Tentativas de invasão na rede da empresa

1. Tentativas de invasão na rede da empresa

Marco
espanholeto

(usa Ubuntu)

Enviado em 17/03/2016 - 12:48h

Amigos, estou com um problema sério na empresa. Estamos sendo alvo de ataques insistentes partindo de servidores externos e de máquinas que foram infectadas em nossa rede. Usei todos os recursos que o nosso roteador (TP-LINK R470T+) oferece e por enquanto estamos conseguindo nos safar. A maioria dos ataques são ARP attack, syn flood, udp flood, ip packets. Consegui identificar algumas máquinas contaminadas nas quais instalei Linux, outros usuários simplesmente não deixaram trocar o Ruindows. Um deles era do financeiro e pasmem os senhores: A diretoria apoiou esse usuário.
Sugeri a compra de um Mikrotik configurado como firewall (RB750-2), porém a diretoria não quis pagar para um terceiro configurá-lo e eu não entendo nada sobre este equipamento.
Alguém tem alguma sugestão??
Se conseguirem invadir nossa rede já sabem de quem vai ser a culpa né?



  


2. Re: Tentativas de invasão na rede da empresa

Buckminster
Buckminster

(usa Debian)

Enviado em 17/03/2016 - 12:59h

Instala uma máquina com Linux e configura o Iptables (firewall).

Sabe como fazer ou nem tem idéia?

Qual tua disponibilidade de máquina (orçamento)?


3. Re: Tentativas de invasão na rede da empresa

Perfil removido
removido

(usa Nenhuma)

Enviado em 17/03/2016 - 13:00h

Eu investiria tempo estudando o Snort e integraria ao pfSense. O pfSense seria meu firewall de borda.

https://www.vivaolinux.com.br/artigo/Snort-avancado-Projetando-um-perimetro-seguro


4. Re: Tentativas de invasão na rede da empresa

Andre Ribeiro da Costa
andr3ribeiro

(usa Arch Linux)

Enviado em 17/03/2016 - 13:21h

amarildosertorio escreveu:

Eu investiria tempo estudando o Snort e integraria ao pfSense. O pfSense seria meu firewall de borda.

https://www.vivaolinux.com.br/artigo/Snort-avancado-Projetando-um-perimetro-seguro


+ 10000!1


5. Re: Tentativas de invasão na rede da empresa

Marco
espanholeto

(usa Ubuntu)

Enviado em 25/04/2016 - 15:08h

Buckminster escreveu:

Instala uma máquina com Linux e configura o Iptables (firewall).

Sabe como fazer ou nem tem idéia?

Qual tua disponibilidade de máquina (orçamento)?


Cara, já fiz algumas configurações no Zone Alarm e Comodo, mas isso é prá um único PC não para uma rede. Meu roteador também foi configurado com a máxima proteção e até que tem aguentado, mas não sei até quando uma vez que as tentativas de invasão têm sido diárias.

Quanto ao orçamento: ZERO nem pensar. Prá diretoria TI é custo não é investimento.


6. Re: Tentativas de invasão na rede da empresa

Marco
espanholeto

(usa Ubuntu)

Enviado em 25/04/2016 - 15:25h

amarildosertorio escreveu:

Eu investiria tempo estudando o Snort e integraria ao pfSense. O pfSense seria meu firewall de borda.

https://www.vivaolinux.com.br/artigo/Snort-avancado-Projetando-um-perimetro-seguro


Me indicaram o IPFire, IPCop e Untangle também. O Snort nunca ouvi falar. O que eu preciso de imediato é de uma solução que seja fácil e rapidamente configurável para quem é iniciante em segurança da informação, uma vez que meu amigo hacker está se dedicando diariamente a me f***r!!




7. Re: Tentativas de invasão na rede da empresa

Carlos Adriano
CarlosAdriano

(usa Nenhuma)

Enviado em 25/04/2016 - 16:22h

Entendo bem pouco do assunto.

Mas dependendo da origem do ataque, talvez modificar windows para linux,
Sera que vai realmente agregar tanto assim em algo?

Visando que provavelmente deve ter uma equipe totalmente inexperiente em linux?
E que os mesmos habitos que eles possuiam no windows, devem acabar tendo no linux ?

Alem do mais, dependendo da origem do ataque, os invasores sempre irao procurar um meio para acessar a rede.
Nao seria mais eficaz descobrir qual a porta de entrada esta dando acesso a estes invasores?


Estas perguntas sao so pra refletir mesmo.
Desculpe a acentuacao, estou em um live cd no momento.

__________________________________________
Quer aprender mais sobre Linux ?
http://www.guiafoca.org/

Confia no SENHOR de todo o teu coração, e não te estribes no teu próprio entendimento.
(Provérbios 3:5)


8. Re: Tentativas de invasão na rede da empresa

Renan Arantes
R3nan

(usa Debian)

Enviado em 25/04/2016 - 16:28h

espanholeto escreveu:

Amigos, estou com um problema sério na empresa. Estamos sendo alvo de ataques insistentes partindo de servidores externos e de máquinas que foram infectadas em nossa rede. Usei todos os recursos que o nosso roteador (TP-LINK R470T+) oferece e por enquanto estamos conseguindo nos safar. A maioria dos ataques são ARP attack, syn flood, udp flood, ip packets. Consegui identificar algumas máquinas contaminadas nas quais instalei Linux, outros usuários simplesmente não deixaram trocar o Ruindows. Um deles era do financeiro e pasmem os senhores: A diretoria apoiou esse usuário.
Sugeri a compra de um Mikrotik configurado como firewall (RB750-2), porém a diretoria não quis pagar para um terceiro configurá-lo e eu não entendo nada sobre este equipamento.
Alguém tem alguma sugestão??
Se conseguirem invadir nossa rede já sabem de quem vai ser a culpa né?


o que te leva a crer que esta sofrendo ataques ?


9. Re: Tentativas de invasão na rede da empresa

Marco
espanholeto

(usa Ubuntu)

Enviado em 25/04/2016 - 17:09h

R3nan escreveu:

espanholeto escreveu:

Amigos, estou com um problema sério na empresa. Estamos sendo alvo de ataques insistentes partindo de servidores externos e de máquinas que foram infectadas em nossa rede. Usei todos os recursos que o nosso roteador (TP-LINK R470T+) oferece e por enquanto estamos conseguindo nos safar. A maioria dos ataques são ARP attack, syn flood, udp flood, ip packets. Consegui identificar algumas máquinas contaminadas nas quais instalei Linux, outros usuários simplesmente não deixaram trocar o Ruindows. Um deles era do financeiro e pasmem os senhores: A diretoria apoiou esse usuário.
Sugeri a compra de um Mikrotik configurado como firewall (RB750-2), porém a diretoria não quis pagar para um terceiro configurá-lo e eu não entendo nada sobre este equipamento.
Alguém tem alguma sugestão??
Se conseguirem invadir nossa rede já sabem de quem vai ser a culpa né?


o que te leva a crer que esta sofrendo ataques ?


Renan, monitoro os logs do roteador e os mesmos emitem alertas sobre tentativas de invasão.



10. Re: Tentativas de invasão na rede da empresa

Marco
espanholeto

(usa Ubuntu)

Enviado em 25/04/2016 - 17:14h

carlosadriano escreveu:

Entendo bem pouco do assunto.

Mas dependendo da origem do ataque, talvez modificar windows para linux,
Sera que vai realmente agregar tanto assim em algo?

Visando que provavelmente deve ter uma equipe totalmente inexperiente em linux?
E que os mesmos habitos que eles possuiam no windows, devem acabar tendo no linux ?

Alem do mais, dependendo da origem do ataque, os invasores sempre irao procurar um meio para acessar a rede.
Nao seria mais eficaz descobrir qual a porta de entrada esta dando acesso a estes invasores?


Estas perguntas sao so pra refletir mesmo.
Desculpe a acentuacao, estou em um live cd no momento.

__________________________________________
Quer aprender mais sobre Linux ?
http://www.guiafoca.org/

Confia no SENHOR de todo o teu coração, e não te estribes no teu próprio entendimento.
(Provérbios 3:5)



Sugeri o Linux por ser a melhor relação custo x benefício para a empresa, Com exceção da área de engenharia os outros usuários utilizam ferramentas mais do que triviais que independem do sistema operacional. Obviamente apenas esta mudança não solucionaria o problema, mas certamente nos daria menos dores de cabeça com relação a segurança, malwares, adwares, etc...

Obrigado pela contribuição Carlos.


11. Re: Tentativas de invasão na rede da empresa

Eduardo Campacci
Campacci

(usa Fedora)

Enviado em 25/04/2016 - 17:24h

Eu seguiria essa dica Buckminster sobre o iptables. Assim quem receberia as pancadas da rede é o firewall iptables e não seu roteador.
De prima, o investimento seria uma maquina e umas placas de rede "imagino que na sua empresa tem".

Internet -> Roteador -> IPtables -> Rede interna

Futuramente um proxy com squid.


PfSense é legal, tive uma experiencia com ele e funciona. Mais eu não gosto da ideia de ficar preso em um produto que fica em cima de um SO que eu não conheço mto bem. Alem do mais, todas as vezes que tive duvidas sobre, nunca tive ajuda no forum deles ... se pagar tem, mais meu orçamento é zero tmb.

Isso não eliminaria o problema certo? As estações continuariam arrebentando ai kkkkkkk.
Por mais que vc tenha colocado linux. A empresa investiu nas licenças (Windows e Office), acho que não é vantagem se desfazer disso. Neste caso, acho que vc vai ter que ir de maquina em maquina realizar uma limpa ... principalmente naquelas que vc já conseguiu identificar anomalias.







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts