Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Duvida sobre Invasão log de entrada wan externa

    Portuguese
    5
    14
    4183
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      atsuma last edited by

      Oba Beleza!,

      Queria saber se tem como eu ver ou existe log de entrada da wan de acesso externo no firewall quando se tem uma nat, para um acesso interno remoto (RDP) na maquina da empresa, por que recentemente tivemos uma invasão e pessoa que entrou usou uma conta ainda não desativada que estava bem escondida no AD, mas no eventos da máquina no caso do servidor não mostra a wan e sim os acessos feitos localmente.

      1 Reply Last reply Reply Quote 0
      • marcelloc
        marcelloc last edited by

        Localmente de que ip?

        No firewall você não vai ter informação de que ip usou a conta, Se você não habilitou o log da regra, não vai ter nada no log.

        1 Reply Last reply Reply Quote 0
        • A
          atsuma last edited by

          oba marcelo!,

          então o que eu quero dizer é que o cara estava em casa ou na lan house, e queria saber se fica log de entrada dessa wan no firewall com a regra criada para acesso remoto na rede da empresa acessando a maquina com essa regra indicada pela NAT exemplo:

          estou em casa com a minha net de wan 189.134.335.46 e vou acessar o remoto da empresa onde eu trabalho 200.342.55.68 na minha maquina com nat para RDP.

          Queria saber se a wan 189.134.335.46 vai estar no log do pfsense de quando foi solicitada a permissão de regra liberada para o acesso remoto na máquina da empresa.

          só a wan externa de quem acesso eu quero saber se fica.

          1 Reply Last reply Reply Quote 0
          • L
            LFCavalcanti last edited by

            Então Atsuma, como o Marcelloc disse, se você havia ativado o LOG para essa regra de NAT que redireciona o acesso, sim, as conexões realizadas são mantidas em LOG. Então a primeira pergunta é: Você tinha essa opção ativada no momento da tal invasão?

            Outra coisa, não dá nem pra dizer que foi uma invasão, pois você deixou a porta do Servidor exposta na internet, é meio que um convite. Use VPN quando precisar liberar acesso remoto de usuários ou até seu a rede.

            1 Reply Last reply Reply Quote 0
            • A
              atsuma last edited by

              O problema é que não sou eu quem controla o firewall da empresa e sim uma empresa de fora.eles usam debian e consequentemente o squid,e pelo o que eu sei não dá para aplicar log de nada diretamente no squid ao debian porém eu presto serviço a essa empresa então no momento estou vendo a bagunça que está, a empresa liberou a porta padrão rdp em vez de colocar nat para outra…enfim, e VPN sem chance a empresa usa 2 Mbps, e om ad continua uma bagunça.O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.

              1 Reply Last reply Reply Quote 0
              • marcelloc
                marcelloc last edited by

                @atsuma:

                O que eu sei não dá para aplicar log de nada diretamente no squid ao debian.

                Procure a informação no log do windows, o squid não trata nada de nat para rdp.

                @atsuma:

                O usuário que entrou já sabia como funcionava lá e o dele estava dentro de 5 OU's com 3 usuários com acesso Domain admin.

                Aproveite e veja pelo quais são os outros domain admins e mude a porta do rdp no firewall.
                Com o rdp aberto e falta de atualização do windows, você fica exposto a vários tipos de ataque.

                Considere também mudar a empresa que toma conta do firewall, se quiser me mande uma mensagem em pvt.

                1 Reply Last reply Reply Quote 0
                • A
                  atsuma last edited by

                  No log do windows não pega a wan, só acesso interno.

                  no squid do debian eu já imaginava que não pegava, mas quando habilita o log da nat do pfsense para entrada  aparece normalmente a wan que foi acessada.

                  Em questão de mudar de empresa já estou colocando um pfsense lá, era só uma dúvida que eu tinha mesmo.

                  1 Reply Last reply Reply Quote 0
                  • C
                    comazzi last edited by

                    Atsuma,

                    Deixar a porta RDP aberta e redirecionada para um servidor windows não é a melhor prática de segurança (quanto menos portas de entrada abertas no seu firewall, melhor). O correto é você configurar uma VPN e acessar seus servidores dessa forma.

                    Deixar o seu Servidor Windows exposto dessa forma é receita para o desastre.

                    1 Reply Last reply Reply Quote 0
                    • marcelloc
                      marcelloc last edited by

                      @atsuma:

                      No log do windows não pega a wan, só acesso interno.

                      Então seu nat está pior ainda, deveria aparecer o ip externo, não o ip do firewall ou o do debian.

                      1 Reply Last reply Reply Quote 0
                      • L
                        LFCavalcanti last edited by

                        Olá!

                        Sei exatamente como o Atsuma se sente, hoje é complicado, muitas empresas implantam soluções "parciais" e quando o "bicho pega", a solução não da conta.
                        Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                        1 Reply Last reply Reply Quote 0
                        • marcelloc
                          marcelloc last edited by

                          @LFCavalcanti:

                          Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                          Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                          Em certos momentos, argumentos técnicos não são suficientes. :(

                          1 Reply Last reply Reply Quote 0
                          • L
                            LFCavalcanti last edited by

                            @marcelloc:

                            @LFCavalcanti:

                            Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                            Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                            Em certos momentos, argumentos técnicos não são suficientes. :(

                            Não são suficientes até que tudo pare de funcionar e precisem dos seus argumentos técnicos para resolver o problema.

                            Já ouviu falar no ditado que diz:
                            "Mulher de bandido gosta de apanhar."

                            1 Reply Last reply Reply Quote 0
                            • J
                              johnnybe last edited by

                              @marcelloc:

                              @LFCavalcanti:

                              Muitas vezes esses serviços são legados e há resistência da administração em trocar.

                              Entendo 100%, já vi casos em que o roteador com wifi foi melhor visto que o pfsense, já que era mais facil de configurar  :) em outra, até hoje o modem está em modo router, fazendo o nat para "dobrar" a segurança.

                              Em certos momentos, argumentos técnicos não são suficientes. :(

                              Pois é. Trata-se de uma relação custo/benefício. A maioria dos Empresários "parecem entender de custos" mas não percebem o Benefício. Para estes, Roteador WiFi com SPI Firewall habilitado é tão seguro quanto qualquer outra coisa. Estes caras não vão precisar chamar ninguém para nada mais, uma vez configurado. Triste realidade, apesar de eficiente em muitos casos.

                              1 Reply Last reply Reply Quote 0
                              • A
                                atsuma last edited by

                                Valeu aí quem contribui pela a pesquisa!

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post

                                Products

                                • Platform Overview
                                • TNSR
                                • pfSense
                                • Appliances

                                Services

                                • Training
                                • Professional Services

                                Support

                                • Subscription Plans
                                • Contact Support
                                • Product Lifecycle
                                • Documentation

                                News

                                • Media Coverage
                                • Press
                                • Events

                                Resources

                                • Blog
                                • FAQ
                                • Find a Partner
                                • Resource Library
                                • Security Information

                                Company

                                • About Us
                                • Careers
                                • Partners
                                • Contact Us
                                • Legal
                                Our Mission

                                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                Subscribe to our Newsletter

                                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                © 2021 Rubicon Communications, LLC | Privacy Policy