USG FLEX 200, не ловит брут по RDP
Настройки
All Replies
-
Это хорошо, что они планируют добавить хотя бы возможность ручного управления. Может быть поможет . Пока неизвестно когда это будет .
На текущий момент известно к сожалению одно - мой flex 200 на последних прошивках
НЕ ЛОВИТ RDP BRUTE СОВСЕМ. За почти три месяца проблема не исчезла даже после выхода различных обновлений. Перепробовал многие дистрибутивы для проверки - KALI, Parrot,NST,Languard и сертифицированные xspider и Ревизор. Дырка есть и не одна.
Грусть, тоска, печалька.
Также мой экземпляр не ловит scan port, их отлавливает стоящий за флексом микротик.
Очередную заявку сделал - #190750
0 -
НЕ ЛОВИТ RDP BRUTE СОВСЕМ - это неправильная формулировка.
Верно то, что RDP Brute Force атаки на Ваш шлюз не попадают под жестко запрограммированный критерий для определения таких атак. И мы собираемся изменить эту функцию.0 -
Так железка и не реагирует никак на атаки сделанные стандартными средствами.
Все пропускает, а значит - не ловит брут. Какие-бы жесткие критерии вы не использовали, они не работают. Дырка.
Как мне проверить этот ваш жесткий ? Любой плохиш, даже без спец навыков может попасть за фаер.
И хорошо , если только мне так повезло . Опять.
И писал я про свой экземпляр , и за три месяца разных атак он не поймал ни одной атаки .Все ручками, после чтения логов. И сроки оплаченной лицензии идут .
0 -
железка и не реагирует никак на атаки сделанные стандартными средствами.
что за стандартные средства для RDP brute force? Вы только для port scan сообщали об использовании Nessus.
Как мне проверить этот ваш жесткий ?К сожалению не можем этого сообщить в целях безопасности. Речь о жесткой конфигурации порога срабатывания - определенное количество RDP сессий в единицу времени. Мы видим проблему и работаем над решением.
0 -
Я в предыдущих сообщениях писал о используемых дистрибутивах и софте для проверки .
Вы должны были о них слышать. Вот их и считаю стандартными утилитами . Поскольку их как минимум для начала используют плохиши.
Также в распоряжении есть купленные сертифицированные надзорными органами средства .
Правда один из них является тем же набором из KALI и прочих. Но имеет соответствующие сертификаты гос. органов.
И пофиг, какие надстройки я использую над nmap, результат один и тот же .
Со стороны Flex детекта нет (3 срабатывания ADP из 1000 портов я не считаю даже.)
Я бы посоветовал воспользоваться указанным софтом для проверки ваших железок. Поскольку это не сферический конь в вакууме . А им все пользуются.
Да можете и не сообщать как вы проверяете , мне это не важно .
Я каждый день вижу пролетающие атаки .
Например Flex не считает атакой когда атакующий в два часа долбится каждые 5 сек и пропускает все пакеты. Или каждую минуту с 5-7 IP на идентичный порт.
P.S.
По поводу работы над ошибками - вы мне сказали о неизвестных сроках для решения и о закрытии заявки .Это плохо.
Пора выпускать бюллетень, дескать мы надежные, трабла встречается у уникумов,
но использовать RDP не надо.
0 -
Маленькое обновление. Обновился до версии 4.62(ABUI.0) как предложила система .
Прогнал NMAP c профилем intense scan , ключи -T4 -A -v.
Как и на предыдущих версиях прошивки nmap нашел открытые порты и собрал необходимую информацию для последующего анализа. ADP заблокировал c десяток коннектов на не используемые порты.
Запустил Intense scan (All Tcp) - тоже все отлично . Nmap почти все нашел . ADP заблокировало малую часть портов, как и в предыдущем тесте.
NMAP версии 7.91 , установка под W10 . Все тесты с настройками по умолчанию.
Плохиши по прежнему могут спокойно сканировать Flex 200 и собирать инфу о системе для дальнейших упражнений.
0 -
Павел, NMAP вначале проверяет дефолтные порты, и ADP не успевает среагировать, но если в настройках профиля ADP поставить высокую чувствительность и большой период блокировки (например максимальный на 3600 секунд), то NMAP уже ничего не успеет проверить кроме дефолтных портов, т.к. ADP сработает и заблокирует IP-адрес на 3600 секунд (если он же используется для доступа к шлюзу, то вы потеряете к нему доступ).0
-
У меня и стоит высокая чувствительность , единственное время блокировки стояло стандартное .onatoli4 said:Павел, NMAP вначале проверяет дефолтные порты, и ADP не успевает среагировать, но если в настройках профиля ADP поставить высокую чувствительность и большой период блокировки (например максимальный на 3600 секунд), то NMAP уже ничего не успеет проверить кроме дефолтных портов, т.к. ADP сработает и заблокирует IP-адрес на 3600 секунд (если он же используется для доступа к шлюзу, то вы потеряете к нему доступ).
Сканирование произвожу с домашнего компа , поменял время блокировки - Портов nmap нашел меньше , доступ я не потерял .
P.S.
А как быть с брутом RDP ?0 -
Какое время поставили? Пришли скрины настроек профиля и политик ADP.
Доступ не потерялся после окончания работы NMAP или во время его работы тоже?
Поставьте постоянный пинг на ПК перед запуском NMAP, а в самом NMAP - Intense scan (All Tcp).
0 -
стоит 3600. параллельно сканирую и сижу на работе . в скринах нет смысла , стандартный профиль из коробки , высокая чувствительность и 3600.
Меня больше брут интересует , поскольку с пролетающими атаками такого типа справляется микротик.0
Ally Member
Zyxel Employee
