Buenas! Bem Joaquim,
Acho que os colegas que lhe enviaram respostas foram bem felizes e abrangentes em seus posts. Neste sentido, adicionalmente as dicas que já foram lhe enviadas, gostaria de ressaltar alguns outros aspectos importantíssimos neste seu case: * De nada adianta o seu pfSense estar recheado se filtros e programas de análise de pacotes (de camada 3 e 7) se você tem regras em "Firewall->Rules->Lan" permissivas. Em outras palavras, veja se você não tem nenhuma regra que libera um PC ou grupo de máquinas para fazer acesso irrestrito a web; * Prefira usar Squid Autenticado ao invés de Transparent (aí você pode exigir que conexões HTTPS passem por dentro do Proxy, como ilustrou o colega Neriberto); * Verifique em "https://ip_do_seu_pfSense/diag_logs_filter_dynamic.php"; qual é a estação que está gerando conexão ao site reclamante; * Em redes Windows, utilize um bom antivírus corporativo (lembre-se: antivírus crackeado ou desatualizado, é como "transar com camisinha de crochê"... é meramente ilustrativo); * Implemente *SEMPRE* um firewall do tipo PRUDENTE, ou seja, tudo que não estiver explicitamente liberado em "Firewall->Rules" DEVE estar bloqueado por default. * O Snort é show de bola, mas é preciso ser bem configurado e implementado em um "hardware não modesto" - principalmente em redes maiores - do contrário o resultado pode ser pior do que se ele não estivesse instalado. Good Luck! Abraços! Jack De: Neriberto Caetano do Prado Enviada em: segunda-feira, 26 de dezembro de 2011 19:50 Para: Lista em Português sobre pfSense Assunto: Re: [Pfsense-pt] Ataque partindo de minha rede o que fazer Amigo se eles estão fazendo ataques do tipo SQL Injection, ou invadiram algum servidor interno seu,... pode ser Botnet, outra coisa, pelo menos para o ataque (pelo que consta no email...) está saindo por HTTP, coisas pra se fazer caso ainda não tenha feito: Instalar o Squid Instalar o Lightsquid Proibir conexões a HTTP e HTTPS sem passar pelo Squid, na verdade liberar acesso somente a serviços necessários como POP e SMTP Se possível use o Squid com autenticação, para um Bot conseguir atacar um site sem acesso direto a internet, somente pelo teu proxy ele teria que ter um usuário e senha para fazer isto, se for Botnet usada por Brasileiros, provavelmente o Bot está se conectando em algum servidor IRC, se a Bot trabalha em P2P ou HTTP duvido que seja de Brasileiros, ah não que tenham comprado/alugado a Bot... Teste seu firewall tenha certeza que os micros da sua rede não consigam acessar redes com a do TOR e proxys Instale o Snort Por isto prefiro bloquear todos os sites e liberar somente os necessários. Verifique os gráficos de consumo de banda, procure por horários, se durante o expediente somente é uma das estações de trabalho que esta infectada. []s. Neriberto Caetano do Prado http://about.me/neriberto Em 26 de dezembro de 2011 19:36, Brivaldo Junior <[email protected]> escreveu: Snort... o próprio pfSense tem ele.. só instalar e ativar.. ele vai te mostrar quem está gerando este alerta pra ele. Abraços, Brivaldo Jr Em 26 de dezembro de 2011 17:35, Luiz Gustavo S. Costa <[email protected]> escreveu: Você já tem o NTOP pelo o que você falou, essa já é uma ótima ferramenta de analise de hosts na rede. Outras formas de fazer isso seria usando uma investigação com ferramentas de monitormento de rede, além do NTOP, tcpdump, pftop Espero que ajude. Abraços Em 26 de dezembro de 2011 18:29, <[email protected]> escreveu: > > Aqui na nossa rede usamos o Pfsense 2.0.1 com squid lightsquid e ntop > > Recentemente, fui informado que pelo administrador de um Site externo que o > mesmo estava sofrendo ataques vindo de uma maquina interna de minha rede. > Em atenção ao seu e-mail informamos a V.Sª que o endereço IP desta > instituição encontra-se bloqueado em função de estar realizando um > ataque do tipo "HTTP.URI.SQL.Injection" . > > Bem sou novo nesta coisa de Firewall ate pouco tempo só administrava Samba e > servidor Apache, e não tenho ideía de como localizar a maquina que esta > fazendo os ataques. > > Agradeço a quêm poder me informar o caminho das pedras..... _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
