none
Bloquear entrada RRS feed

  • Pergunta

  •  

    Olá galerinha.

     

    Os logs do Windows acusam pelo Firewall do ISA constantemente ataques de um IP específico que scaneia várias portas, tem como bloquear acesso de IPS de fora pelo ISA para esse tipo de problema?

     

    Me parece que o ISA acaba bloqueando todo o tráfego de rede quando isso acontece o que acaba prejudicando toda minha rede, hoje deixei este link desligado para avaliar se é isso mesmo que o ISA está fazendo. Caso ele esteja fazendo isso e não tenha como bloquear IPS de fora específico, alguém sabe como poderei resolver meu problema?

     

    quarta-feira, 23 de julho de 2008 11:03

Respostas

  • Tedy, tenho alguns pontos a observar :

     

    1) Vc chegou a verificar se  sua rede não está com alguma máquina tentando mandar algo indevido para fora?

     

    2) Vc já  tentou criar um range de ips e mandar , uma access rule, fazer isto:

     

    - deny

    - de external

    - para internal

    - protocolos : all protocolos

    - range de ips que vc levantou?

    - user anonimos ?

     

    bom, nunca fiz isto mais testa ok? é uma ideia para se testar ok?

     

    espero ter ajudado, abs do amigo Maycon Alves!!!

     

    quarta-feira, 23 de julho de 2008 14:22

Todas as Respostas

  • Tedy, tenho alguns pontos a observar :

     

    1) Vc chegou a verificar se  sua rede não está com alguma máquina tentando mandar algo indevido para fora?

     

    2) Vc já  tentou criar um range de ips e mandar , uma access rule, fazer isto:

     

    - deny

    - de external

    - para internal

    - protocolos : all protocolos

    - range de ips que vc levantou?

    - user anonimos ?

     

    bom, nunca fiz isto mais testa ok? é uma ideia para se testar ok?

     

    espero ter ajudado, abs do amigo Maycon Alves!!!

     

    quarta-feira, 23 de julho de 2008 14:22
  • Cara na realidade vc nao precisa nem criar um range.

    Vc criando uma regra de bloqueio, de external para internal e local host ele ja pega todo o acesso.

    Abraços
    quarta-feira, 23 de julho de 2008 15:18
    Moderador
  • Cheguei a fazer os testes, mas não deu certo.

     

    Bom, deixa eu esclarecer mais um pouco para ver se vc ou o pessoal do forum consegue me ajudar.

     

     

    Olha o teste que eu comentei que ia fazer em deixar este link que apresentava os ataques desligado deu certo, o servidor manteve-se operante, porém, ao ligar o link, volta o problema, parece que realemente o ISA ou não exatamente o ISA, alguém que conseguiu invadir aqui está prejudicando minha rede ao deixar este link ativado minha rede para, o servidor continua funcinando normalmente, mas a ninguém mais o acessa.

     

    O que vou fazer agora é analisar as regras que tenho dentro do ISA e tentar verificar se não deixei alguma brecha, já rodei o antivirus, mas embora ele tenha pegado algumas pragas, não percebi nada que chegase a prejudicar o servidor significativamente, mesmo porque ele eliminou os vírus e o problema ainda persiste.

     

    Tenho dos links conectados a este server, Ajato e Speedy, o link problematico é o Ajato e o IP que captei é o 200.170.120.5, ainda não descobri se é de algum cliente da Ajato ou algum serviço deles. Nesse server hospedo dois sites e tenho serviços de ftp. Com o link do Speedy ativo, o servidor fica operando normalmente, o problema é só no Ajato mesmo.

     

    Nos logs como disse, apenas me é mostrado que este IP está atacando (scaneando) várias portas e que o ISA bloqueia. Isso me é gerado pelo ISA mesmo eu deixando o link desligado, isso que eu estou achando estranho, mas o Symante Endpoint não pegou mais nenhum vírus...????

     

    Vou tmb gerar um Logging para tentar descobrir o que exatamente ste IP está vindo buscar, até lá, se alguém tiver outra idéia que não seja deixar meu link e o site da empresa parado, ficarei grato, . De restou estou tentado ter outras idéias antes de formatar meu server pensando que alguma praga se instalou e meu antivirus não consegue captar.

    quinta-feira, 24 de julho de 2008 12:15
  • Repondendo entre os dois amigos aí do Forum, Luiz e Maycon.

     

    Pelo logging, verifiquei que a regra que me pediram para criar funcionou sim, vou marcar como concluído e tentar pesquisar em outros posts meu problema, já que não fará mais parte do assunto com a conclusão do que vcs me passaram, obrigado.

    quinta-feira, 24 de julho de 2008 12:37
  • Tedy,

    Acredito que não seja necessário a formatação, apenas peço para que você verifique suas regras e vejam se estão coerentes, verifique algum falha de liberação.

    De uma checada com o  ISA Server Best Practice Analyzer

    http://www.microsoft.com/downloads/details.aspx?FamilyID=D22EC2B9-4CD3-4BB6-91EC-0829E5F84063

    Se vc esta dentro das boas maneiras do ISA...quem sabe.

    Abraços e boa sorte.
    quinta-feira, 24 de julho de 2008 12:39
    Moderador
  • Tedy,

    só para eu saber qual dela que funcionou?
    A minha ou a do outro amigo?

    Apenas pra me localizar.

    Vai nos manetendo informado, ou se quiser abra outro post.

    Abraços
    quinta-feira, 24 de julho de 2008 12:44
    Moderador
  • Bom Luiz,

     

    Na verdade, os dois passaram a mesma idéia, só que de mandeiras diferentes.

    Os dois me ajudaram da mesma forma, por isso marquei as duas como resposta, nem tem como ser diferente, acho que o pessoal do fórum não irá se perder e espero não prejudicar a pontuação de vcs fazendo isso. caso isso ocorra, irei optar pelo primeiro atendimento.

    quinta-feira, 24 de julho de 2008 13:52
  • Tedy,

    fique frio isso nao interfere em nada.
    Apenas quis saber se vc criou um range de IPs de bloqueio ou se bloqueou tudo.

    é interessante para os usuarios saber que os dois funcionam, para tal os dois devem estar macardos.

    Qq coisa estamos aki

    abraços
    quinta-feira, 24 de julho de 2008 13:56
    Moderador
  • Entendi.

     

    Mais especificamente fiz o bloqueio pelo range, pois como tenho sites hospedados, se eu fizer um bloqueio total de tudo que entra, vou interferir nos serviços que tenho publicado.

     

    Irei ajustar.

    quinta-feira, 24 de julho de 2008 15:59
  • Perfeito, qualquer duvida estamos aki.

    abraços
    quinta-feira, 24 de julho de 2008 16:33
    Moderador