Pavel  Ally Member

Комментарии

  • Еще один момент . 1 есть плохиш -188.190.223.132, как обычно дырявит rdp brute . 2 В правилах стоит доступ только с IP РФ. 3 Flex 200 с geoip v20210210 определяет его как РФ и соответственно пропускает. Если проверять другими сервисами , 2ip, geoipview и многими другими, то определяет как Луганск, Украина. Правда , если…
  • Логирование тут на мой взгляд слабоватое . (сравниваю с другим используемым оборудованием) Формат пересылаемого лога из монитора для отчета - тупо текст (если есть где включить html, csv подскажите ), не шибко удобно изучать. Но есть куча забавного в IDP логе 1 забит Microsoft Office BMP Header biClrUsed Integer Overflow…
  • Можно, а то вообще непонятно что происходит :)
  • Да ниже в АМ и нет ничего особо . Но скрин приложил. Да я понимаю , что он и должен вроде отлавливать . Но за все время использования , не поймал при текущих настройках ничего . Согласно его же статистике. При этом антивирь на эксчейндже периодически рапортует о заразе. Переключил на stream. А блокировку я имел ввиду по…
  • 3600 . Время работы ~4,5 часа , если правильно помню. Нарыл порты которые я занатил, ~30%. L2tp переподключал , линк все равно появлялся. по RDP - хотелось бы , ибо дырка выходит . Ждемс. P.S. А где в реальном времени можно глянуть заблокированных аттакеров , и удалить из блока ?
  • Может кому будет полезно из пользователей. Легкое финальное дополнение по отлову скана портов : При включении высокой чувствительности и большого времени блокировки - Flex начинает лучше блочить атакующих . С некоторыми оговорками - отлавливает не все , в моем случае nmap собрал таки инфу , но потратил гораздо больше…
  • стоит 3600. параллельно сканирую и сижу на работе . в скринах нет смысла , стандартный профиль из коробки , высокая чувствительность и 3600. Меня больше брут интересует , поскольку с пролетающими атаками такого типа справляется микротик.
    Раздел: USG FLEX 200, не ловит брут по RDP Комментарий от Pavel января 2021
  • У меня и стоит высокая чувствительность , единственное время блокировки стояло стандартное . Сканирование произвожу с домашнего компа , поменял время блокировки - Портов nmap нашел меньше , доступ я не потерял . P.S. А как быть с брутом RDP ?
    Раздел: USG FLEX 200, не ловит брут по RDP Комментарий от Pavel января 2021
  • Маленькое обновление. Обновился до версии 4.62(ABUI.0) как предложила система . Прогнал NMAP c профилем intense scan , ключи -T4 -A -v. Как и на предыдущих версиях прошивки nmap нашел открытые порты и собрал необходимую информацию для последующего анализа. ADP заблокировал c десяток коннектов на не используемые порты.…
    Раздел: USG FLEX 200, не ловит брут по RDP Комментарий от Pavel января 2021
  • Я в предыдущих сообщениях писал о используемых дистрибутивах и софте для проверки . Вы должны были о них слышать. Вот их и считаю стандартными утилитами . Поскольку их как минимум для начала используют плохиши. Также в распоряжении есть купленные сертифицированные надзорными органами средства . Правда один из них является…
    Раздел: USG FLEX 200, не ловит брут по RDP Комментарий от Pavel января 2021
  • Так железка и не реагирует никак на атаки сделанные стандартными средствами. Все пропускает, а значит - не ловит брут. Какие-бы жесткие критерии вы не использовали, они не работают. Дырка. Как мне проверить этот ваш жесткий ? Любой плохиш, даже без спец навыков может попасть за фаер. И хорошо , если только мне так повезло…
    Раздел: USG FLEX 200, не ловит брут по RDP Комментарий от Pavel января 2021
  • Это хорошо, что они планируют добавить хотя бы возможность ручного управления. Может быть поможет . Пока неизвестно когда это будет . На текущий момент известно к сожалению одно - мой flex 200 на последних прошивках НЕ ЛОВИТ RDP BRUTE СОВСЕМ. За почти три месяца проблема не исчезла даже после выхода различных обновлений.…
    Раздел: USG FLEX 200, не ловит брут по RDP Комментарий от Pavel января 2021
  • Легкое обновление по вопросу . Берем Kali. В нем запускаем nmap -A -T4 My-IP или nmap -sV My-IP -p 1-65535 и видим прохождение пакетов. Берем patator rdp_login. и Видим прохождение пакетов. Идрить-колотить. Без всяких спец опций. Все тулзы запускаются просто из коробки. Даже если взять сертифицированный сканер безопасности…
  • Вроде собирались в 4.60 добавить . Ждемс. По поводу предложений - подумаю, как лучше изложить. А может стОит изменить ABUI.1 на что-то другое, а то в русской раскладке выходит ФИГш.1 :))))) Может в этом причина мелких глюков :) 
  • Да я читал список изменений . Атаки идут с разных адресов , а банить вручную на Флексе - то еще удовольствие , cidr не умеем, а по одному вбивать через Object-address, а потом добавлять в Group - изощренный способ для любителей техно порно . Никаких средств автоматизации, например из интерфейса сразу добавить атакующего в…
Default Avatar