Ataque a SQL con diccionario

[h3r.z3n]

Hola, buenos días a todos, soy nuevo en el foro, ya leí todo y espero no equivocarme en donde estoy poniendo este tema, aunque mas que tema es una consulta a la comunidad, tal ves me puedan dar una mano.

Bueno, sin ir mas lejos, hace ya un par de semanas que estoy notando actividad extraña en la red donde   de un cliente, en la misma red hay un Window Server 2008 R2 standar x64. Resulta que a ciertos horarios del dia la red se vuelve un poco lenta, bastante y a los usuarios les resulta muy difícil consultar la base de datos y archivos compartidos en el mismo servidor. Decidí sniffear la red desde el mismo servidor, al tiempo fui encontrando algunas PCs con conexiones raras, no le di mucha importancia y fui directamente al resolverlo, reinstalando el S.O. y hasta ese entonces solo fueron casos así. El viernes pasado antes de terminar mi jornada laboral deje el snif encendido y hoy mismo cuando llego, note que en muchos horarios desde el mismo viernes que lo deje al rededor de las 21:00hs, 01:00hs y mas tarde también, ataques de diccionarios al SQL, utilizando el mismo usuario y probando (obviamente) muchas combinaciones para la contraseña. Enseguida me di cuenta que la persona, bot o lo que fuese no era de esta región, ya que el diccionario usaba muchas claves con nombres asiáticos. Corroborándolo busque por geo ubicación la IP publica del cliente en cuestión y si, la IP provenía de China. En realidad no fue una sola IP hubieron varias ya que los intentos fueron durante la tarde y la noche del sábado y el domingo, esta mañana al rededor de las 7am también. Mi pregunta es ¿de que forma esta entrando al servidor para interactuar con la db? nuestros clientes envía a la nube desde el servidor muchas de las cosas que cargan a la db. La conexión (repito) me figura con una IP publica como cliente, tratando de autenticarse con usuario y contraseña a la IP "privada" que esta asignada al servidor. (dejo ahora una imagen del snif y esta a continuación en el link que sigue. Utilicé para esto el software Cain & Abel. Disculpen que lo subí a esa pag, el problema es que no podía hacerlo desde You are not allowed to view links. Register or Login)

You are not allowed to view links. Register or Login

Agradecería cualquier tipo de consejo que tengan a mano, todo sirve, no soy un experto en este tipo de asuntos por lo cual no tengo la menor idea de como resolverlo, en su momento pensé en dejar el servidor sin internet y conectarme a el desde otro puesto, pero el problema es que el cliente necesita subir a la nube lo que van cargando a la db. Otra solución seria un firewall y hasta el momento es la que mas me convence. Saludos a todos y desde ya muchas gracias.

[h3r.z3n]

Hola, gracias por responder.
Si, los clientes/usuarios son internos, y digamos que todos los puestos de la red son los que solicitan consultarle a la db aunque no suban nada a ella. Como comente antes, un firewall es lo primero que se me ocurrio, y aclaro, no arme la estructura de la red, ya estaba asi antes de que comenzara a trabajar en ella, por eso hoy saltan cosas como estas, y obviamente lo primero que solicite es backup de todo casi diariamente. Creo que lo mejore sera invertir en un mikrotik como bien dijiste, lo del rango de ip no creo que resolveria, aunque tampoco estoy muy seguro con lo del mikrotik...tendre que investigar un poco mas.

[h3r.z3n]

Muchas gracias, voy a tomar esa medida. Por otro lado investigare un poco mas sobre los contra fuegos ya que invertir en algo que luego complique el trabajo del usuario y no resuelva lo anterior no me serviria.

Gracias y buen comienzo de semana.