USG FLEX 200, не ловит брут по RDP

Zyxel_Andrew

Про брут для RDP я уже сообщал ранее, что мы ждем информации от разработчиков IDP платформы когда эта функция сможет быть настраиваемая. Если будет новая информация по этому вопросу я сообщу.

Pavel

Может кому будет полезно из пользователей.
Легкое финальное дополнение по отлову скана портов :
При включении высокой чувствительности и большого времени блокировки - Flex начинает лучше блочить атакующих .
С некоторыми оговорками - отлавливает не все , в моем случае nmap собрал таки инфу , но потратил гораздо больше времени,
чем при настройках по умолчанию.
Связь при этом с компа атакующего (моего)  с Flex не прервалась , как имел доступ к работе , так и работал (pptp или l2tp).
Все это нужно учитывать при эксплуатации, постоянно смотреть и перепроверять .
С брутом RDP Flex пока справляется плохо , лучше использовать другие средства контроля и блокировки при его использовании.

onatoli4

Какое время блокировки поставили? Максимальное - 3600 секунд? Сколько времени потратил nmap на скан? Какие порты обнаружил? Дефолтных сервисов? Как я раньше говорил, nmap вначале начинает с них, поэтому успеет их обнаружить до срабатывания блокировки. Через 3600 секунд когда снимется блок, он успеет ещё какую-то часть проверить до следующей блокировки на 3600 секунд. 
Связь с компа могла не пропасть, если построен туннель, так как это уже открытая рабочая сессия и она прерываться не будет. 
Насчет брута RDP разработчики обещают добавить возможность вручную изменять критерии блокировки, сейчас они жестко зашиты поставщиком сигнатур и не раскрываются. Возможно, получится убедить их раскрыть информацию и создать вручную кастомную сигнатуру со своими критериями блокировки.

Pavel

3600 . Время работы ~4,5 часа , если правильно помню. Нарыл порты которые я занатил, ~30%.
L2tp переподключал , линк все равно появлялся.
по RDP - хотелось бы , ибо дырка выходит . Ждемс. 
P.S.
А где в реальном времени можно глянуть заблокированных аттакеров , и удалить из блока ?

Zyxel_Andrew

А где в реальном времени можно глянуть заблокированных аттакеров , и удалить из блока ?

Можем перенести этот вопрос в поддержку? Документированных способов нет. Но возможно есть какие-то скрытые возможности..

Pavel

Можно, а то вообще непонятно что происходит

Zyxel_Andrew

Скрытых возможностей в CLI так же нет. 

а то вообще непонятно что происходит

а как же лог?

Pavel

Логирование тут на мой взгляд слабоватое . (сравниваю с другим используемым оборудованием)


Формат пересылаемого лога из монитора для отчета - тупо текст (если есть где включить html, csv подскажите ), 
не шибко удобно изучать.

Но есть куча забавного в IDP логе
1  забит Microsoft Office BMP Header biClrUsed Integer Overflow Action, так это вроде к office xp относится. такого нет.
2 Blue Coat BCAAA Stack Buffer Overflow Action - у меня в сети нет оборудования и софта такого.
3 CVE-2015-1649 - это 2007,2010 office - таких у меня нет
4 CA BrightStor ARCServe Backup LGServer Stack Buffer Overflow, Siemens Solid Edge SEListCtrlX - у меня такого нет.
да и еще других наберется, чего у меня нет.


После включения ADP на максимум , лог ADP  забит - [type=Flood-Detection(54)] udp-flood Action: Drop Packet.
И это с двух соединений которые у меня разрешены и для них созданы правила . и там дропать не надо ничего.
Как добавить нужные адреса в белый список?

Pavel

Еще один момент .
1 есть плохиш -188.190.223.132, как обычно дырявит rdp brute .
2 В правилах стоит доступ только с IP РФ.
3 Flex 200 с geoip v20210210 определяет его как РФ и соответственно пропускает. Если проверять другими сервисами , 2ip, geoipview и многими другими, то определяет как Луганск, Украина. Правда , если флекс использует Maxmind - тогда это Донецк из России.
Кто прав ?

Pavel

О гуру Zyxel. Скажите пожалуйста , мне на мои вопросы нужно отдельную тему открывать , или сразу запрос в тех поддержку, или и там и там .