ewenement Opublikowano 28 Czerwca 2017 Zgłoś Udostępnij Opublikowano 28 Czerwca 2017 WitamDawno nie zaglądałem na router a teraz jak wszedłem na niego to widzę w raportach1 DoS / DDoS 67322 Buffer Overflow 8213 Other 5584 Scan 80 w raporcie szczegółówym tak to wyglądahttp://wklej.org/id/3210358/ Czy mam się tym martwić?Co to za ataki? Czy są niebezpieczne?Jak się dodatkowo przed nimi chronić?Może jakiś UTM?Co polecacie ? Barracuda? Stormshield? Fortigate? Czy coś innego? Co i dlaczego?Jakie inne sposoby? Odnośnik do komentarza
Miszel03 Opublikowano 30 Czerwca 2017 Zgłoś Udostępnij Opublikowano 30 Czerwca 2017 Poproszę o zestaw raportów FRST oraz GMER. Dodatkowo zastosuj się do zabezpieczeń Biuletynu bezpieczeństw Microsoft, bo z raportu routera wynika, że cześć ataku jest przeprowadzana z pomocą luki w menedżerze kolorów. Reszty nie zweryfikuje, bo nie mam, aż tak dużej wiedzy w zakresie ataków, co nie tyczy się infekcji systemów i to bardziej temat do działu Sieci. Odnośnik do komentarza
ewenement Opublikowano 14 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2017 Jaki UTM byście wybrali i dlaczego? na razie jestem najbardziej sierowany ku FortiGate np. 50e lub 60e oraz barracuda NG Firewall F18 lub F80. Co byście wybrali i dlaczego? Jakie są wady i zaledy FortiGate oraz Barracudy. Odnośnik do komentarza
Miszel03 Opublikowano 14 Lipca 2017 Zgłoś Udostępnij Opublikowano 14 Lipca 2017 Rozumiem, że nie chcesz, abym system został sprawdzony pod kątem infekcji, więc temat przenoszę do działu Sieci. Odnośnik do komentarza
ewenement Opublikowano 17 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2017 Chcę ale te logi mam zrobić na jednym komputerze? W sieci jest sporo komputerów. Odnośnik do komentarza
artian Opublikowano 7 Września 2017 Zgłoś Udostępnij Opublikowano 7 Września 2017 Spokojnie, to nie koniecznie są ataki. Większość to prawdodpobnie false positivy. Sam raport jest z dosyć długiego okresu czasu. Np. Przeanalizujmy pierwszy alarm odnośnie Microsoft Color Management Module Buffer Overflow. Alert ten pojawia się często gdy moduł IPS'a w Twoim routerze blokuje obrazki na różnych stronach. Pierwszy alarm odwołuje się do 217.74.66.210. Szybki nslookup i wiemy, że to strona RMF. Stąd wnioskuje, że to false positive. I w ten sposób możesz sobie analizować reszte alertów. Apy stwierdzić czy coś jest potencjalnym atakiem, trzeba po prostu to sprawdzić. Czy użytkownicy zgłaszali w tym czasie jakieś problemy? Czy antywirusy sypały jakimiś alarmami? Jeżeli tak, możesz spróbować skolerować czasy z AV z czasami z IPS'a Widziałeś coś niepokojącego w innych miejscach w sieci? itd. Odnośnie polecanych rozwiązań to wszystko zalezy do czego je potrzebujesz. Jaki zakres ochrony, jak dużą masz sieć, jaki budżet, jak z Twoją wiedza na temat tych rozwiązań, czy jesteś przekonany, że wgl potrzebujesz UTM'a? To temat na zupełnie inną rozmowę. Mam nadzieje, że choć trochę rozjaśniłem. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się