USG FLEX 200, не ловит брут по RDP

Pavel

а нигде , я же говорил , что не работает. Флекс эту атаку , за атаку не считает . У нее все пучком. Она якобы ловит какую-то фигню.
P.S.
Я еще 23 октября писал , что брут проходит . Уже скоро три месяца проблеме будет.

Zyxel_Andrew

Для того, что бы можно было что-то предъявить разработчикам IDP нужно собрать одновременный захват пакетов на шлюзе с WAN и LAN интерфейсов (pcap файлы), полный лог шлюза в текстовом формате и скрины с windows event log той станции, куда это все в итоге пришло. Вся эта информация должна совпадать по времени друг с другом.
Сможете такое собрать?

Pavel

Отослал в почту , там объем маленький поскольку поток брался с фильтром.
Если что-то не верно сделал . напишите , переделаю.
Атакующие не в блоке на микротике, а в тарпите.
Trepang - тот самый хост

Pavel

Система предложила обновиться до V4.60(ABUI.1). Обновились . Фаервол - дырка.
Время идет - пакеты проходят . Стабильность.

Zyxel_Andrew

Все изменения новой версии описаны тут:
https://businessforum.zyxel.com/discussion/5254/whats-new-for-zld4-60-patch-1-available-on-dec-15

Если видите, что с одного и того же адреса постоянно идут попытки несанкционированного доступа добавьте адрес источника в блок-список в политиках безопасности.
Поведение IDP мы еще обсуждаем внутри компании. Я обязательно сообщу результат обсуждения, когда он будет.

Pavel

Да я читал список изменений . 
Атаки идут с разных адресов , а банить вручную на Флексе - то еще удовольствие , cidr не умеем, а по одному вбивать через Object-address, а потом добавлять в Group - изощренный способ для любителей техно порно . Никаких средств автоматизации, например из интерфейса сразу добавить атакующего в список используя современное изобретение - мышь.
Попробуйте внести 50-60 адресов в блокирующее правило . Если есть вариант проще - подскажите пожалуйста.

да и поведение IDP отличное - игнорировать . Извините - накипело . Ждемс решения .

Zyxel_Andrew

CIDR планируем добавить в следующей версии микропрограммы (5.00 весной 2021).
Если есть хорошие идеи по автоматизации, присылайте к нам в поддержку, желательно со скриншотами, как вы видите улучшение. Отправим разработчикам.

Pavel

Вроде собирались в 4.60 добавить . Ждемс.
По поводу предложений - подумаю, как лучше изложить.
А может стОит изменить ABUI.1 на что-то другое, а то в русской раскладке  выходит ФИГш.1 )))) Может в этом причина мелких глюков  

Pavel

Легкое обновление по вопросу .
Берем Kali. В нем запускаем nmap -A -T4 My-IP или nmap -sV My-IP -p 1-65535
 и видим прохождение  пакетов. 
Берем patator rdp_login. и Видим прохождение  пакетов.
Идрить-колотить.
Без всяких спец опций. 
Все тулзы запускаются просто из коробки.
Даже если взять сертифицированный сканер безопасности - скан портов проходит , блока нет . 
Даже удается узнать о системе что-то.
Много времени на сбор и анализ нет.
P.S.
Это к вопросу о том , что я уникален . И моя проблема с атакующими меня хацкерами уникальна.

Zyxel_Andrew

Я получил подтверждение разработчиков, что они планируют добавить возможность ручной настройки порога для IDP правила RDP Brute Force.
По другим обнаруженным проблемам с безопасностью прошу открыть заявки в системе поддержки для их детального изучения.