Pavel  Ally Member

Система предложила обновиться до V4.60(ABUI.1). Обновились . Фаервол - дырка. Время идет - пакеты проходят . Стабильность.

Отослал в почту , там объем маленький поскольку поток брался с фильтром. Если что-то не верно сделал . напишите , переделаю. Атакующие не в блоке на микротике, а в тарпите. Trepang - тот самый хост

а нигде , я же говорил , что не работает. Флекс эту атаку , за атаку не считает . У нее все пучком. Она якобы ловит какую-то фигню. P.S. Я еще 23 октября писал , что брут проходит . Уже скоро три месяца проблеме будет.

все пропускает . если нужны скрины - напиши , я чуть попозжа сделаю. P.S. приложил скрины

скрин приложил схема подключения не менялась еще с usg60 . микротик на 4 порту.

yes. many,many,many signature . BUT idp not detect. dash - attacker IP and service RDP mikrot - forward packet to computer victim,victim2,victim3 - screenshot from target computer P.S. Small question - why Microsoft Remote Desktop in Linux FreeBSD Platform ? :)))))))))))))))) In Russian forum no answer . :)))))))))))

Эту функцию видел в документации , когда искал по RDP. У нее еще приписка интересная, использовать только когда скажут. :) Все дело то в том , что не ловит Flex rdp brut. Сделал , как вы написали (dash2.jpg). Время блока - 20 мин. А далее все как обычно . Враги лезут (dash1.jpg), уже пара IP. Смотрю на микротике на…

yes, i change port - bruteforce , change port again - bruteforce . Easy redirect port to pfsense (suricata) - attacker is blocked. Maybe in USG need change something ?

Router# show idp session-block statusidp session-block activation: noidp session-block period: 60

have a bad IP -185.193.88.29. Information about IP https://www.abuseipdb.com/check/185.193.88.29 Screenshots - crop1 и crop2. At screenshots we can see attack time and time at victim computer. This activity continues last week, and Flex 200 don't identity or block attack or attacker. Sorry for Language, native is russian.…

4,6 have a some big problem with rdp brute force attack recognition .

Просто в USG60 вручную созданные правила блокировки IP отображались в статистике. И это было удобно .

Потому что эти соединения есть в логах станции. А почему нет статистики по IDP в вебморде ? в том смысле , что там всегда - 0 .

У меня тоже есть интересный момент , есть подсеть 92.63.197.0/24 . С нее последнее время постоянно лезут , и порты сканируют, и пытаются другими способами . Но не нахрапом , а постепенно . Меняя время попыток . И конечно , это все спокойно пропускается внутрь. Я перенаправил сессии микротиком в ловушку для удержания , но в…

Я же выше писал, что при выборе в поиске по сигнатурам Platform-Windows ничего про брутфорс rdp нет . Но оказалось, что искать нужно без указания платформы (IMHO странно). Тогда появляется про rdp. И даже скрин привёл с укзанием выдаваемой платформы. И как сказывается на общей производительности системы проверки на…