firewall utok

[zdwena]

Ahoj jakým způsobem řešíte když Vám klient v sítí chytne vir a začne mu počítač utočit na port na adresy s portem 443 nebo 25 .
Vzhledem k tomu, že je za natem vím jen jeho veřejnou adresu což mi nepomůže.

Mám na routeru přidat vnitřní rozsah do "add to src address list" a dat tam limit na počet připojení? A někdo se chytne nebo je lepší způsob?

diky

[mirek.k]

Pomocí Torchu zjistit vnitřní IP adresu a pro ni pak porty zablokovat a informovat klienta.

[zdwena]

Nejak nechapu jakým zpusobem se ten torch používa A když chci sledovat provoz na 443 který se používá jako https.
Tak přece mi to najde všechny klienty kteří si prohlížejí intenret

[mirek.k]

Je to opravdu na 443? Není to na 25 a 465?
To by neměl být problém odchytit.
443 je opravdu web a toho bude hodně.

[zdwena]

Přišel nám mail od našeho poskytovatele.

Vážený kliente,byli jsme upozorněny na síťové útoky, problémový provoz probíhal na portu 443.

Dále tam popisuje na co bylo utočeno. Teoreticky bych mohl sledovat adresu na kterou bylo utočeno. Ale to je taky takové pofiderní...

Nejaký napad?

[mirek.k]

Podívat se tedy do logů, ze které adresy to šlo. Každý ISP by je měl mít 6 měsíců zpět.

[rsaf]

Podívat se do dat, která sbíráte pro data retention. Tedy pokud plníte svou zákonnou povinnost.
Zprovoznit netflow logování z Mikrotiku je cca hodina práce vč. instalace vmware virtuálky. A samozřejmě to loguje i NAT = je v tom vidět jak LAN ip adresa tak adresa, za kterou to bylo přeloženo na WAN straně.

[zdwena]

To zní pěkně spiše mi šlo o to jak tomu předcházet......jak zablokovat provoz dříve než vznikne problém.