USG FLEX 200, не ловит брут по RDP

Pavel
Pavel Публикаций: 112  Ally Member
First Comment Friend Collector Fourth Anniversary
отредактировано декабря 2020 Раздел: Общие вопросы
Есть хреновый IP -185.193.88.29. Информация о нем есть  https://www.abuseipdb.com/check/185.193.88.29
Последнюю неделю он постоянно ломится на мои внутренние IP.
И красная железка все пропускает.
скрины есть - crop1 и crop2.
видно и время коннекта и время на жертве.
Менял чувствительность - пофиг. Все проходит.
Я уже поднимал этот вопрос , а воз и ныне там . Дуршлачный фаер.
Прошивка 4.60 , но на предыдущей было тоже самое.
«134

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Можете прислать ответ вашего шлюза на команду ниже?
    show idp session-block status


  • Pavel
    Pavel Публикаций: 112  Ally Member
    First Comment Friend Collector Fourth Anniversary
    Zyxel_Andrew said:
    Можете прислать ответ вашего шлюза на команду ниже?
    show idp session-block status


    Router# show idp session-block status
    idp session-block activation: no
    idp session-block period: 60

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    отредактировано декабря 2020
    Активируйте функцию блокировки RDP сессии после срабатывания IDP правила (на указанный период времени - от 1 секунды до 1 часа).

    Router(config)# idp session-block activate
    Router(config)# idp session-block period <1..3600> (seconds)
    Router(config)# write


  • Pavel
    Pavel Публикаций: 112  Ally Member
    First Comment Friend Collector Fourth Anniversary
    Эту функцию видел в документации , когда искал по RDP. У нее еще приписка интересная, использовать только когда скажут. :)
    Все дело то в том , что не ловит Flex rdp brut.
    Сделал , как вы написали (dash2.jpg). Время блока - 20 мин.
    А далее все как обычно .
    Враги лезут (dash1.jpg), уже пара IP.
    Смотрю на микротике на проходящие пакеты (mikrot.jpg). Пакеты проходят.
    Смотрю логи на станции - брут есть . (victim.jpg и victim2.jpg)
    Данные атаки спокойненько попали в цель.(victim3.jpg)



  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Покажите еще раз ответ на "show idp session-block status".
    и заодно "show version"
    Микротик стоит мостом в LAN флекса?
  • Pavel
    Pavel Публикаций: 112  Ally Member
    First Comment Friend Collector Fourth Anniversary
    скрин приложил
    схема подключения не менялась еще с usg60 . микротик на 4 порту.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Попробуйте обновиться на недельное обновление для 4.60 - WK48. Проверьте, будет ли так же пропускать?
  • Pavel
    Pavel Публикаций: 112  Ally Member
    First Comment Friend Collector Fourth Anniversary
    отредактировано декабря 2020
    все пропускает . если нужны скрины - напиши , я чуть попозжа сделаю.
    P.S.
    приложил скрины
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Спасибо за проверку.  Для этой проблемы мне нужно открыть заявку - #184669
    Можем продолжать и тут и там, как вам удобнее.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Подождите, я как то не обратил сразу на это внимание, а где лог на шлюзе о срабатывании IDP? idp session-block будет отрабатывать только после того, как сработало соответствующее IDP правило. Оно срабатывает? В ваших скриншотах не вижу его. Там только алерты на срабатывание политик безопасности!

Разделы

Центр Помощи Zyxel

EnglishTiếng ViệtРусскийไทย中文(台灣)