Перейти к содержанию

Recommended Posts

Shell

День добрый.

Уже кратенько обмалвливался о IPS включенном в SEP.

Итак, версия SEP 11.0.4202. Хост пингуется icmp пакетами длинной 1500. С чего бы этого DOS?)

Ну, чисто теоретически можно организовать DOS таким образом но хост должен быть не один :)

c58fcb7084e9t.jpg

Здесь вопрос не как добавить исключения - это все работает. Больше интересует состав сигнатур, их функционал и работоспособность.

P.S. А вот открытое tcp сканирование nmap по прежнему не детектится :rolleyes:

Опция определения скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Shell,

А с какими параметрами nmap вводили?

Вообще SEP, как правило, всегда детектит любое сканирование

портов, включая nmap. Модуль Network Threat Protection активирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
С чего бы этого DOS?)

Ну потому что похоже на DDOS, таких запросов по хорошему быть не должно. Задача IPS не только защищать от атак и закрывать уязвимости, но и фильтровать бесполезный трафик, чтобы Вы его потом могли закрыть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

По поводу nmap.

Вот настройки IPS

3c738d8a4860.jpg

В исключениях IPS по сигнатуркам - ничего нет.

Network Threat Protection активирован на хосте.

Вот, собственно nmap без ключей с платформы freebsd 7.1-Rel.

6e97e764a68b.jpg

Итог - хост не видит сканирования. В SEPM на отчетах тоже пусто.

e31a88aa335ft.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell
А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Определение сканирования входит в политику IPS, она для группы я так понимаю применена? Клиент, на который отправляются пакеты, именно версии 4202?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Да, Кирилл. Все верно. Клиент 11.0.4202.75. Политика IPS применена на клиента. Опция детектирования скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Головенко
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Попробуйте активировать политику фаерволла для этого клиента и обязательно включите "Занесение в журнал" для всех правил.

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

Cisco MARS - это все-таки продукт немного другого класса. Если сравнивать с ним, то у Symantec для подобных целей есть Security Information Manager (pdf), который позволяет следить за любой активностью в сети и оперативно выявлять подобные инциденты. Подробнее можно посмотреть тут:

http://www.anti-malware.ru/forum/index.php?showtopic=4324

Раздел IV. Управление безопасностью:

4.1. Symantec Security Information Manager 9600 Series

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Олег, я "образно" :)

Сравнивать IPS здесь не собираюсь.

Например, ничто же не мешает писать в отчет в SEPM сигнатуру по которой была детектирована атака. Верно? Сейчас же в отчете этого нет (по крайней мере визуально первоначально. К сожалению или радости, у меня нет в данное время алертов в мониторе в SEPM чтобы детализированно открыть и посмотреть).

Журналирование и файерволл включу на досуге, посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×