Oggi mi sono divertito un po'
![Smile :-)](./images/smilies/icon_smile.gif)
Premetto che ho appena attivato l'IPs sul mio cisco 1801
![Smile :-)](./images/smilies/icon_smile.gif)
Ogni tanto entro nel router della mia ditta per vedere come sta, e scartabellando nelle tabelle nat ho trovato centinaia di connessioni sulla porta https del mio server web, dove ho una webmail OWA... Bah, strano, non ci dovrebbe essere nessuno connesso!
Controlllo sul server: un sacco di connessioni aperte sulla 443... Sempre piu' strano!
La cosa strana è che gli ip erano tutti diversi, e provenienti da pool completamente casuali (adsl smart, kataweb, telecom, tiscali, etc), subito ho iniziato a fare acl per bloccare i pool interessati, ma non è stata una soluzione lungimirante, in quanto di tanto in tanto sbucava qualche nuovo range e quelli vecchi non ci provavano piu'...
Credo fosse un brute force verso il mio owa, anche se ho pure la porta imap aperta: ma non facevano prima ad attaccarmi quella?
Per ora ho disattivato la 443 dal router in modo da respingere ulteriori attacchi, ma come faccio in futuro a prevenire queste situazioni?
Non che le psw della mia rete sono semplici, percio' non mi preoccupo piu' di tanto, ma mi da fastidio!!!!
E l'IPS non si è accorto di nulla, sembravano tentativi 'normali', e l'OWA non ha strumenti che ad esempio bloccano l'accesso dopo x tentativi sbagliati...
Ora ho staccato la porta (tanto in questi gg non mi serve la web mail), ed ho notato che gli attacchi sono finiti... Tra qualche gg la riattivo, tanto cmq riesco ad entrare via imap, pero' mi piacerebbe sapere come comportarmi in futuro...
Giaà che ci sono:
Poi l'altro giorno a casa mia ho notato che un ip 192.168.x.x cercava di collegarsi alla mia rete, ma l'acl anti spoofing ovviamente l'ha bloccata, ma come faceva un ip esterno in classe privata ad arrivare a me?
Ero convinto che i router di internet bloccassero quegli indirizzi!!!
Grazie a tutti per ogni suggerimento!