Shell

Symantec Endpoint Protection

В этой теме 10 сообщений

День добрый.

Уже кратенько обмалвливался о IPS включенном в SEP.

Итак, версия SEP 11.0.4202. Хост пингуется icmp пакетами длинной 1500. С чего бы этого DOS?)

Ну, чисто теоретически можно организовать DOS таким образом но хост должен быть не один :)

c58fcb7084e9t.jpg

Здесь вопрос не как добавить исключения - это все работает. Больше интересует состав сигнатур, их функционал и работоспособность.

P.S. А вот открытое tcp сканирование nmap по прежнему не детектится :rolleyes:

Опция определения скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Shell,

А с какими параметрами nmap вводили?

Вообще SEP, как правило, всегда детектит любое сканирование

портов, включая nmap. Модуль Network Threat Protection активирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С чего бы этого DOS?)

Ну потому что похоже на DDOS, таких запросов по хорошему быть не должно. Задача IPS не только защищать от атак и закрывать уязвимости, но и фильтровать бесполезный трафик, чтобы Вы его потом могли закрыть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

По поводу nmap.

Вот настройки IPS

3c738d8a4860.jpg

В исключениях IPS по сигнатуркам - ничего нет.

Network Threat Protection активирован на хосте.

Вот, собственно nmap без ключей с платформы freebsd 7.1-Rel.

6e97e764a68b.jpg

Итог - хост не видит сканирования. В SEPM на отчетах тоже пусто.

e31a88aa335ft.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Определение сканирования входит в политику IPS, она для группы я так понимаю применена? Клиент, на который отправляются пакеты, именно версии 4202?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, Кирилл. Все верно. Клиент 11.0.4202.75. Политика IPS применена на клиента. Опция детектирования скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Попробуйте активировать политику фаерволла для этого клиента и обязательно включите "Занесение в журнал" для всех правил.

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

Cisco MARS - это все-таки продукт немного другого класса. Если сравнивать с ним, то у Symantec для подобных целей есть Security Information Manager (pdf), который позволяет следить за любой активностью в сети и оперативно выявлять подобные инциденты. Подробнее можно посмотреть тут:

http://www.anti-malware.ru/forum/index.php?showtopic=4324

Раздел IV. Управление безопасностью:

4.1. Symantec Security Information Manager 9600 Series

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Олег, я "образно" :)

Сравнивать IPS здесь не собираюсь.

Например, ничто же не мешает писать в отчет в SEPM сигнатуру по которой была детектирована атака. Верно? Сейчас же в отчете этого нет (по крайней мере визуально первоначально. К сожалению или радости, у меня нет в данное время алертов в мониторе в SEPM чтобы детализированно открыть и посмотреть).

Журналирование и файерволл включу на досуге, посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.
    • Bomborgman
      Точно такая же проблема на Premium-версии.