USG FLEX 200, не ловит брут по RDP

Pavel

Это хорошо, что они планируют добавить хотя бы возможность ручного управления. Может быть поможет . Пока неизвестно когда это будет .
На текущий момент известно к сожалению одно  - мой flex 200 на последних прошивках 
НЕ ЛОВИТ RDP BRUTE СОВСЕМ. За почти три месяца проблема не исчезла даже после выхода различных обновлений. Перепробовал многие дистрибутивы для проверки - KALI, Parrot,NST,Languard и сертифицированные xspider и Ревизор. Дырка есть и не одна.
Грусть, тоска, печалька.
Также мой экземпляр не ловит scan port, их отлавливает  стоящий за флексом микротик.
Очередную заявку сделал - #190750

Zyxel_Andrew

НЕ ЛОВИТ RDP BRUTE СОВСЕМ - это неправильная формулировка.
Верно то, что RDP Brute Force атаки на Ваш шлюз не попадают под жестко запрограммированный критерий для определения таких атак. И мы собираемся изменить эту функцию.

Pavel

Так железка и не реагирует никак на атаки сделанные стандартными средствами.
Все пропускает, а значит - не ловит брут. Какие-бы жесткие критерии вы не использовали, они не работают. Дырка.
Как мне проверить этот ваш жесткий ? Любой плохиш, даже без спец навыков может попасть за фаер.
И хорошо , если только мне так повезло . Опять.
И писал я про свой экземпляр , и за три месяца разных атак он не поймал ни одной атаки .Все ручками, после чтения логов. И сроки оплаченной лицензии идут .

Zyxel_Andrew

железка и не реагирует никак на атаки сделанные стандартными средствами.

что за стандартные средства для RDP brute force? Вы только для port scan сообщали об использовании Nessus. 

Как мне проверить этот ваш жесткий ?

К сожалению не можем этого сообщить в целях безопасности. Речь о жесткой конфигурации порога срабатывания - определенное количество RDP сессий в единицу времени. Мы видим проблему и работаем над решением.

Pavel

Я в предыдущих сообщениях писал о используемых дистрибутивах и софте для проверки .
Вы должны были о них слышать. Вот их и считаю стандартными утилитами . Поскольку их как минимум для начала используют плохиши.

Также в распоряжении есть купленные сертифицированные надзорными органами средства .
Правда один из них является тем же набором из KALI и прочих. Но имеет соответствующие сертификаты гос. органов.

И пофиг, какие надстройки я использую над nmap, результат один и тот же .
Со стороны Flex детекта нет (3 срабатывания ADP из 1000 портов я не считаю даже.) 
Я бы посоветовал воспользоваться указанным софтом для проверки ваших железок. Поскольку это не сферический конь в вакууме . А им все пользуются.
Да можете и не сообщать как вы проверяете , мне это не важно . 
Я каждый день вижу пролетающие атаки . 
Например Flex не считает атакой когда атакующий  в два часа долбится каждые 5 сек и пропускает все пакеты. Или каждую минуту с 5-7 IP на идентичный порт.

P.S.
По поводу работы над ошибками - вы мне сказали о неизвестных сроках для решения и о закрытии заявки .Это плохо.
Пора выпускать бюллетень, дескать мы надежные, трабла встречается у уникумов,
но использовать RDP  не надо.

Pavel

Маленькое обновление. Обновился до версии 4.62(ABUI.0) как предложила система .
Прогнал NMAP c профилем intense scan , ключи  -T4 -A -v.
Как и на предыдущих версиях прошивки nmap нашел открытые порты и собрал необходимую информацию для последующего анализа. ADP заблокировал c десяток коннектов на не используемые порты.
Запустил Intense scan (All Tcp) - тоже все отлично . Nmap почти все нашел . ADP заблокировало малую часть портов, как и в предыдущем тесте.
NMAP версии 7.91 , установка под W10 . Все тесты с настройками по умолчанию.

Плохиши по прежнему могут спокойно сканировать Flex 200  и собирать инфу о системе для дальнейших упражнений.

onatoli4

Павел, NMAP вначале проверяет дефолтные порты, и ADP не успевает среагировать, но если в настройках профиля ADP поставить высокую чувствительность и большой период блокировки (например максимальный на 3600 секунд), то NMAP уже ничего не успеет проверить кроме дефолтных портов, т.к. ADP сработает и заблокирует IP-адрес на 3600 секунд (если он же используется для доступа к шлюзу, то вы потеряете к нему доступ).

Pavel

onatoli4 said:

Павел, NMAP вначале проверяет дефолтные порты, и ADP не успевает среагировать, но если в настройках профиля ADP поставить высокую чувствительность и большой период блокировки (например максимальный на 3600 секунд), то NMAP уже ничего не успеет проверить кроме дефолтных портов, т.к. ADP сработает и заблокирует IP-адрес на 3600 секунд (если он же используется для доступа к шлюзу, то вы потеряете к нему доступ).

У меня и стоит высокая чувствительность , единственное время блокировки стояло стандартное .
Сканирование произвожу с домашнего компа , поменял время блокировки - Портов nmap нашел меньше , доступ я не потерял . 
P.S.
А как быть с брутом RDP ?

onatoli4

Какое время поставили? Пришли скрины настроек профиля и политик ADP. 
Доступ не потерялся после окончания работы NMAP или во время его работы тоже? 
Поставьте постоянный пинг на ПК перед запуском NMAP, а в самом NMAP - Intense scan (All Tcp).

Pavel

стоит 3600. параллельно сканирую и сижу на работе . в скринах нет смысла , стандартный профиль из коробки , высокая чувствительность и 3600.
Меня больше брут интересует , поскольку с пролетающими атаками такого типа справляется микротик.