Tentativas de invasão na rede da empresa

espanholeto
(usa Ubuntu)

Enviado em 17/03/2016 - 12:48h

Amigos, estou com um problema sério na empresa. Estamos sendo alvo de ataques insistentes partindo de servidores externos e de máquinas que foram infectadas em nossa rede. Usei todos os recursos que o nosso roteador (TP-LINK R470T+) oferece e por enquanto estamos conseguindo nos safar. A maioria dos ataques são ARP attack, syn flood, udp flood, ip packets. Consegui identificar algumas máquinas contaminadas nas quais instalei Linux, outros usuários simplesmente não deixaram trocar o Ruindows. Um deles era do financeiro e pasmem os senhores: A diretoria apoiou esse usuário.
Sugeri a compra de um Mikrotik configurado como firewall (RB750-2), porém a diretoria não quis pagar para um terceiro configurá-lo e eu não entendo nada sobre este equipamento.
Alguém tem alguma sugestão??
Se conseguirem invadir nossa rede já sabem de quem vai ser a culpa né?

Buckminster
(usa Debian)

Enviado em 17/03/2016 - 12:59h

Instala uma máquina com Linux e configura o Iptables (firewall).

Sabe como fazer ou nem tem idéia?

Qual tua disponibilidade de máquina (orçamento)?

removido
(usa Nenhuma)

Enviado em 17/03/2016 - 13:00h

Eu investiria tempo estudando o Snort e integraria ao pfSense. O pfSense seria meu firewall de borda.

https://www.vivaolinux.com.br/artigo/Snort-avancado-Projetando-um-perimetro-seguro

andr3ribeiro
(usa Arch Linux)

Enviado em 17/03/2016 - 13:21h

+ 10000!1

espanholeto
(usa Ubuntu)

Enviado em 25/04/2016 - 15:08h

Cara, já fiz algumas configurações no Zone Alarm e Comodo, mas isso é prá um único PC não para uma rede. Meu roteador também foi configurado com a máxima proteção e até que tem aguentado, mas não sei até quando uma vez que as tentativas de invasão têm sido diárias.

Quanto ao orçamento: ZERO nem pensar. Prá diretoria TI é custo não é investimento.

espanholeto
(usa Ubuntu)

Enviado em 25/04/2016 - 15:25h

Me indicaram o IPFire, IPCop e Untangle também. O Snort nunca ouvi falar. O que eu preciso de imediato é de uma solução que seja fácil e rapidamente configurável para quem é iniciante em segurança da informação, uma vez que meu amigo hacker está se dedicando diariamente a me f***r!!

CarlosAdriano
(usa Nenhuma)

Enviado em 25/04/2016 - 16:22h

Entendo bem pouco do assunto.

Mas dependendo da origem do ataque, talvez modificar windows para linux,
Sera que vai realmente agregar tanto assim em algo?

Visando que provavelmente deve ter uma equipe totalmente inexperiente em linux?
E que os mesmos habitos que eles possuiam no windows, devem acabar tendo no linux ?

Alem do mais, dependendo da origem do ataque, os invasores sempre irao procurar um meio para acessar a rede.
Nao seria mais eficaz descobrir qual a porta de entrada esta dando acesso a estes invasores?


Estas perguntas sao so pra refletir mesmo.
Desculpe a acentuacao, estou em um live cd no momento.

__________________________________________
Quer aprender mais sobre Linux ?
http://www.guiafoca.org/

Confia no SENHOR de todo o teu coração, e não te estribes no teu próprio entendimento.
(Provérbios 3:5)

R3nan
(usa Debian)

Enviado em 25/04/2016 - 16:28h

o que te leva a crer que esta sofrendo ataques ?

espanholeto
(usa Ubuntu)

Enviado em 25/04/2016 - 17:09h

Renan, monitoro os logs do roteador e os mesmos emitem alertas sobre tentativas de invasão.

espanholeto
(usa Ubuntu)

Enviado em 25/04/2016 - 17:14h

Sugeri o Linux por ser a melhor relação custo x benefício para a empresa, Com exceção da área de engenharia os outros usuários utilizam ferramentas mais do que triviais que independem do sistema operacional. Obviamente apenas esta mudança não solucionaria o problema, mas certamente nos daria menos dores de cabeça com relação a segurança, malwares, adwares, etc...

Obrigado pela contribuição Carlos.

vchacal
(usa Debian)

Enviado em 25/04/2016 - 17:24h

Eu seguiria essa dica Buckminster sobre o iptables. Assim quem receberia as pancadas da rede é o firewall iptables e não seu roteador.
De prima, o investimento seria uma maquina e umas placas de rede "imagino que na sua empresa tem".

Internet -> Roteador -> IPtables -> Rede interna

Futuramente um proxy com squid.


PfSense é legal, tive uma experiencia com ele e funciona. Mais eu não gosto da ideia de ficar preso em um produto que fica em cima de um SO que eu não conheço mto bem. Alem do mais, todas as vezes que tive duvidas sobre, nunca tive ajuda no forum deles ... se pagar tem, mais meu orçamento é zero tmb.

Isso não eliminaria o problema certo? As estações continuariam arrebentando ai kkkkkkk.
Por mais que vc tenha colocado linux. A empresa investiu nas licenças (Windows e Office), acho que não é vantagem se desfazer disso. Neste caso, acho que vc vai ter que ir de maquina em maquina realizar uma limpa ... principalmente naquelas que vc já conseguiu identificar anomalias.