Tentativa de invasão?

[Heler]

Bom dia amigos algum tempo tenho tido esses itens relatados no log da minha rede, será que algum de vocês sabem explicar o que seria e caso como evita los?

[Heler]

?

[avatar52]

?

[tyuatsu]

Olhando o log parace que alguem aí na sua rede conectou numa VPN... saindo pela porta 500.
Antes de bloquear essa porta no firewall, acho melhor dar uma investigada melhor na máquina local e identificar o usuario ou até tentar entender a necessidade dessa VPN.

[Heler]

Ok, vou tentar ver isso, obrigado!

[Heler]

Ainda não descobri de onde se origina a vpn e agora surgiu outro log

[arasouza]

Ainda não descobri de onde se origina a vpn e agora surgiu outro log

Irmão, ipsec geralmente é utilizado para tunel de vpn, alguns dos seus clientes está tentando acessar uma vpn é ocorre um erro no passwd, normal, até ai, nada com vc, mesmo pq o destino não é seu ip correto? msm pq vc não deve exibir o seu ip, mas como foi dito vê esse teu cliente ai e monitora ele.

[tyuatsu]

É tentativa de conexão externa vindo de um IP Dinamico domestico.... veja mais detalhes: https://ip-whois-lookup.com/lookup.php?ip=95.30.167.126

Olhando parece ser uma brecha de segurança na sua rede, alguém de fora querendo acessar sua rede local.

Mas se nenhum Admin de rede foi quem configurou a VPN, então veja com algum desenvolvedor se não há algum modulo embutido no software ERP da empresa, que possua caracteristicas de VPN ou software ipsec ativado em nivel de hardcode no sistema. Ou se há colaboradores ou filiais/matriz (externos), residentes em outro País. Tem que cercar o problema aos poucos, pois somente assim vc podera ter certeza que se trata de brecha de segurança e especular existencia de maquina comprometida por botnet ou backdoors.
Digo isso porque avaliar um log é fácil, dificil é enteder não só como funciona mas sobretudo as reais necessidades, inerentes à infraestrutura da cada rede!

[Heler]

Irmão, ipsec geralmente é utilizado para tunel de vpn, alguns dos seus clientes está tentando acessar uma vpn é ocorre um erro no passwd, normal, até ai, nada com vc, mesmo pq o destino não é seu ip correto? msm pq vc não deve exibir o seu ip, mas como foi dito vê esse teu cliente ai e monitora ele.

Ok, mas prece uma tentativa de fora, os IPs q pareces são um IP interno e o que está tentando acessar, MS muito obrigado, vou procurar melhor saber oq está acontecendo aqui[emoji106]