan já bloqueia por padrão qualquer coisa que não esteja explicitamente liberado, mas vai que um nat1:1 acabou publicando um serviço tão frágil quanto o NetBIOS.

                          dei patch em 90% das maquinas, mas seguranca nunca eh de mais.

                          No caso eu criei uma alias 445+135:139(Nomeei como NetBIOS), ta correto?

                          http://imgur.com/a/kGzZD

                          Para melhorar seria ideal incluir o range 52000 - 53000 nessa mesmo padrão de regra?

                          1 Reply Last reply Reply Quote 0
                          • marcellocM
                            marcelloc
                            last edited by

                            Se a sua Wan só tem essas que postou, então você já bloqueia qualquer tráfego entrante.

                            Confere a sua Lan também.

                            Treinamentos de Elite: http://sys-squad.com

                            Help a community developer! ;D

                            1 Reply Last reply Reply Quote 0
                            • andrezaomacA
                              andrezaomac
                              last edited by

                              @rlrobs:

                              To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

                              A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
                              .
                              SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.

                              Consultoria em Servidores Linux/Windows.
                              contato@andrenetwork.com.br

                              Tecnólogo em Redes de Computadores.
                              Bacharel em Sistemas da Informação.


                              http://www.andrenetwork.com.br

                              Limeira - SP

                              1 Reply Last reply Reply Quote 0
                              • danilosv.03D
                                danilosv.03
                                last edited by

                                @andrezaomac:

                                @rlrobs:

                                To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

                                A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
                                .
                                SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.

                                Onde exatamente eu encontro essa opção: GPLv2.community.rules


                                :)
                                |E-mail: danilosv.03@gmail.com
                                |Skype: danilosv.03


                                1 Reply Last reply Reply Quote 0
                                • andrezaomacA
                                  andrezaomac
                                  last edited by

                                  @danilosv.03:

                                  @andrezaomac:

                                  @rlrobs:

                                  To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

                                  A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
                                  .
                                  SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.

                                  Onde exatamente eu encontro essa opção: GPLv2.community.rules

                                  Em Global Setting ativa a opção Enable Snort GPLv2.

                                  De em atualizações, clique para atualizar as categorias, após a atualização estiver concluída com sucesso.
                                  Edite sua interface,  em Wan ou Lan Categoria, lá vc vai ativar a opção Snort GPLv2 Community Rules.

                                  Pronto.

                                  Consultoria em Servidores Linux/Windows.
                                  contato@andrenetwork.com.br

                                  Tecnólogo em Redes de Computadores.
                                  Bacharel em Sistemas da Informação.


                                  http://www.andrenetwork.com.br

                                  Limeira - SP

                                  1 Reply Last reply Reply Quote 0
                                  • A
                                    Andre Filho
                                    last edited by

                                    Global Sittings

                                    1 Reply Last reply Reply Quote 0
                                    • danilosv.03D
                                      danilosv.03
                                      last edited by

                                      Show de boa! Agora foi.


                                      :)
                                      |E-mail: danilosv.03@gmail.com
                                      |Skype: danilosv.03


                                      1 Reply Last reply Reply Quote 0
                                      • V
                                        vsaad
                                        last edited by

                                        @marcelloc:

                                        Se a sua Wan só tem essas que postou, então você já bloqueia qualquer tráfego entrante.

                                        Confere a sua Lan também.

                                        Na WAN:
                                        Tenho alguns NATs de RDP(uns 10) e VPN Windows (ISAKMP, PPTP, GRE, l2tp)

                                        Minha lan to acertando ainda, quero desativar a default allow da LAN, vou tentar fazer isso hoje. Seria o ideal eu adicionar mais algum bloqueio na lan?

                                        http://imgur.com/a/5FY0Q

                                        Mto obrigado Marcelloc!!

                                        EDIT: Ja desabilitei a regra Default LAN Allow

                                        1 Reply Last reply Reply Quote 0
                                        • V
                                          vsaad
                                          last edited by

                                          @andrezaomac:

                                          @rlrobs:

                                          To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

                                          A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
                                          .
                                          SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.

                                          Vou testar tambem, obrigado pela dica!!!

                                          1 Reply Last reply Reply Quote 0
                                          • M
                                            marcosmassa
                                            last edited by

                                            algumas boas praticas

                                            1 verifique os nats para sua rede local e tenha apenas o necessário, se possível até eles limitados filtrando a origem, incrivelmente já achei NAT permitindo porta 445 …

                                            2 desative contas guest e convidado em suas estações;

                                            3 desative o compartilhamento x$ das estações locais;

                                            4 usuário é usuário e não deve ter conta com poderes administrativos;

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.