Dlaczego serwer zablokował usługi w naszej sieci?

Tags #CSF #ConfigServerSecurity&Firewall

Mamy internet w firmie, ładują się różne strony www, ale nie ładuje się nasza firmowa strona i nie możemy odebrać poczty. Zauważyłem, że poczta działa, kiedy odbieram ją ze smartfona. Dlaczego serwer internetowy zablokował usługi w naszej sieci lokalnej?

Odpowiedź

Z Pańskiego opisu problemu wynika, że firewall naszego serwera internetowego zablokował publiczny adres IP łącza internetowego funkcjonującego w Waszej lokalnej sieci firmowej, z którego korzystają komputery. Smartfon łączy się przez GSM, tak więc na nim usługi działają OK.

Serwer one.hards.pl wykorzystuje aktywny firewall CSF ConfigServer Security & Firewall, który monituje sposób działania usług serwera, a także autoryzację (logowanie).
Jeśli CSF wykryje wielokrotne nieudane logowanie do dowolnej usługi (email, ftp, ssh, apache, WebDav, MardiaDB, PostgreSQL) lub "podejrzane" operacje identyfikowne jako atak (np. rekurencyjne uruchamianie skryptów, duża liczba sesji ftp, itp.) - wówczas CSF czasowo blokuje publiczny adres IP atakującego urządzenia (u Was zapewne to IP na porcie WAN routera lokalnej sieci firmowej) na 15 minut, a po 3 takich blokadach, następuje kolejna blokada na 24h.

Kroki rozwiązania problemu:

  • Trzeba wykryć usługę, która powoduje reakcję CSF.
    Najczęściej jest to problem błędnej autoryzacji: logowanie klienta pocztowego (np. Outlook) lub klienta ftp (Total Commander, FileZilla) na jednym z komputerów lub smartfonów.
  • Często problem zdarza się, gdy klient ftp używany jest do kopiowania b. dużej liczby plików i połączenie nie zostało zdefinowane jako pasywne. Wówczas należy ograniczyć liczbę sesji ftp w kliencie ftp - najczęściej chodzi o program FileZilla, który domyślnie inicjuje nieograniczone liczby sesji podczas pojedynczego przegrywania
  • Z pomocą oprogramowania antywirusowego należy wykryć trojana w lokalnej sieci, który rozsyła spam
  • Jeśli sieć posiada stały publiczny adres IP (popularne kablówki, a także usługa "Neostrada" - mają zmienne adresy pobliczne IP...) i wykrycie komputera atakującego jest trudne - można adresy publiczne IP dodać do wyjątków firewall`a CSF. W tym celu proszę zidentyfikować ten adres posługując się linkiem:
    https://www.whatismyip.com/what-is-my-public-ip-address/ 
    -  a następnie przesłać go do nas przez formularz kontaktowy na dole podstrony.

Dla zaawansowanych

Formularz kontaktowy

wprowadź imię i nazwisko
wprowadź firma / instytucja
wprowadź adres email
wprowadź treść
Token
wprowadź kod

Certyfikaty SSL

Oferujemy usługi rejestracji on-line, a także wznawiania certyfikatów bezpieczeństwa SSL.Więcej

Whois

Przeglądarka danych domen. Bez CAPTCHA.
Uzyskaj informacje dot. właściciela domeny, danych teleadresowych, rejestranta domeny.Więcej

Udostępnij