USG FLEX 200, не ловит брут по RDP

124»

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Про брут для RDP я уже сообщал ранее, что мы ждем информации от разработчиков IDP платформы когда эта функция сможет быть настраиваемая. Если будет новая информация по этому вопросу я сообщу.
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    Может кому будет полезно из пользователей.
    Легкое финальное дополнение по отлову скана портов :
    При включении высокой чувствительности и большого времени блокировки - Flex начинает лучше блочить атакующих .
    С некоторыми оговорками - отлавливает не все , в моем случае nmap собрал таки инфу , но потратил гораздо больше времени,
    чем при настройках по умолчанию.
    Связь при этом с компа атакующего (моего)  с Flex не прервалась , как имел доступ к работе , так и работал (pptp или l2tp).
    Все это нужно учитывать при эксплуатации, постоянно смотреть и перепроверять .
    С брутом RDP Flex пока справляется плохо , лучше использовать другие средства контроля и блокировки при его использовании.



  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Какое время блокировки поставили? Максимальное - 3600 секунд? Сколько времени потратил nmap на скан? Какие порты обнаружил? Дефолтных сервисов? Как я раньше говорил, nmap вначале начинает с них, поэтому успеет их обнаружить до срабатывания блокировки. Через 3600 секунд когда снимется блок, он успеет ещё какую-то часть проверить до следующей блокировки на 3600 секунд. 
    Связь с компа могла не пропасть, если построен туннель, так как это уже открытая рабочая сессия и она прерываться не будет. 
    Насчет брута RDP разработчики обещают добавить возможность вручную изменять критерии блокировки, сейчас они жестко зашиты поставщиком сигнатур и не раскрываются. Возможно, получится убедить их раскрыть информацию и создать вручную кастомную сигнатуру со своими критериями блокировки.
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано февраля 2021
    3600 . Время работы ~4,5 часа , если правильно помню. Нарыл порты которые я занатил, ~30%.
    L2tp переподключал , линк все равно появлялся.
    по RDP - хотелось бы , ибо дырка выходит . Ждемс. 
    P.S.
    А где в реальном времени можно глянуть заблокированных аттакеров , и удалить из блока ?
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    А где в реальном времени можно глянуть заблокированных аттакеров , и удалить из блока ?

    Можем перенести этот вопрос в поддержку? Документированных способов нет. Но возможно есть какие-то скрытые возможности..

  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    Можно, а то вообще непонятно что происходит :)
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Скрытых возможностей в CLI так же нет. 
    а то вообще непонятно что происходит
    а как же лог?
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано февраля 2021
    Логирование тут на мой взгляд слабоватое . (сравниваю с другим используемым оборудованием)


    Формат пересылаемого лога из монитора для отчета - тупо текст (если есть где включить html, csv подскажите ), 
    не шибко удобно изучать.

    Но есть куча забавного в IDP логе
    1  забит Microsoft Office BMP Header biClrUsed Integer Overflow Action, так это вроде к office xp относится. такого нет.
    2 Blue Coat BCAAA Stack Buffer Overflow Action - у меня в сети нет оборудования и софта такого.
    3 CVE-2015-1649 - это 2007,2010 office - таких у меня нет
    4 CA BrightStor ARCServe Backup LGServer Stack Buffer Overflow, Siemens Solid Edge SEListCtrlX - у меня такого нет.
    да и еще других наберется, чего у меня нет.


    После включения ADP на максимум , лог ADP  забит - [type=Flood-Detection(54)] udp-flood Action: Drop Packet.
    И это с двух соединений которые у меня разрешены и для них созданы правила . и там дропать не надо ничего.
    Как добавить нужные адреса в белый список?






  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано февраля 2021
    Еще один момент .
    1 есть плохиш -188.190.223.132, как обычно дырявит rdp brute .
    2 В правилах стоит доступ только с IP РФ.
    3 Flex 200 с geoip v20210210 определяет его как РФ и соответственно пропускает. Если проверять другими сервисами , 2ip, geoipview и многими другими, то определяет как Луганск, Украина. Правда , если флекс использует Maxmind - тогда это Донецк из России. :)
    Кто прав ?
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    О гуру Zyxel. Скажите пожалуйста , мне на мои вопросы нужно отдельную тему открывать , или сразу запрос в тех поддержку, или и там и там .