Escenario más seguro versus optimizado
-
Buenas tardes
llevo ya tiempo con mi pfsense alid y la verdad va de lujo pero el tema de logs e intentos de ataque a diario es ya demasiado pesado, habia pensado en quitar del adaptador wan el pppoe. y tener dos adaptadores con direccionamiento LAN, y que sea el router quien tenga la ip publica y aguante el primer nivel de ataques scaneo de puertos etc.
como lo veis?
-
Hola.
Lo lógico seria no poner al más debil delante en vanguardia, sino al más fuerte … Es solo una opinión, en cuanto a logs, imagino que monitorizar cierto tráfico en la wan se puede descartar, por ejemplo el icmp (ping, traceroute), creas una regla que filtre ese tráfico no deseado y no le das la opción de logSalu2
-
gracias por la info, hablas de crear una regla en la pata wan? por ejemplo me aparece mucho trafico cortado IPV porque lo tengo deshabilitado (no lo uso), sabes si se puede descartar que aparezaca este log de trafico IP v6?
-
Hola.
En la imagen adjunta se ve, simplemente no habilites log
Salu2
-
ok
pero como tengo la otra opcion donde cortar el trafico v6
el trafico sigue apareciendo logado en los logs, probare a quitar esa opcion.he metido otras reglas de bloqueo como una para RDP y SSH bloquedas en WAN y sin logear.
que más se te ocurren?
gracias
-
Hola.
Que deshabilites IPv6 en System: Advanced: Networking , no quiere decir que no te aparezca en los logs debido a la default deny/block rule. Mira lo que dice pfSense para deshabilitar logs:https://doc.pfsense.org/index.php/Firewall_Logs#Disable_Default_Block_Logging
To disable logging of blocked packets from the default deny rule, go to to Status > System Logs, Settings tab, then uncheck Log packets blocked by the default rule and Click Save.
Ver img
Salu2
-
de momento deshabilare esas tres y la cosa mejorara, hice una prueba en su momento y la primera la deshailite pero no me funciono .
gracias por la ayuda,
-
ahora no tengo tanto trafico de logs,
conoces algun produto donde almacenar esos logs y tener graficas estadisticas etc. tu sabes haciendo de syslog y mandado todos los valores a esa ip.
gracias
-
Hola.
Existen servidores de rsyslog (remote syslog)
http://www.javcasta.com/blog/rsyslog-servidor-de-logs-remoto-en-debian-con-mysql/Suelen trabajar escuchando en el puerto UDP514, pero esto es configurable.
En el lado del cliente (pfSense) en el menú Status: System logs: Settings > Remote Logging Options
Se configuraria el servidor (ip) y lo que se desea enviar de logs
http://www.javcasta.com/blog/cambiar-puerto-por-defecto-udp514-del-cliente-rsyslog-en-pfsense-2-02/Salu2
-
yaya eso lo sabemos, es si sabias de algun producto que te de la misma info pero via web, en el propio syslogs con base de datos etc , es demasiada info para manejarse.
gracias
-
Hola.
Hay un paquete disponible en pfSense: el Syslog-ng
https://syslog-ng.org/
https://www.balabit.com/network-security/syslog-ngDispone de versión open-source y comercial. Parece que tiene buena pinta.
–- añadido ---
El syslog-ng trae un cliente windows en su edición premium (de pago)
Para algo free, acabo de probar kiwi-syslog-server , que trae un cliente para winhttp://www.kiwisyslog.com/products/kiwi-syslog-server/product-overview.aspx
Parece bastante aceptable.
Acabo de probar
Salu2
