USG FLEX 200, вопрос по работу IDP
Pavel
Публикаций: 112 
Ally Member
Ally Member
Раздел: Общие вопросы
В usg60 можно было в Policy можно было включить профиль IDP, например для контроля брута.
сейчас у меня даже пункта такого нет
Куда запрятали эту возможность ?
данный сервис лицензирован и активирован.
И почему-то если искать по сигнатурам в IDP - нет ничего по бруту rdp .
Прошивка WK30.
сейчас у меня даже пункта такого нет
Куда запрятали эту возможность ?
данный сервис лицензирован и активирован.
И почему-то если искать по сигнатурам в IDP - нет ничего по бруту rdp .
Прошивка WK30.
0
All Replies
-
Для брута rdp есть сигнатура с ID 130014 (rdp просто не сокращенно написано).
На USG FLEX и ATP функционал антивируса и IDP не привязывается к политикам безопасности, а проверяет весь трафик. При этом в IP exception можно задать исключения.0 -
Действительно, я при поиске задавал платформу Windows, однако многое касательно Microsoft теперь в платформе Linux, Freebsd.
При этом интерфейс выдает ошибку.
0 -
В поиске нельзя использовать пробел, поэтому выдаёт ошибку.0
-
Здравствуйте.
В сигнатурах для 4.55 это правило для IDP имеет немного другое название: Remote Desktop Protocol brute force attepmt.
IDP в USG Flex включается глобально и для исключений применяется новая функция IP Exception в правилах которой можно указать и IDP.
0 -
Я же выше писал, что при выборе в поиске по сигнатурам Platform-Windows ничего про брутфорс rdp нет . Но оказалось, что искать нужно без указания платформы (IMHO странно). Тогда появляется про rdp. И даже скрин привёл с укзанием выдаваемой платформы.Zyxel_Andrew said:Здравствуйте.
В сигнатурах для 4.55 это правило для IDP имеет немного другое название: Remote Desktop Protocol brute force attepmt.
IDP в USG Flex включается глобально и для исключений применяется новая функция IP Exception в правилах которой можно указать и IDP.
И как сказывается на общей производительности системы проверки на брутфорс rdp например, там где это не нужно ? Или система использует сигнатуры исходя из сервиса в правиле ?0 -
И как сказывается на общей производительности системы проверки на брутфорс rdp например, там где это не нужно ?
А для чего проверять там, где не нужно? система проверяет по тем сигнатурам,которые активны для определенной UTM функции и не проверяет пакеты соответствующие правилам исключения.
0 -
Присоединяюсь к треду.
USG FLEX 100
130014 активирована, но касперский рапортует о брутфорс атаках на один хост.
Атаки с периодичностью 3 в минуту.
В логах тишина.0 -
Можете собрать дамп с внешнего и локального интерфейса USG во время атаки?0
-
У меня тоже есть интересный момент , есть подсеть 92.63.197.0/24 . С нее последнее время постоянно лезут , и порты сканируют, и пытаются другими способами . Но не нахрапом , а постепенно . Меняя время попыток . И конечно , это все спокойно пропускается внутрь.
Я перенаправил сессии микротиком в ловушку для удержания , но в целом неприятно.
За это время перепробовал три прошивки . 4,55 и две WK.
Только если банить вручную , то получается как на скрине выше, опять же очень "удобно" вводить не CIDR а 255,255 .
Плюс если зайти в закладку ATP вебморды , как на втором скрине в прищепке - то в IDP Statistic стоит 0 . Может быть и не должно конечно
, но выглядит странно . 0
Zyxel Employee
Freshman Member
