faq обучение настройка
Текущее время: Ср ноя 21, 2018 11:38

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 08:28 
Не в сети

Зарегистрирован: Вт ноя 21, 2017 08:14
Сообщений: 4
Всем доброго дня,
Подскажите пожалуйста, есть ли из существующих сигнатур IDP/IPS/Policy такие, которые позволяют защититься от перебора паролей по RDP?
Или может быть, кто-то создавал подобные правила с временным баном атакующих IP? Из признаков трафика - только определенные порты для подключения по RDP, айпи атакующих разнообразные, наверное бот-ферма..


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 08:32 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8331
Откуда: Москва
Смените порт доступа на отличный от дефолтного RDP

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 08:36 
Не в сети

Зарегистрирован: Вт ноя 21, 2017 08:14
Сообщений: 4
MTRX писал(а):
Смените порт доступа на отличный от дефолтного RDP

Это давно изначально сделано, интересует именно возможность контроля попыток подключения на текущие порты


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 08:44 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
LDV писал(а):
которые позволяют защититься от перебора паролей по RDP?

как вы себе представляете. как маршрутизатор, узнает что атакуют RDP , и перебором паролей ?
как вы ответите на этот вопрос - то и решение найдете !

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 08:45 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8331
Откуда: Москва
Пакет IDP/IPS у вас куплен?
Прошивка какая?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 08:52 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8779
Откуда: Москва
MTRX писал(а):
Пакет IDP/IPS у вас куплен?
Прошивка какая?


да причем тут пакеты ? , если у маршрутизатора одна задача. пробросить порт.
посмотреть в пакет (при наличии сигнатур) нет там ни чего запрещенного, по мнению сигнатур , и прокинуть пакет дальше.
о верности пароля , DFL ни чего не знает, да ему и не надо об этом знать ....
думаю , если покурить тему фаервола у мелкомягких , можно наверное как то получить такие IP а потом через самописный скрипт шелом вливать это в DFL.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 09:01 
Не в сети

Зарегистрирован: Вт ноя 21, 2017 08:14
Сообщений: 4
Vladimir22 писал(а):
LDV писал(а):
которые позволяют защититься от перебора паролей по RDP?

как вы себе представляете. как маршрутизатор, узнает что атакуют RDP , и перебором паролей ?
как вы ответите на этот вопрос - то и решение найдете !

Каждые 3 секунды происходят подключения на открытые RDP-порты с определенных внешних интернетовских IP. Если DFL умеет эту активность распознавать (кол-во попыток в единицу времени на определенный порт), то нашу проблему можно решить..


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 09:02 
Не в сети

Зарегистрирован: Вт ноя 21, 2017 08:14
Сообщений: 4
MTRX писал(а):
Пакет IDP/IPS у вас куплен?
Прошивка какая?

Firmware Version: 2.40.00.10-16817
IDP активирован на 90 дней, купим, если пробная версия поможет
Искали справочник по всем сигнатурам NetDefendOS с описанием - не нашли.
У Juniper'а например есть сигнатура которая нам нужна (http://signatures.juniper.net/documenta ... FORCE.html , https://forums.juniper.net/t5/SRX-Servi ... td-p/95862), очень бы хотелось аналогичную от Dlink'a.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 09:27 
Не в сети

Зарегистрирован: Чт июн 28, 2012 09:45
Сообщений: 5757
Имхо: или VPN, или что-то типа этого: https://habrahabr.ru/sandbox/36428/

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 09:40 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8331
Откуда: Москва
Что-то подобное я видел в dfl на 11й прошивке с idp ips.
Но играться дальше не стал

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 09:46 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8331
Откуда: Москва
Но если в справочнике нет, значит увы...

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL 860E - IDP против RDP bruteforce
СообщениеДобавлено: Вт ноя 21, 2017 11:34 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7107
Откуда: Екатеринбург
1. а проблему не решит сделать RDP доступным только для диапазона адресов?
2. кроме того, можно усилить пароли
3. а лучше доступ сделать через VPN (IPSec)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot], kvl1975 и гости: 18


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB