USG60, Дыра в работе IDP

Pavel
Pavel Публикаций: 109  Ally Member
First Anniversary Friend Collector First Comment
отредактировано мая 2020 Раздел: Техническая поддержка
Прихожу на работу и вижу в следующее

ух ты Брутят мерзавцы.

Открываем логи винды




Ну точно , открываем настройки PolicyControl





При этом спокойненько продолжают брутить .

Вопросы:
1 Мне продолжает везти ?
2 Что-то неверно настроено ?

P.S.
Сейчас прошивка 4,38
На прошивке WK08 - данное правило срабатывало следующим образом - система распознавала атаку, но пакеты пропускала, приходилось вручную банить.

И еще вопрос :
 1 Когда можно будет при добавлении подсети в объекты писать - 92.63.194.0/24,  а не 92.63.194.0 255,255,255,0 . 
«1

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Здравствуйте.

    Если возможно, пришлите конфигурацию шлюза в ЛС. Если нет, то мы попробуем самостоятельно проверить работу этого правила и сообщим результат.

    По поводу вопроса о CIDR формате для объекта SUBNET, то я запросил об этом разработчиков. Когда будет ответ, обязательно сообщу.
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано мая 2020
    Добрый день . 
    Прошло несколько дней , атаки наконец-то закончились. Хакеры устали . За выходные набежало следующее

    Банить по прежнему нужно вручную. Создание новых правил, правка старых - эффекта ноль .
    Переделывал по руководству с картинками - ноль. IDP на RDP Brute молчит.
    Если кому интересно , sec3 - лог событий с машины, в архиве syslog c usg



  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано мая 2020
    После обновления до 4,38 WK19 атаки стали детектироваться 
    однако по прежнему пакеты спокойно доходят до станции .


    и пофиг красной чугунке , что ей написали дропать пакеты

    Конфиг есть в ТП
    Если надо , то приложу полные логи со станции-проститутки и с доблестного фаервола.
    Не привыкать уже .
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    Если кому интересно - ответ из ТП после общения с разработчиками (Спасибо Андрею):

    Пока удалось уточнить, что правило RDP Brute Force login имеет предопределенную настройку, которая не имеет интерфейса для ручной настройки пользователем. Однако если текущие настройки не устраивают, можно просить разработчиков об их изменении.
    В данный момент, в качестве определения угрозы это правило срабатывает только при наличии 10 входящих пакетов RDP login в течении 10 сек. Если за 10 сек было 30 обращений, то это правило сработает 3 раза. Так же выяснилось, что в результате срабатывания этого правила блокируется только каждый 10-й такой пакет.
    Пока в качестве временного решения можно только блокировать пользователей средствами файервола.


  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
     1 Когда можно будет при добавлении подсети в объекты писать - 92.63.194.0/24,  а не 92.63.194.0 255,255,255,0 

    Добавление возможности указывать IP объект в формате CIDR notation планируется к реализации в 2021 году.
    К сожалению более точной информации пока нет, как и нет гарантии, что новые версии в следующем году будут выпускаться так же и для USG60, так как на смену этого поколения USG уже летом этого года придет новое поколение USG FLEX.

  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано мая 2020
    Для меня уже нет смысла вообще смотреть в сторону Zyxel. И к сожалению рекомендовать тоже никак . Надоело быть тестером . За время, до ее отключения набралось еще 4 замечательных бага . Открывать в саппорте не вижу смысла . Плюс на смену приходит гибкое USG . Ну нафиг. Может попозжа воткну в нее топор и выложу сюда фотку. Типа Фаер дырявый по настоящему .

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    отредактировано июня 2020
    По поводу отработки правила IDP - RDP Brute Force login. Мы планируем изменить дизайн этого правила таим образом, что бы после срабатывания правило продолжало блокировать эти же попытки обращения по RDP в течении некоторого времени.
    Выпуск микропрограммы с новым дизайном этого правила запланирован на середину июля этого года. 
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    Это конечно очень здорово , но до момента исправления видимо все защитное оборудование 
    будет дружно пропускать атаки .
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    До выпуска исправления рекомендую вручную заносить адреса замеченные в попытке подбора акаунта RDP в блокирующее правило политик безопасности.
  • alexey
    alexey Публикаций: 188  Master Member
    First Anniversary 10 Comments Friend Collector
    Zyxel_Andrew said:
    До выпуска исправления рекомендую вручную заносить адреса замеченные в попытке подбора акаунта RDP в блокирующее правило политик безопасности.
      У меня есть идея получше. Надо написать в РКН, что на этих ip-адрес расположены сервера телеграмма. Пускай заблокирует их на территории России. Современные проблемы требуют современных решений.

Разделы

Центр Помощи Zyxel

EnglishTiếng ViệtРусскийไทย中文(台灣)