Rede da empresa sob ataque

[espanholeto]

Amigos, estou com um problema sério na empresa. Estamos sendo alvo de ataques insistentes partindo de servidores externos e de máquinas que foram infectadas em nossa rede. Usei todos os recursos que o nosso roteador (TP-LINK R470T+) oferece e por enquanto estamos conseguindo nos safar. A maioria dos ataques são ARP attack, syn flood, udp flood, ip packets. Consegui identificar algumas máquinas contaminadas nas quais instalei Linux, outros usuários simplesmente não deixaram trocar o Ruindows. Um deles era do financeiro e pasmem os senhores: A diretoria apoiou esse usuário.
Sugeri a compra de um Mikrotik configurado como firewall (RB750-2), porém a diretoria não quis pagar para um terceiro configurá-lo e eu não entendo nada sobre este equipamento.
Alguém tem alguma sugestão??
Se conseguirem invadir nossa rede já sabem de quem vai ser a culpa né?

[berghetti]

Que tipo de serviço roda aí?

[espanholeto]

No roteador tenho 2 links dedicados que se comunica com o switch panel. Temos 4 roteadores wi-fi (AP) espalhados pela empresa + 2 servidores windows 2008 (1 para o ERP e outro para arquivos) + 30 máquinas windows (XP,Seven, 8.1, 10). Servidor DHCP no roteador principal.

Ano passado tivemos uma invasão Ransomware que só não nos trouxe mais problemas porque tínhamos BKP de tudo. Formatei os 2 servidorews, alterei senhas, mas provavelmente algumas máquinas permaneceram abertas ao hacker.

[berghetti]

se tiver maquinas interna infectadas, ai tem que arrumar isso primeiro.

agora quanto ao firewall bloqueio tudo, e libere apenas o necessario.
se você não conhece o sistema do mikrotik (routerOS), implemente um firewall de um sistema que você domina.

[ronei10]

Pode ser até uma máquina usada com uma distro Linux fazendo firewall.

[pauloaalves]

Use um Draytek. Fale com a IK1.

http://www.ik1.com.br/dynamics/draytek/

Mesmo assim vai ter de limpar todas as maquinas, principalmente as que rodam windows. Backup em tudo e malwarebits, um bom antivirus e taca-le pau...

Draytek tem várias configurações para uso corporativo, rede interna, escalonamento de sub redes, redes separando setores importantes da empresa, ele desliga redes em determinados horários, tipo almoço, fim de semana, fim de expediente, horários e setores predefinidos, etc.

Ah sim! O Draytek roda linux.

Amarre TODAS as máquinas pelo mac address, e não deixe os protuzuários conectarem seu androids.

F*da-se. Cada um que use seu plano de internet.

Lembre-se que android está vulnerável apesar de ser uma versão de linux.

Depois que tiver tudo certo você pode até liberar os androids, mac address na sua mão, confira se estão atualizados...

Agora se você quiser fazer um firewall, iptables, squid, etc... Tem receita em todo lugar na internet mas demanda tempo... Não esqueça de limpar as máquinas infectadas, elas estão "linkando" os hackers.

Quando a folha de pagamento sumir a Diretoria vai entender quanto é barato um equipamento desses. Uma vez peguei um sujeito que instalou um servidor de CS dentro do servidor da empresa... tinha hora que nem e-mail saia.