Configuración para ataque externo



  • Buenas Con todos

    Deseo saber cual configuración es las más recomendable para el pfsense contra ataques externo.
    Que me recomiendan.
    Ya que deseo simular ataque externo y obtener los datos del mismo para una estadistica.

    Saludos
    Carlos


  • Rebel Alliance



  • @ptt:

    ???

    Define "Ataque Externo"

    https://forum.pfsense.org/index.php?topic=23265.0

    Me refiero como ataque externo, a algun intruso quiere ingresar a mi red LAN. Y deseo saber que configuracion es la mas adecuada o debo dejarlo por defecto.

    pdta. Recién comienzo a indagar el pfsense.


  • Rebel Alliance

    Por "default" pfSense no permite tráfico "Entrante" desde el "Lado WAN" (WAN –> LAN)

    Si recién "comienzas con pfSense" una "visita" a la "Documentación Oficial" no es mala idea ;)

    Además del material de Lectura disponible allí, cuentas con los   Videos de los "Hangouts"



  • Adicional a lo que te recomienda el Amigo ptt,  ten en cuenta lo siguiente:

    Pfsense como otro firewall (fortinet, asa, juniper etc) De forma default no dejan permitir el acceso desde la wan hacia la LAN.

    Ahora cuando tu empiezas a permitir por ejemplo el tipico NAT basico por el puerto 80 al servidor WEB de la pagina de la empresa, alli entra el dilema…..

    Permitir únicamente la entrada al puerto 80 en un firewall no te brinda seguridad si no tienes un IPS activo (snort o suricata).

    Ya que tener un Firewall sin IPS, es como en un Banco no tener para la Boveda: Cámara de seguridad y vigilante.  Por que? por que yo puedo tener acceso a la boveda (puerto 80) , pero si no se tienen camaras o vigilante (IPS) , yo puedo ingresar a la boveda con alguien mas, es decir acompañado (intento de ataque o tipo de ataque).

    Adicional debes parametrizar el tiempo de las conexiones para mas que detener, es "aguantar" cualquier denegación de Servicio.  Aunque esta ultima es mas responsabilidad de los Proveedores de Internet (ISP) una novela sin fin ese debate con ellos.

    En resumen: lee sobre IPS-IDS (snort o suricata) con Pfsense

    Y eso:  http://pfsensesetup.com/syn-flood-prevention-in-pfsense/



  • Yo eh estado utilizando PfBlocker y me ha funcionado de maravilla.
    Si tienes servicios abiertos al exterior, puedes bloquear por regiones/paises, segmentos de red, etc con pfblocker



  • Saludos, como comenta j.sejo1 el ataque iría directamente a los servicios que publiques, si vas a hacer explotacion de servicios por ejemplo brute force al RDP, puedes usar el IPS/IDS, también suma el hecho de usar pFblocker, y tambien seria bueno usar DNSBL, si vas a hacer un payload que realice una conexión externa para descargar algun tipo de malware.