Ajuda com Ataque



  • Boa tarde! Estou precisando de uma ajudinha numa situação que está ocorrendo aqui na empresa.
    Usamos o pfSene como firewall e para fazer NAT para alguns TS.
    Tenho o pfBlocker instalado e bloqueando o inbound de todos os continentes, exceto América do Norte pois usamos vários serviços da Amazon, Microsoft e Google que correriam risco de parar se eu bloqueasse e também sem bloquear o Brasil.
    A situação que ocorre é que desde o dia 04/01 tem alguém tentando entrar em um dos meus TS. Ciclicamente ele usa uma lista de usuários e tenta fazer login, mas não consegue quebrar a senha pois os usuários estão desativados no AD ou sequer existem.
    Estou tentando filtrar os logs do firewall para achar os IPs que estão passando pelo pfBlocker, mas acontece que não consigo registrar esses acessos.
    Está claro que os IPs que estão sento usados para o ataque são ou do Brasil ou da America do Norte, mas não consigo saber quais IPs bloquear.
    Gostaria então de uma ajuda para conseguir encontrar esses endereços que estão sendo usados.
    Agradeço desde já



  • Nos logs do seu firewall pfsense não tem nada registrando ?

    Confira o horário nos logs de segurança do seu server e monitore. Eu faria isso, nem que rolasse a madrugada rs.

    Estou usando o Snort no Pfsense e está me atendendo legal, é muito chato para configurar e adequar, mas no final a segurança fica excelente.



  • Opa! Boa tarde!
    Infelizmente não! Eu tento acompanhar Status > System Logs > Logs do Firewall > Dinâmico e coloco o ip de destino a máquina em questão, mas não aparece nada.
    Estou conseguindo bloquear alguns IPs monitorando o Log de Sistema da máquina em questão. Depois de algumas tentativas de logon sem sucesso, o Windows registra um Evento TermDD e registra o IP do fulano e então eu bloqueio ele.
    Mas é cíclico a coisa. Pela manhã eu sempre consigo bloquear uns 4 IPs e então os ataques cessam. O problema é que ao final do dia eles voltam com outros IPs, provavelmente de máquinas infectadas pelo mundo afora.
    Estive procurando algum software que me mostrasse todos os IPs que acessam essa estação, mas até agora não achei nada útil.
    Por enquanto, sigo aqui bloqueando tudo que encontro na esperança que ele se canse.



  • @arionmarques amigo seu pfsense realmente está na borda, no caso é ele que autentica no PPPoE ou recebe a internet diretamente nele, ip publico e etc?
    O pfsense tem de mostrar que está bloqueando.

    Qual versão desse server Windows Referido ? só para entender um pouco sua estrutura. Voce tem alguma liberação para esse server Windows de fora para dentro ? Caso sim tente trocar a porta padrão de acesso, eu mesmo nunca uso portar padrão para acessos externos.



  • @arionmarques Um conselho!!!! Desative esse NAT para RDP, e use por VPN!!!! com esse tipo de ataque vc não terá problemas!!

    Evite ao máximo de abrir Portas na WAN... sempre que possível utilize VPN.



  • @andrezaomac Essa é a minha preferência justamente pelas questões de segurança.
    Mas acontece que por opção da empresa, preciso utilizar a NAT. Temos em torno de 20 pessoas acessando essa porta, e eles acham trabalhoso demais configurar todos os usuários. Eu particularmente já estou tendo trabalho tendo que rastrear IP todos os dias e bloquear manualmente, mas não sou eu quem decide.



  • @andrezaomac Com certeza a VPN é muito mais segura.



  • @arionmarques Amigo você pode propor isso, vai mudando gradativamente, dá um trabalho bom para deixar ok, mas a segurança é outra, sem falar na dor de cabeça que pode ter.
    Conseguiu descobrir como ver os ips que estão tentando acesso ao server via logs do firewall do Pfsense ? Eu acredito que não estão aparecendo pois justamente o Firewall está deixando passar por não considerar uma ameaça pois está acessando uma porta liberada.

    Tenta trocar essa porta de acesso externa para outra para ver se acaba com isso, deixar padrão é tenso.



  • @arionmarques É complicado!!! Porem acho que é segurança sempre é em primeiro plano!! Mas em todo caso, faz como o amigo já citou, mude a porta externa... não deixe padrão!!! coloque portas mais alta, e crei uma politica de trocar essa porta 1x a cada mês.!!!