Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Duvida sobre Invasão log de entrada wan externa

    Scheduled Pinned Locked Moved Portuguese
    14 Posts 5 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      atsuma
      last edited by

      Oba Beleza!,

      Queria saber se tem como eu ver ou existe log de entrada da wan de acesso externo no firewall quando se tem uma nat, para um acesso interno remoto (RDP) na maquina da empresa, por que recentemente tivemos uma invasão e pessoa que entrou usou uma conta ainda não desativada que estava bem escondida no AD, mas no eventos da máquina no caso do servidor não mostra a wan e sim os acessos feitos localmente.

      1 Reply Last reply Reply Quote 0
      • marcellocM
        marcelloc
        last edited by

        Localmente de que ip?

        No firewall você não vai ter informação de que ip usou a conta, Se você não habilitou o log da regra, não vai ter nada no log.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • A
          atsuma
          last edited by

          oba marcelo!,

          então o que eu quero dizer é que o cara estava em casa ou na lan house, e queria saber se fica log de entrada dessa wan no firewall com a regra criada para acesso remoto na rede da empresa acessando a maquina com essa regra indicada pela NAT exemplo:

          estou em casa com a minha net de wan 189.134.335.46 e vou acessar o remoto da empresa onde eu trabalho 200.342.55.68 na minha maquina com nat para RDP.

          Queria saber se a wan 189.134.335.46 vai estar no log do pfsense de quando foi solicitada a permissão de regra liberada para o acesso remoto na máquina da empresa.

          só a wan externa de quem acesso eu quero saber se fica.

          1 Reply Last reply Reply Quote 0
          • L
            LFCavalcanti
            last edited by

            Então Atsuma, como o Marcelloc disse, se você havia ativado o LOG para essa regra de NAT que redireciona o acesso, sim, as conexões realizadas são mantidas em LOG. Então a primeira pergunta é: Você tinha essa opção ativada no momento da tal invasão?

            Outra coisa, não dá nem pra dizer que foi uma invasão, pois você deixou a porta do Servidor exposta na internet, é meio que um convite. Use VPN quando precisar liberar acesso remoto de usuários ou até seu a rede.

            –

            Luiz Fernando Cavalcanti
            IT Manager
            Arriviera Technology Group

            1 Reply Last reply Reply Quote 0
            • A
              atsuma
              last edited by

              O problema é que não sou eu quem controla o firewall da empresa e sim uma empresa de fora.eles usam debian e consequentemente o squid,e pelo o que eu sei não dá para aplicar log de nada diretamente no squid ao debian porém eu presto serviço a essa empresa então no momento estou vendo a bagunça que está, a empresa liberou a porta padrão rdp em vez de colocar nat para outra…enfim, e VPN sem chance a empresa usa 2 Mbps, e om ad continua uma bagunça.O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.

              1 Reply Last reply Reply Quote 0
              • marcellocM
                marcelloc
                last edited by

                @atsuma:

                O que eu sei não dá para aplicar log de nada diretamente no squid ao debian.

                Procure a informação no log do windows, o squid não trata nada de nat para rdp.

                @atsuma:

                O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.

                Aproveite e veja pelo quais são os outros domain admins e mude a porta do rdp no firewall.
                Com o rdp aberto e falta de atualização do windows, você fica exposto a vários tipos de ataque.

                Considere também mudar a empresa que toma conta do firewall, se quiser me mande uma mensagem em pvt.

                Treinamentos de Elite: http://sys-squad.com

                Help a community developer! ;D

                1 Reply Last reply Reply Quote 0
                • A
                  atsuma
                  last edited by

                  No log do windows não pega a wan, só acesso interno.

                  no squid do debian eu já imaginava que não pegava, mas quando habilita o log da nat do pfsense para entrada  aparece normalmente a wan que foi acessada.

                  Em questão de mudar de empresa já estou colocando um pfsense lá, era só uma dúvida que eu tinha mesmo.

                  1 Reply Last reply Reply Quote 0
                  • C
                    comazzi
                    last edited by

                    Atsuma,

                    Deixar a porta RDP aberta e redirecionada para um servidor windows não é a melhor prática de segurança (quanto menos portas de entrada abertas no seu firewall, melhor). O correto é você configurar uma VPN e acessar seus servidores dessa forma.

                    Deixar o seu Servidor Windows exposto dessa forma é receita para o desastre.

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @atsuma:

                      No log do windows não pega a wan, só acesso interno.

                      Então seu nat está pior ainda, deveria aparecer o ip externo, não o ip do firewall ou o do debian.

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • L
                        LFCavalcanti
                        last edited by

                        Olá!

                        Sei exatamente como o Atsuma se sente, hoje é complicado, muitas empresas implantam soluções "parciais" e quando o "bicho pega", a solução não da conta.
                        Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                        –

                        Luiz Fernando Cavalcanti
                        IT Manager
                        Arriviera Technology Group

                        1 Reply Last reply Reply Quote 0
                        • marcellocM
                          marcelloc
                          last edited by

                          @LFCavalcanti:

                          Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                          Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                          Em certos momentos, argumentos técnicos não são suficientes. :(

                          Treinamentos de Elite: http://sys-squad.com

                          Help a community developer! ;D

                          1 Reply Last reply Reply Quote 0
                          • L
                            LFCavalcanti
                            last edited by

                            @marcelloc:

                            @LFCavalcanti:

                            Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                            Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                            Em certos momentos, argumentos técnicos não são suficientes. :(

                            Não são suficientes até que tudo pare de funcionar e precisem dos seus argumentos técnicos para resolver o problema.

                            Já ouviu falar no ditado que diz:
                            "Mulher de bandido gosta de apanhar."

                            –

                            Luiz Fernando Cavalcanti
                            IT Manager
                            Arriviera Technology Group

                            1 Reply Last reply Reply Quote 0
                            • J
                              johnnybe
                              last edited by

                              @marcelloc:

                              @LFCavalcanti:

                              Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                              Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                              Em certos momentos, argumentos técnicos não são suficientes. :(

                              Pois é. Trata-se de uma relação custo/benefício. A maioria dos Empresários "parecem entender de custos" mas não percebem o Benefício. Para estes, Roteador WiFi com SPI Firewall habilitado é tão seguro quanto qualquer outra coisa. Estes caras não vão precisar chamar ninguém para nada mais, uma vez configurado. Triste realidade, apesar de eficiente em muitos casos.

                              you would not believe the view up here

                              1 Reply Last reply Reply Quote 0
                              • A
                                atsuma
                                last edited by

                                Valeu aí quem contribui pela a pesquisa!

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.