none
Ataques em determinada máquina RRS feed

  • Pergunta

  • Bom dia

     

    Estou com um problema em meu ambiente que acredito ser o responsável por grande parte do resto de meus problemas na rede!!

     

    Estou com uma lentidao enorme em minha internet!! e olhando os logs do router 3com ( model 3cr858-91 ) na parte de firewall eu vi que existem as informacoes sobre um ip.

     

    Algo como

    2007.11.22 18:18:11 **TCP FIN Scan** 192.168.0.23, 53930->> 87.13.239.249, 30099 (from WAN Outbound)
    2007.11.22 18:18:11 **TCP FIN Scan** 192.168.0.23, 53243->> 200.204.102.141, 80 (from WAN Outbound)
    2007.11.22 18:18:11 **TCP FIN Scan** 192.168.0.23, 53907->> 80.192.181.56, 443 (from WAN Outbound)
    2007.11.22 18:18:11 **TCP FIN Scan** 192.168.0.23, 53728->> 74.141.104.71, 80 (from WAN Outbound)
    2007.11.22 18:18:11 **TCP FIN Scan** 192.168.0.23, 53108->> 200.204.102.140, 80 (from WAN Outbound)
    2007.11.22 18:18:11 **TCP FIN Scan** 192.168.0.23, 53948->> 87.5.84.111, 10415 (from WAN Outbound)

    Pesquisei sobre este FIN Scan e pelo que entendi é algo como se a maquina 23 nao parasse de enviar pacotes para a rede!! Quero criar regras para bloquear as portas que estao me aparecendo no log do router.

    Estou usando o ISA mas ele esta apenas como uma maquina membro do dominio e nao esta reconhecendo os usuarios do AD.......

     

    Minha pergunta é a seguinte!!

     

    1-Como posso fazer para bloquear todas as portas dentro de um unico range ou algo deste tipow??

     

    2-Preciso liberar acesso total para determinados IPs que estao atribuidos para aparelhos VOIP para que eles possam fazer e receber chamadas. Ja liberei All protocols para este IP mas ainda sim esta bloqueando, liguei no suporte e me disseram que a melhor opçao é colocar em uma DMZ. Como fazer esta DMZ no ISA Server 2006 ?

     

    Se alguem poder me ajudar eu agradeço muito desde ja!!

    Se Tiverem dicas com relaçao a isso aceito!!

     

    Obrigado



     

    quinta-feira, 3 de abril de 2008 14:44

Respostas

  • Boa Noite,

     

    1 - Para bloquear, acho interessante usar o Filtragem de pacotes TCP/IP nativa do Windows Server 2003,

    -Conexões de Rede

    - Acesse as propriedades da Interface que voce recebe estes pacotes

    - Selecione TCP/IP e em seguida clique no botão propridades

    -Clique no botão avançado

    - vá até a aba opções

    - Clique no botão propriedades

    - insira o endereço de rede com a mascara correta da rede que voce vai PERMITIR  os pacotes e selecione a opção permitir somente

     

    Os demais pacotes serão bloqueados.

     

    2 - No techcenter do ISA Server voce encontra as melhores recomendações da Microsoft para configurar seu ISA Server

    http://www.microsoft.com/brasil/technet/prodtechnol/isa/default.mspx

    Ou então o velho e bom KB , pesquise por DMZ

    http://support.microsoft.com/kb

     

    OBS: Use um sniffer de rede para saber se ninguém está usando algum port scan para encontar vulnerabilidades na sua rede.

     

    Espero que seja útil,

     

     

     

    sábado, 31 de maio de 2008 01:06
  • Boa Tarde

     

    Analisando o log do seu roteador, podemos concluir que com certeza alguem está fazendo um ataque de port scanner de dentro da sua rede para internet.No log nao especifica se estes pacotes  estao passando para internet ou estao sendo bloqueados pelo firewall. Se sua net ta com lentidao, provavel que esteja passando e isso é um grande problema se tratando de IP corporativo.

     

    Para bloquear ranges no ISA:

     

    No painel principal, à direita, clique em toolbox, depois em network objects , new, adress range. La vc especifica o range de ip frio que vc quer bloquear e coloque esse objeto na sua regra.

     

    Com relacao ao VOIP,  nao libere todos os IP's. Veja no manual do fabricante quais portas UDP e TCP deverao ser liberadas,de onde para onde.

     

    Qualquer duvida e so postar.

     

     

     

     

    quarta-feira, 4 de junho de 2008 17:25

Todas as Respostas

  • Boa Noite,

     

    1 - Para bloquear, acho interessante usar o Filtragem de pacotes TCP/IP nativa do Windows Server 2003,

    -Conexões de Rede

    - Acesse as propriedades da Interface que voce recebe estes pacotes

    - Selecione TCP/IP e em seguida clique no botão propridades

    -Clique no botão avançado

    - vá até a aba opções

    - Clique no botão propriedades

    - insira o endereço de rede com a mascara correta da rede que voce vai PERMITIR  os pacotes e selecione a opção permitir somente

     

    Os demais pacotes serão bloqueados.

     

    2 - No techcenter do ISA Server voce encontra as melhores recomendações da Microsoft para configurar seu ISA Server

    http://www.microsoft.com/brasil/technet/prodtechnol/isa/default.mspx

    Ou então o velho e bom KB , pesquise por DMZ

    http://support.microsoft.com/kb

     

    OBS: Use um sniffer de rede para saber se ninguém está usando algum port scan para encontar vulnerabilidades na sua rede.

     

    Espero que seja útil,

     

     

     

    sábado, 31 de maio de 2008 01:06
  • Boa Tarde

     

    Analisando o log do seu roteador, podemos concluir que com certeza alguem está fazendo um ataque de port scanner de dentro da sua rede para internet.No log nao especifica se estes pacotes  estao passando para internet ou estao sendo bloqueados pelo firewall. Se sua net ta com lentidao, provavel que esteja passando e isso é um grande problema se tratando de IP corporativo.

     

    Para bloquear ranges no ISA:

     

    No painel principal, à direita, clique em toolbox, depois em network objects , new, adress range. La vc especifica o range de ip frio que vc quer bloquear e coloque esse objeto na sua regra.

     

    Com relacao ao VOIP,  nao libere todos os IP's. Veja no manual do fabricante quais portas UDP e TCP deverao ser liberadas,de onde para onde.

     

    Qualquer duvida e so postar.

     

     

     

     

    quarta-feira, 4 de junho de 2008 17:25
  • Carlos, bom dia!

    Em outro post vc colocou que conseguiu liberar o acesso SSH pelo ISA Server, desculpe estar entrando neste que não tem nada a ver, mas por favor, você poderia me ajudar?

    Se preferir, e puder é claro, mande algo no renato_rlg@hotmail.com, também é MSN.

    Grato.

    Renato

    quarta-feira, 11 de maio de 2011 10:03