USG FLEX 200 . широкая RDP Дырка.

Pavel
Pavel Публикаций: 109  Ally Member
First Anniversary Friend Collector First Comment
Давненько не спрашивал.
Текущая версия прошивки уже 5.10(ABUI.0)
Суть проблемы - старая дырища в атаке на RDP :)
есть брутфорсер, насилует жертву.


Flex никак не хочет считать это за угрозу и все пропускает.
Обещали подправить правило еще в 4,6 , :))))))))

за все время эксплуатации FLEX неприпомню блокировки rdp брутеров.
приходится все делать микротиком.

Доколе ?! :)

«1

All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Здравствуйте!

    С версии 5.10 появилась возможность устанавливать собственные параметры критерия срабатывания brute force правил IDP, а так же установки продолжительности блокировки адреса источника запросов.
    Пожалуйста настройте это правило для блокировки атак на ваш шлюз.
    Параметры секунд (Seconds) и количество (Count) определяют критерий сколько таких пакетов (Count) в течении определенного интервала времени (Seconds) должен получить шлюз для срабатывания этого правила.


  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    я видел эти настройки. Перепробовал разные варианты, не блочит . Помогите подобрать нужные параметры. Вот свежий скрин.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Здравствуйте! 
    Пожалуйста откройте заявку в поддержке по этому вопросу и пришлите в нее захват пакетов во время RDP Brute Force атаки.
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    Zyxel_Andrew написал:
    Здравствуйте! 
    Пожалуйста откройте заявку в поддержке по этому вопросу и пришлите в нее захват пакетов во время RDP Brute Force атаки.
    Создал заявку. чуть задержка в связи с пропажей хацкеров.
  • jonatan
    jonatan Публикаций: 143  Ally Member
    First Anniversary 10 Comments Friend Collector First Answer
    У меня в логах те же IP, Flex так же не реагирует.


  • jonatan
    jonatan Публикаций: 143  Ally Member
    First Anniversary 10 Comments Friend Collector First Answer
    После изменения настройки на



    Стали появляться сообщения о блокировках


  • jonatan
    jonatan Публикаций: 143  Ally Member
    First Anniversary 10 Comments Friend Collector First Answer
    Установил следующие настройки и Flex постепенно заблокировал все IP.


  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    jonatan написал:
    Установил следующие настройки и Flex постепенно заблокировал все IP.


    я пробовал разные варианты , даже 1 пакет в  1 сек  . Ноль отлова.  :(

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Павел, проверял неоднократно, правило IPS Remote Desktop Protocol brute force attempt работает. Если ставить в правиле Count = 1 то блокировка срабатывает при первом же неправильном пароле. Но, надо помнить, что это правило не блокирует по любым входящим сессиям на 3389 порт, а срабатывает только при получении обратного сообщения о том, что введенный пароль неправильный.
    т.е. можно просто устанавливать rdp соединения, видеть кучу входящих обращений на 3389 порт, но если при этом не вводить пароль, то правило отрабатывать не будет.
    Если вы это учли но правило все равно не отрабатывает то нужно смотреть настройки IPS, глобальные ли они на весь трафик или по политикам. Во втором случае IPS не будет срабатывать если не указать профиль в правильной политике безопасности (той, что разрешает доступ на локальный RDP сервер).
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    Zyxel_Andrew написал:
    Павел, проверял неоднократно, правило IPS Remote Desktop Protocol brute force attempt работает. Если ставить в правиле Count = 1 то блокировка срабатывает при первом же неправильном пароле. Но, надо помнить, что это правило не блокирует по любым входящим сессиям на 3389 порт, а срабатывает только при получении обратного сообщения о том, что введенный пароль неправильный.
    т.е. можно просто устанавливать rdp соединения, видеть кучу входящих обращений на 3389 порт, но если при этом не вводить пароль, то правило отрабатывать не будет.
    Если вы это учли но правило все равно не отрабатывает то нужно смотреть настройки IPS, глобальные ли они на весь трафик или по политикам. Во втором случае IPS не будет срабатывать если не указать профиль в правильной политике безопасности (той, что разрешает доступ на локальный RDP сервер).
    Да я понимаю как это работает, и на станции в логах видны пользователи под которыми хацкеры по спискам работают. т.е. система отвечает о не правильном пользователе, а рекакции Флекса нет.

    Лог на станции забит левыми пользователями.
    Причем иногда Флекс что-то отлавливает

                          

    Баним Микротиком. Конфигурации моей железки у вас есть , там ничего не менялось. Скринов присылал дофига. Захваты пакетов тоже.

    Заметил , что при обновлении прошивки на 5,1 и правил  система стала чаще отлавливать PortScan . На этот счет я тоже открывал заявки в свое  время.

    Я уже даже не шибко возмущаюсь , что упала скорость скачивания (примерно на 1.5MB)при переходе на 5,1. Какие-то индусы код пишут видимо . Сорри.

    На текущий момент отключил РДП  за ислючением одного очень нужного (защищается ПО) и одной жертвы ради академического интереса.