Spróbuję tematykę koledze przybliżyć, przynajmniej w sposób jaki ja to rozumiem.
Widzę z postów, że bezpieczeństwo w sieci lokalnej jest języczkiem uwagi i najpierw odniosę się do posta dotyczącego SA.
quent75 pisze: ↑wt lut 02, 2021 12:01 am
look12 pisze:W powiadomieniach Safe Access możesz zrezygnować z powiadomień e-mail dla zablokowanych witryn, historie zablokowanych stron i tak masz w każdej chwili dostępną po zalogowaniu do routera. Nie ma powodu, aby natychmiast reagować po komunikacie zablokowania adresu, skoro adres został zablokowany.
Jest to jednak dziwne zachowanie SA. Gdyby ip był zablokowany to powiadomienie pojawiłoby się tylko raz.
Nie ma nic dziwnego w zachowaniu SA - blokuje adres per połączenie -> zgłasza kolejny komunikat w przypadku następnego połączenia.
Odnośnie TP:
quent75 pisze: ↑ndz lut 07, 2021 12:52 pm
Pomóżcie mi zrozumieć zachowanie Threat Prevention.
Mój amplituner z wbudowaną usługą Spotify gra muzykę i co kilka minut otrzymuję powiadomienie "porzucono podejrzane zdarzenie sieciowe A Network Trojan was Detected".
Nazwa podpisu: ET MALWARE User-Agent (Mozilla/4.0 (compatible))
Źródłowe ip: adres ip amplitunera
ip miejsca docelowego: 199.232.138.248 (w SanFrancisco)
Źródło portu: 2210
port docelowy: 80
Czy Threat Prevention na routerze błędnie identyfikuje zagrożenie czy jednak coś jest na rzeczy a jeśli tak to co miałbym niby zrobić z takim komunikatem?
Pozdr.
Q
No cóż TP, to zupełnie inny pakiet niż SA, analizuje pakiety IP i jeżeli wzorzec pakietu zgadza się z przychodzącym pakietem podejmuje stosowną akcję.
W necie znajdziesz strony, które raportują zagrożenia dla adresów IP, możesz zapytać Internet jak ocenia witrynę po adresie IP, no ale to żmudna praca.
Jak mechanizm TP funkcjonuje ?
Podam przykład, załóż, że pracuje dla uznanej na rynku firmy oceniającej bezpieczeństwo w sieci, analizuje zabezpieczenia konkretnych witryn, zagrożenia płynące z połączeń sieciowych.
Wynikiem mojej pracy jest ocena zagrożenia i możliwość wpisania do bazy TP.
(W przypadku SA, klasyfikuje konkretne witryny pod kontem, czy witryna zawiera kreskówki, sieci społecznościowe, reklamy - to proste zadanie.)
W przypadku TP są to wzorce pakietów IP stanowiących potencjalne zagrożenie, skompromitowanych adresów IP rozsyłających wirusy, spam, prowadzących inne ataki, wzorce ataków na RDP, DNS i wiele innych. TP to zaawansowany pakiet analizy pakietów i nie oznacza, że każda reakcja jest atakiem lub nie jest.
Jako ekspert analizując oceniam w/w zagrożenia, klasyfikuję, wpisuję na czarną listę adresy, oceniam bezpieczeństwo serwerów (np. nie ma wdrożonych najnowszych technik zabezpieczeń serwera) co skutkuje wpisem do bazy z której korzysta TP. Wzorce i ocena zachowań TP jest pochodną pracy takiego zespołu.
Co zrobić z komunikatami TP ?
Otóż wszytko zależy od Ciebie na ile chcesz wdrożyć restrykcyjną politykę wzorców pakietów.
Możesz włączyć blokowanie pakietów z wzorca , który generuje alarm, analizując czy ma to wpływ na działanie urządzeń w sieci LAN.
Przytoczony przez ciebie alert z amplitunera wcale nie musi oznaczać ataku na urządzenie/sieć - wystarczy, że serwer został zakwalifikowany jako słabo zabezpieczony i stanowi potencjalne zagrożenie. U siebie korzystam z TP i akurat dla wzorca "ET MALWARE .... " odrzucam pakiety i nie zauważyłem negatywnych skutków takiego działania, a w przypadku kiedy by tak było zawsze można dopuścić źródłowy adres IP lub cały wzorzec.
