Configurar rede contra escaneamento de portas e ping

[mechdob]

Uso Windows 10 e apareceu várias notificações do Kaspersky como segue abaixo no print.

Que tipo de ataque é este? Tem alguma coisa que eu possa fazer p evitar?

 

Atualização: primeiramente, abri esse tópico no subfórum de malware, mas o moderador mick 07 recomendou que eu o postasse aqui.

Tb, ele me disse p fazer o teste no seguinte site: https://www.grc.com/x/ne.dll?bh0bkyd2 (Clique em "proceed", depois clique em "all services ports")

 

Resultados:

Todos os quadradinhos deram verde. Fiz outros testes lá e "passei" em todos com exceção de um: (isso conectado ao modem/roteador):

Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

 

Fiz o mesmo teste conectado aos dados móveis do cel (rotiei internet do cel para o notebook), daí, nesse mesmo teste, não apareceu esse problema.

 

Corrijo esse problema dentro do admin do meu modem/roteador?

[Rafael Delazeri]

Isso é uma rede doméstica ou corporativa?

Isso tecnicamente não é um ataque. Esse endereço IP, que o Kaspersky aponta, está fazendo um SCAN de portas abertas na sua máquina / máquinas dentro da sua rede. Esse endereço IPv6 pode ser de dentro da sua própria rede, bem como ser da Internet. Note que ele tenta um porta a porta. O ataque começa quando ele acha uma porta em listening mode, aberta, e tenta conexões de acesso ou um ataque de ICMP, pra gerar um tráfego enorme de respostas, típico DoS. Isso acontece em dois cenários:

1. Se for um endereço local, de dentro da sua própria rede, alguma aplicação está fazendo isso pra mapear sua rede, ou alguma máquina está infectada, ou há uma pessoa testando sua rede pra atacar de fato.

2. Se for um endereço público da Internet, algum hacker (bem improvável) ou botnet (computadores infectados de outras pessoas), está testando sua rede para encontrar um dispositivo vulnerável. Só que isso é um problema sério, pois estão passando pelo seu roteador / firewall / gateway.

Como saber se é local ou da internet?

Windows: Abra o comando executar e digite CMD, aperte enter e digite: tracert e o IP que o Kaspersky mostra, por exemplo: tracert fe80::24db:ff8b:1ca4:1d44%10 ou tracert 172.15.85.44

Linux / Mac: abra o terminal e digite traceroute fe80::24db:ff8b:1ca4:1d44%10 ou traceroute 172.15.85.44

 

Se a resposta, for diferente desta, tiver mais que um salto (hop), o endereço é da Internet, ou de outra rede externa da sua infra. Caso contrário, é local:

 

Se for da Internet, acesse seu roteador principal / modem / firewall e vá nas opções de segurança, desabilite ICMP Echo, WAN Management, WAN PING, WAN Access. Depende muito do seu router, dúvidas, poste prints aqui da página de configuração do router.

 

Se for local, cheque cada dispositivo da sua rede por vírus. Embora possa ser uma pessoa também.

 

Não existe isso de "configurar uma rede contra escaneamento". Você pode configurar cada dispositivo no caso, pois eles formam a rede.

[mechdob]

@Rafael Delazeri

 

Muito obrigado pela resposta/esclarecimento

 

Isso do bloqueio feito pelo Kaspersky aconteceu há 2 dias atrás, esses IPs não poderiam ter mudado?

 

Fiz isso com dois IPs, dê uma olhada. Pelo que você disse, são de fora da minha rede, correto? Um deles inclusive, quando traça a rota, aparece ".be", seria isso da Bélgica? Segue prints:

 

 

 

O modem/roteador aqui não permite essas mudanças na aba segurança infelizmente. Vou ver se compro um roteador e deixo esse modem/roteador como brigde.

 

Obrigado

[Rafael Delazeri]

@mechdob

Bom, procure pelo menos mudar a senha de acesso do roteador: se você acessou com o padrão admin admin, quem acessar seu IP externo também vai conseguir, podendo mudar seu DNS server por exemplo, para fazer spoofing e direcionar seu acesso a servidores de phishing. Os "técnicos" amam esse usuário e senha, e as botnets e hackers mais ainda

[mechdob]

@Rafael Delazeri

O padrão não é admin/admin.

Usuário e senha que vêm no modem/roteador ficam num adesivo. A senha é um número e é diferente para cada aparelho que a operadora fornece p o cliente.

 

Solução vai ser comprar um roteador e colocar o fornecido pela operadora como bridge.