Windows 2003 e firewall

[the_driver]

Ciao a tutti ,in questi giorni ho notato che su alcuni server aziendali(a cui è associato un IP pubblico) nel registro eventi (presente in pannello di controllo , gestione computer) ho notato che quotidianamente avvengono tentativi di accesso ,precisamente,uno o + IP pubblici cercano di loggarsi a SQL server o ad altri servizi. Ho effettuato un trace route di questi IP, e sono macchine Ungheresi o Moldave (comunque di altre nazioni).

In azienda vi è un firewall , precisamente un Safe@Office 500 checkpoint, però ho controllato e non mi pare di aver trovato qualche funzione per bloccare gli ip esterni.
Prima di tutto, voi cosa mi consigliate di fare? devo installare un firewall software su queste macchine? Sapete indicarmi come bloccare questi IP?

Grazie mille!

[Amduscias666]

COSA!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
vuoi installare un FW sw????? scusami ma a cosa ti serve il checkpoint???

se vedi ip, puoi creare una semplice ACL deny all traffic e blokki intero range di ip in ingresso, cosi se anche cambiano ip sono blokkati.
ma se ci sono dei tentativi di connessione sul SQL, caro mio controllerei le configurazioni del tuo FW, sembra Roma città aperta.....nel comprarlo avete solo buttato soldi visto che non lo usate

[the_driver]

Ciao grazie per la risposta. Premesso che non sono impazzito tutto ad un tratto,ma sono ormai in crisi.

Ho rivisto gg fa la configurazione del firewall e di tutta la rete, il firewall è posto in posizione classica tra il router (CISCO 2800 series) e i 2 switch di rete. Sul firewall,Ho implementato 2 RULES con le seguenti caratteristiche:

BLOCK if the source is WAN and if the destination is LAN on port 1433 - 1434 protocol ANY

e viceversa ho anche impostato


BLOCK if the source is LAN and if the destination is WAN on port 1433 - 1434 protocol ANY


Purtroppo vedo che questa regola non fa niente,continuo ad avere i FAILUR AUDIT sul servizio di SQL SERVER.

L'unica maniera che funziona, è impostare un criterio di sicurezza sui singoli server inserendo manualmente di bloccare un determinato ip o una subnetmask nel collegarsi alle seguenti macchine. cosi funziona. ma non è ovviamente la soluzione ottimale.

I server hanno 2 porte lan ciascuno (un indirizzo di classe B e uno di classe A utilizzato con degli IP pubblici statici), entrambe vanno nello stesso switch collegato al firewall (in una delle 4 porte LAN).

Sapete dirmi o consigliarmi come fare per risolvere questo problema.

ps. Nel peggiore dei casi cambierò la porta al servizio MSSQLSERVER ...

[the_driver]

Inoltre ho fatto delle prove con il servizio FTP e anche in quel caso non sembra andare.

[mardux]

scusa ma devi rendere MS SQL Server visibile dall'esterno (internet) oppure no?

[the_driver]

si lo devo rendere "invisibile". Errata corrige: il firewall ha un indirizzo di classe C , che è la rete aziendale.

Il server ha 2 schede di rete, una settata per la classe C e una con un indirizzo di classe A. In locale la regola funziona.

[mardux]

primo: l'oggetto WAN a cosa corrisponde?

cmq per bloccare o filtrare l'accesso ai servizi di SqlServer dall'esterno, sul FW perimetrale basta impostare una rules del tipo:

BLOCK if the source is ANY and if the destination is tuo_SQLServer on port 1433 - 1434 protocol ANY

anche se sui FW perimetrali devi ragionare in modo diverso: devi bloccare tutto e poi aprire a seconda dei servizi che devi offrire verso l'esterno;
se hai solamente quelle 2 regole sul fw perimetrale, e non hai altri apparti che filtrano il traffico dall'esterno, e l'esterno(internet) non corrisponde all'oggetto WAN presente nelle tue regole, hai un FW che nn fa praticamente nulla e ti lascia la rete scoperta in modo impressionante dagli attacchi esterni.

prova tu stesso con un nmap da internet verso i tuoi server (ip pubblici) e vedrai cosa esce fuori..

tanto vale togliere il FW per quello che fa..

[the_driver]

la porta WAN è collegata allo switch che a sua volta e collegato al router. Allo switch ho lasciato solo un pc e le stampanti mentre il resto e collegato sulle 4 porte ethernet del firewall. precisamente nelle 4 porte ho collegato:
un AC point wifi
un pc desktop
uno switch gigabit
e un altro desktop

I server sono collegati al gigabit

Il firewall è raggiungibil a un indirizzo 192.168.x.y , fa da bridge con la rete 10.61.x.y .

Ho impostato la regola propri come la dici tu.

Il server pubblico ha 2 ip (in quanto ha 2 lan),uno di tipo 192.168 e uno di tipo 10.61 --> quest'ultimo associat ad un ip pubblico (tramite router adsl)


I firewall può gestire:


LAN (192.168.x.y)--> è il suo indirizzo,utilizzato per accedere
DMZ (non usata)
OFFICE (qualcuno ha messo 192.168.254.1) , ma non è utlizzata


Pensavo di impostare in OFFICE un indirizzo 10.61.x.y , però appena lo inserisco mi da che va in conflitto con la regola impostata con il bridge.


Ho provato a far un ping dal firewall sugli indirizzi di tipo 192 e 10 , e li raggiunge.

Quindi teoricamente potrebbe anche filtrare i pacchetti per 192 e 10? in effetti il mio dubbio rimane questo:
l'apparecchio è identificato come 192.168.x.y e non so se riconosce i pacchetti per 10.61.x.y

Intanto ho fatto nmap sul mio indrizzo pubblico e ho ricevuto il seguente messaggio:


Starting Nmap 4.76 ( http://nmap.org ) at 2009-04-14 19:59 ora solare Europa occ
identale
Interesting ports on xx-yy-zz-qq.ip13.fastwebnet.it (xx-yy-zz-qq):
Not shown: 749 filtered ports, 248 closed ports
PORT STATE SERVICE
21/tcp open ftp
83/tcp open mit-ml-dev
1434/tcp open ms-sql-m

Nmap done: 1 IP address (1 host up) scanned in 551.70 seconds


ed effettivamente mi restitusce 1434 ..... help!

[mardux]

sembra quasi che i pacchetti destinati verso il tuo IP pubblico non passino dal FW, non siano filtrati.

Dai log di quest'ultimo li vedi?

cosa passa?

ti consiglierei di rivedere per bene tutta la configurazione.

e per far raggiungere un ip interno (il caso del tuo SQLServer) da fuori è meglio usare il nat, e non 2 ip (a meno che nn puoi farne a meno)