Bloqueia ataques LOIC de saída em uma rede

4

Eu sou administrador de uma pequena rede. Usuários em nossa rede têm acesso a internet através de um servidor NAT de lula.

Recentemente, detectamos que alguns usuários estão usando o LOIC para atacar servidores na Internet. Como posso detectar e bloquear esse invasor automaticamente?

Existe alguma maneira simples para isso (por exemplo, bloquear uma porta especial ou padrão?) Ou eu tenho que usar um software inteligente que detecte o mau comportamento de nossos usuários e bloqueie-os?

Um bloqueio temporário baseado em IP é suficiente para nós.

    
por Isaac 21.10.2011 / 18:25

1 resposta

4

O comentário do mailq não é muito anarquista, pois é a resposta certa para a maioria dos casos.

Se os usuários estiverem usando recursos corporativos (ou escolares, etc) para realizar atividades ilegais (estejam na Internet ou não), devem ser tomadas medidas apropriadas para que eles saibam que isso é completamente inaceitável.

Ninguém deve ser anônimo em sua rede, você deve ser capaz de rastreá-lo facilmente até um computador específico (concessão de DHCP) e muito provavelmente um usuário específico.

Considerando tudo isso, The Spiderlabs Blog tem um artigo sobre Snort regras para detectar atividade LOIC. A implementação do snort pode ser sua melhor opção se você realmente não puder resolver o problema por meio da educação ou de um LART.

O comentário de Ben traz uma grande quantidade de worms. Considere:

  1. Isso expõe o proprietário da rede a responsabilidade se atividades ilegais forem conduzidas?
  2. Quão aberto as coisas realmente precisam ser? Você consegue abrir somente HTTP / HTTPS? Você pode limitar a taxa?
  3. Em uma rede grande (como um hospital), você pode estar melhor com um IDS / firewall de hardware comercial.
por 21.10.2011 / 19:58

Tags