Pessoal gostaria de ajuda de vcs, na minha rede em um servidor RDP (usado pela filial) que esta sofrendo tentativas de conexão do IP 178.162.205.2. Eu habilitei a Detecção de intrusão e percebi que esta IP esta tentando fazer varias conexões. Nunca usei isso Detecção de intrusão alguem poderia me explicar como barro esse tipo de tentativa de acesso. E como posso interpretar os logs abaixo.
OBS: Tenho um redirecionamento NET para esse IP, eu desativei essa regra e aparentemente os acesso pararam mas não posso ficar com essa regra desabilitada.
MINHA REGRA NET
xxx.xx.xx.xxx TCP/3300 (PERMITIR COM IPS) 192.168.x.xxx : 3389 SERVIDOR RDP
(Conexão main)
PERMITIR com IPS de: Conexão ANY
LOGS
Detecção.. 2016-07-05 15:57:12 snort[24175]: [1:2001329:8] ET POLICY RDP connection request [Classification: Misc activity] [Priority: 3] {TCP} 178.162.205.2:60266 -> 192.168.X.XX:3389
Detecção.. 2016-07-05 15:56:26 snort[24175]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Misc activity] [Priority: 3] {TCP} 192.168.X.XX:3389 -> 178.162.205.2:61574
Detecção.. 2016-07-05 15:56:26 snort[24175]: [1:2001329:8] ET POLICY RDP connection request [Classification: Misc activity] [Priority: 3] {TCP} 178.162.205.2:61574 -> 192.168.X.XX:3389
Detecção.. 2016-07-05 15:55:40 snort[24175]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Misc activity] [Priority: 3] {TCP} 192.168.X.XX:3389 -> 178.162.205.2:62874
Detecção.. 2016-07-05 15:55:40 snort[24175]: [1:2001329:8] ET POLICY RDP connection request [Classification: Misc activity] [Priority: 3] {TCP} 178.162.205.2:62874 -> 192.168.X.XX:3389
Detecção.. 2016-07-05 15:54:55 snort[24175]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Misc activity] [Priority: 3] {TCP} 192.168.X.XX:3389 -> 178.162.205.2:64171
Detecção.. 2016-07-05 15:54:55 snort[24175]: [1:2001329:8] ET POLICY RDP connection request [Classification: Misc activity] [Priority: 3] {TCP} 178.162.205.2:64171 -> 192.168.X.XX:3389
Detecção.. 2016-07-05 15:54:09 snort[24175]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Misc activity] [Priority: 3] {TCP} 192.168.X.XX:3389 -> 178.162.205.2:65466
Detecção.. 2016-07-05 15:54:09 snort[24175]: [1:2001329:8] ET POLICY RDP connection request [Classification: Misc activity] [Priority: 3] {TCP} 178.162.205.2:65466 -> 192.168.X.XX:3389
Detecção.. 2016-07-05 15:53:24 snort[24175]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Misc activity] [Priority: 3] {TCP} 192.168.X.XX:3389 -> 178.162.205.2:50384