Shell

Symantec Endpoint Protection

В этой теме 10 сообщений

День добрый.

Уже кратенько обмалвливался о IPS включенном в SEP.

Итак, версия SEP 11.0.4202. Хост пингуется icmp пакетами длинной 1500. С чего бы этого DOS?)

Ну, чисто теоретически можно организовать DOS таким образом но хост должен быть не один :)

c58fcb7084e9t.jpg

Здесь вопрос не как добавить исключения - это все работает. Больше интересует состав сигнатур, их функционал и работоспособность.

P.S. А вот открытое tcp сканирование nmap по прежнему не детектится :rolleyes:

Опция определения скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Shell,

А с какими параметрами nmap вводили?

Вообще SEP, как правило, всегда детектит любое сканирование

портов, включая nmap. Модуль Network Threat Protection активирован?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С чего бы этого DOS?)

Ну потому что похоже на DDOS, таких запросов по хорошему быть не должно. Задача IPS не только защищать от атак и закрывать уязвимости, но и фильтровать бесполезный трафик, чтобы Вы его потом могли закрыть

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

По поводу nmap.

Вот настройки IPS

3c738d8a4860.jpg

В исключениях IPS по сигнатуркам - ничего нет.

Network Threat Protection активирован на хосте.

Вот, собственно nmap без ключей с платформы freebsd 7.1-Rel.

6e97e764a68b.jpg

Итог - хост не видит сканирования. В SEPM на отчетах тоже пусто.

e31a88aa335ft.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А в логах файерволла на самом клиенте

что-то пишет или нет?

Проверьте эти логи тоже.

Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Определение сканирования входит в политику IPS, она для группы я так понимаю применена? Клиент, на который отправляются пакеты, именно версии 4202?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, Кирилл. Все верно. Клиент 11.0.4202.75. Политика IPS применена на клиента. Опция детектирования скана портов активирована.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Правила файерволла отключены через SEPM (неактивно правило для группы). Но как компонент - файерволл установлен на клиенте.

Попробуйте активировать политику фаерволла для этого клиента и обязательно включите "Занесение в журнал" для всех правил.

Спасибо, Кирилл. Понял. Информативности, увы, не хватает чтобы разобраться что этот хост - просто пинговал, а вот тут - появился неизвестный хост и пытался заразить другой. Если бы это было несколько нагляднее (например, как в Cisco MARS)) или snort) - облегчило бы мониторинг и можно было выявлять оперативнее тяжелые случаи. Ну да ладно, с этим понятно.

Cisco MARS - это все-таки продукт немного другого класса. Если сравнивать с ним, то у Symantec для подобных целей есть Security Information Manager (pdf), который позволяет следить за любой активностью в сети и оперативно выявлять подобные инциденты. Подробнее можно посмотреть тут:

http://www.anti-malware.ru/forum/index.php?showtopic=4324

Раздел IV. Управление безопасностью:

4.1. Symantec Security Information Manager 9600 Series

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Олег, я "образно" :)

Сравнивать IPS здесь не собираюсь.

Например, ничто же не мешает писать в отчет в SEPM сигнатуру по которой была детектирована атака. Верно? Сейчас же в отчете этого нет (по крайней мере визуально первоначально. К сожалению или радости, у меня нет в данное время алертов в мониторе в SEPM чтобы детализированно открыть и посмотреть).

Журналирование и файерволл включу на досуге, посмотрю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Openair
    • Ego Dekker
      Декабрь 2019 — дата окончания жизненного цикла ESET NOD32/ESET Smart Security 9.0.
    • demkd
      драйверу не нужно заниматься такой ерундой как сплайсинг, просто запись в реестре не была скрыта, не доделали руткит.
    • Ольга_diplombest
      Высшее образование — сегодня это головная боль. Хотя каждый молодой человек стремиться его получить, как залог хорошей работы и высокой зарплаты в будущем. Но ВУЗы уже перестали быть бесплатными, поэтому получить образование можно только за деньги. Поэтому все чаще портрет современного студента — это работающий человек, который совмещает работу с учебой и еще имеющий семью. К тому же ссесия, написание рефератов. Курсовых работ или защита диплома — это настоящее испытание требующее много времени и сил.Необходимо время на поиск материала диплома,  написание работы, а еще семья и работа —и вот времени не хватает. При этом все успеть, порой физически бывает не возможно. И вот студент думает выхода нет и заваливает ссесию, бросает ВУЗ. Но выход есть, воспользоваться профессиональными преподавателями, аспирантами, докторами наук ... ка сделали уже многие студенты — https://diplombest.ru/сайт для тех, кто ценит время и бережет нервы. Компания работает без предоплаты, что гарантирует получение качественной работы в срок и без рисков для студента, политика скидок позволяет экономить до 50% от стоймости работы, что заслуживает доверия со стороны студентаТогда получение высшего образования будет в радость и через 5 лет ты уже заслуженный специалист.
    • Ольга_diplombest
      Я да не плохие деньги. Я то пользовалась https://diplombest.ru/. роде не плохо