WannaCry, como se proteger com PFsense?



  • Pessoal muito temos lido a respeito dos ataques do dia 12 de maio 2017, e sei que o "básico" da história já sabemos, mas a pergunta que não quer calar é: Como podemos nos proteger dessa praga a nível de Firewall? Resolvi abrir o tópico pois não vi nenhum post a respeito do mesmo e sabemos que é muito sério. A parte de instalar atualização + antivírus todos já sabemos. Segundo site que vou postar abaixo o worm usa o range de portas TCP 52000 - 53000 além de listar uns Ips que achei bem interessante adicionar nas blacklists. Fora isso Alguém tem mais alguma contribuição tanto do comportamento quanto de como um usuário de minha rede que tem apenas as portas de destino abertas 53, 80, 443, 3128 etc abertas??? Siricata será que detectaria ?

    Vamos la galera juntos somos mais fortes  8)
    Fonte
    http://www.oanalista.com.br/2017/05/14/ainda-nao-acabou-diz-jovem-de-22-anos-que-parou-a-propagacao-do-wannacry/



  • O bloqueio padrão de NetBIOS, tanto entrada quanto saída e o principal que garante continuidade frente a qualquer ameaça, reforce com seus clientes a importância de backups offline.



  • @marcelloc:

    O bloqueio padrão de NetBIOS, tanto entrada quanto saída e o principal que garante continuidade frente a qualquer ameaça, reforce com seus clientes a importância de backups offline.

    Bom dia a todos. Marcelloc  seria no caso eu bloquear as portas 139 e 445 tráfego entrante (WAN)  ?
    Outra coisa que pensei para máquinas que não estou conseguindo baixar a update KB4012212 foi desistalar o protocolo smb, pois, para máquinas que não necessitam disponibilizar na rede algum compartilhamento até então não tive problemas.



  • Bloqueio da 139 e 445 saindo. A Wan já bloqueia por padrão qualquer coisa que não esteja explicitamente liberado, mas vai que um nat1:1 acabou publicando um serviço tão frágil quanto o NetBIOS.



  • @marcelloc:

    Bloqueio da 139 e 445 saindo. A Wan já bloqueia por padrão qualquer coisa que não esteja liberado, mas vai que um nat1:1 acabou publicando um serviço tão frágil quanto o NetBIOS.

    entendi … blz ... valews marcelloc



  • Não sei se estou enganado, mas acredito que um Snort bem configurado pode ajudar bastante na segurança da Rede.



  • @andrezaomac:

    Não sei se estou enganado, mas acredito que um Snort bem configurado pode ajudar bastante na segurança da Rede.

    também não sei, mas deve ter como sim, O snort tendo no banco de dados dele esse comportamento do exploit ele deverá notificar.

    Exemplo esse link abaixo cita:

    http://blog.talosintelligence.com/2017/05/wannacry.html



  • Pelo menos na versão incial do worm, a maquina que conseguisse resolver(ou acessar) esse dns, desarmava o worm.

    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com



  • @marcelloc:

    Pelo menos na versão incial do worm, a maquina que conseguisse resolver(ou acessar) esse dns, desarmava o worm.

    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

    por isso que não é recomendável bloquear o acesso a este domínio.



  • To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.



  • @marcelloc:

    Bloqueio da 139 e 445 saindo. A Wan já bloqueia por padrão qualquer coisa que não esteja explicitamente liberado, mas vai que um nat1:1 acabou publicando um serviço tão frágil quanto o NetBIOS.

    dei patch em 90% das maquinas, mas seguranca nunca eh de mais.

    No caso eu criei uma alias 445+135:139(Nomeei como NetBIOS), ta correto?

    http://imgur.com/a/kGzZD

    Para melhorar seria ideal incluir o range 52000 - 53000 nessa mesmo padrão de regra?



  • Se a sua Wan só tem essas que postou, então você já bloqueia qualquer tráfego entrante.

    Confere a sua Lan também.



  • @rlrobs:

    To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

    A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
    .
    SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.



  • @andrezaomac:

    @rlrobs:

    To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

    A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
    .
    SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.

    Onde exatamente eu encontro essa opção: GPLv2.community.rules



  • @danilosv.03:

    @andrezaomac:

    @rlrobs:

    To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

    A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
    .
    SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.

    Onde exatamente eu encontro essa opção: GPLv2.community.rules

    Em Global Setting ativa a opção Enable Snort GPLv2.

    De em atualizações, clique para atualizar as categorias, após a atualização estiver concluída com sucesso.
    Edite sua interface,  em Wan ou Lan Categoria, lá vc vai ativar a opção Snort GPLv2 Community Rules.

    Pronto.



  • Global Sittings



  • Show de boa! Agora foi.



  • @marcelloc:

    Se a sua Wan só tem essas que postou, então você já bloqueia qualquer tráfego entrante.

    Confere a sua Lan também.

    Na WAN:
    Tenho alguns NATs de RDP(uns 10) e VPN Windows (ISAKMP, PPTP, GRE, l2tp)

    Minha lan to acertando ainda, quero desativar a default allow da LAN, vou tentar fazer isso hoje. Seria o ideal eu adicionar mais algum bloqueio na lan?

    http://imgur.com/a/5FY0Q

    Mto obrigado Marcelloc!!

    EDIT: Ja desabilitei a regra Default LAN Allow



  • @andrezaomac:

    @rlrobs:

    To usando as regras ET Exploits e ET Trojan. As duas tem assinaturas pro wannaCry.

    A regra do Snort GPLv2.community.rules  é muito boa também, eu estava analisando os SID, já tem proteção contra WannaCry.
    .
    SID: 42340 Descrição: Microsoft Windows SMB sessão anônima Acesso compartilhado IPC tentativa.

    Vou testar tambem, obrigado pela dica!!!



  • algumas boas praticas

    1 verifique os nats para sua rede local e tenha apenas o necessário, se possível até eles limitados filtrando a origem, incrivelmente já achei NAT permitindo porta 445 …

    2 desative contas guest e convidado em suas estações;

    3 desative o compartilhamento x$ das estações locais;

    4 usuário é usuário e não deve ter conta com poderes administrativos;



  • @marcosmassa:

    Usuário é usuário e não deve ter conta com poderes administrativos;

    Receita milenar de longevidade. É como trocar cigarros por palitos de cenoura. ;D