Dlaczego serwer zablokował usługi w naszej sieci?
Tags #CSF #ConfigServerSecurity&Firewall
Mamy internet w firmie, ładują się różne strony www, ale nie ładuje się nasza firmowa strona i nie możemy odebrać poczty. Zauważyłem, że poczta działa, kiedy odbieram ją ze smartfona. Dlaczego serwer internetowy zablokował usługi w naszej sieci lokalnej?
Odpowiedź
Z Pańskiego opisu problemu wynika, że firewall naszego serwera internetowego zablokował publiczny adres IP łącza internetowego funkcjonującego w Waszej lokalnej sieci firmowej, z którego korzystają komputery. Smartfon łączy się przez GSM, tak więc na nim usługi działają OK.
Serwer one.hards.pl wykorzystuje aktywny firewall CSF ConfigServer Security & Firewall, który monituje sposób działania usług serwera, a także autoryzację (logowanie).
Jeśli CSF wykryje wielokrotne nieudane logowanie do dowolnej usługi (email, ftp, ssh, apache, WebDav, MardiaDB, PostgreSQL) lub "podejrzane" operacje identyfikowne jako atak (np. rekurencyjne uruchamianie skryptów, duża liczba sesji ftp, itp.) - wówczas CSF czasowo blokuje publiczny adres IP atakującego urządzenia (u Was zapewne to IP na porcie WAN routera lokalnej sieci firmowej) na 15 minut, a po 3 takich blokadach, następuje kolejna blokada na 24h.
Kroki rozwiązania problemu:
-
Trzeba wykryć usługę, która powoduje reakcję CSF.
Najczęściej jest to problem błędnej autoryzacji: logowanie klienta pocztowego (np. Outlook) lub klienta ftp (Total Commander, FileZilla) na jednym z komputerów lub smartfonów. - Często problem zdarza się, gdy klient ftp używany jest do kopiowania b. dużej liczby plików i połączenie nie zostało zdefinowane jako pasywne. Wówczas należy ograniczyć liczbę sesji ftp w kliencie ftp - najczęściej chodzi o program FileZilla, który domyślnie inicjuje nieograniczone liczby sesji podczas pojedynczego przegrywania
- Z pomocą oprogramowania antywirusowego należy wykryć trojana w lokalnej sieci, który rozsyła spam
-
Jeśli sieć posiada stały publiczny adres IP (popularne kablówki, a także usługa "Neostrada" - mają zmienne adresy pobliczne IP...) i wykrycie komputera atakującego jest trudne - można adresy publiczne IP dodać do wyjątków firewall`a CSF. W tym celu proszę zidentyfikować ten adres posługując się linkiem:
https://www.whatismyip.com/what-is-my-public-ip-address/
- a następnie przesłać go do nas przez formularz kontaktowy na dole podstrony.
Dla zaawansowanych
Często zadawane są pytania, jak poradzić sobie z wykryciem powodu blokowania firewall`a.
Oto kilka pomysłów:
- Wykrywanie błędniego hasła w kliencie poczty (np. Outlook) - w konfiguracji konta pocztowego kliknij przycisk "test" i sprawdź wynik testu.
- Jeśli nie jesteś pewien, czy masz dobre hasło do poczty - sprawdź je logując się do webowego klienta pocztowego: Poczta (WebMail).
- Jeśli rozsyłasz spam - sprawdź w logach pocztowych dostępnych przez cPanel (Poczta/Śledzenie dostarczania), który z komputerów "sieje", a następnie przeskanuj go pod względem trojanów (polecamy program malwarebytes), oraz antywirusowo (polecamy program avast - uruchomiony w trybie "inne skanowanie / skanowanie podczas następnego uruchamiania systemu".
- Jeśli podejrzewasz, że problem jest po stronie klienta ftp - sprawdź jego logi, przekonfiguruj połączenie jako tryb pasywny i liczba sesji: 3.