USG FLEX 200, вопрос по работу IDP

Pavel
Pavel Публикаций: 109  Ally Member
First Anniversary Friend Collector First Comment
В usg60 можно было в Policy можно было включить профиль IDP, например для контроля брута.
сейчас у меня даже пункта такого нет 

Куда запрятали эту возможность ?
данный сервис лицензирован и активирован.

 И почему-то если искать по сигнатурам в IDP - нет ничего по бруту rdp .
Прошивка WK30.

«1

All Replies

  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Для брута rdp есть сигнатура с ID 130014 (rdp просто не сокращенно написано).
    На USG FLEX и ATP функционал антивируса и IDP не привязывается к политикам безопасности, а проверяет весь трафик. При этом в IP exception можно задать исключения. 
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано августа 2020
    Действительно, я при поиске задавал платформу Windows, однако  многое касательно Microsoft теперь в платформе Linux, Freebsd.
    При этом интерфейс выдает ошибку.

  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    В поиске нельзя использовать пробел, поэтому выдаёт ошибку.
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Здравствуйте.

    В сигнатурах для 4.55 это правило для IDP имеет немного другое название: Remote Desktop Protocol brute force attepmt.



    IDP в USG Flex включается глобально и для исключений применяется новая функция IP Exception в правилах которой можно указать и IDP.


  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано сентября 2020
    onatoli4 said:
    В поиске нельзя использовать пробел, поэтому выдаёт ошибку.
    Спасибо Кэп. В описании ошыпки это есть.
    А вообще очень сложно сделать на два слова поиск ? Можно не отвечать :)
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано сентября 2020
    Здравствуйте.

    В сигнатурах для 4.55 это правило для IDP имеет немного другое название: Remote Desktop Protocol brute force attepmt.



    IDP в USG Flex включается глобально и для исключений применяется новая функция IP Exception в правилах которой можно указать и IDP.


    Я же выше писал, что при выборе в поиске по сигнатурам Platform-Windows ничего про брутфорс rdp нет . Но оказалось, что искать нужно без указания платформы (IMHO странно). Тогда появляется про rdp. И даже скрин привёл с укзанием выдаваемой платформы.
    И как сказывается на общей производительности системы проверки на брутфорс rdp например, там где это не нужно ? Или система использует сигнатуры исходя из сервиса в правиле ?
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    И как сказывается на общей производительности системы проверки на брутфорс rdp например, там где это не нужно ?

    А для чего проверять там, где не нужно? система проверяет по тем сигнатурам,которые активны для определенной UTM функции и не проверяет пакеты соответствующие правилам исключения.

  • NewLab
    NewLab Публикаций: 2
    First Anniversary First Comment
    Присоединяюсь к треду.
    USG FLEX 100
    130014 активирована, но касперский рапортует о брутфорс атаках на один хост.
    Атаки с периодичностью 3 в минуту.
    В логах тишина.
  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Можете собрать дамп с внешнего и локального интерфейса USG во время атаки?
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано октября 2020
    У меня тоже есть интересный момент , есть подсеть 92.63.197.0/24 . С нее последнее время постоянно лезут , и порты сканируют, и пытаются другими способами . Но не нахрапом , а постепенно . Меняя время попыток . И конечно , это все спокойно пропускается внутрь.
    Я перенаправил сессии микротиком в ловушку для удержания , но в целом неприятно.
    За это время перепробовал три прошивки . 4,55 и две WK. 


    Только если банить вручную , то получается как на скрине выше, опять же очень "удобно" вводить не CIDR а 255,255 .
    Плюс если зайти в закладку ATP вебморды , как на втором скрине в прищепке - то в IDP Statistic стоит 0 . Может быть и не должно конечно :) , но выглядит странно .