Не работает RDP по мануалу. Белые IP, разные локалки.

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Re: Не работает RDP по мануалу. Белые IP, разные локалки.

Сообщение Филл » 09 июн 2019, 22:02

Тогда получается что это никакое не правило безопасности, а правило зависимости от ОС/RDP.
Может тогда приведете весь список комбинаций ОС/RDP при которых это правило надо отключать и завести по этому вопросу раздел в мануале.
Филл
Пользователь
 
Сообщения: 17
Зарегистрирован: 28 май 2019, 17:53

Re: Не работает RDP по мануалу. Белые IP, разные локалки.

Сообщение ideco.dmitriy » 10 июн 2019, 09:01

Я лишь высказал предположение по-поводу срабатывания правила. В рамках форума большего сделать нельзя.

Само правило:
drop tcp $EXTERNAL_NET any -> $HOME_NET !3389 (msg:"ET SCAN MS Terminal Server Traffic on Non-standard Port"; flow:to_server,established; content:"|03 00 00|"; depth:3; content:"|e0 00 00 00 00 00|"; offset:5; depth:6; content:"Cookie|3a| mstshash="; fast_pattern; classtype:attempted-recon; sid:2023753; rev:2; metadata:affected_product Microsoft_Terminal_Server_RDP, attack_target Server, deployment Perimeter, signature_severity Major, created_at 2017_01_23, performance_impact Low, updated_at 2017_02_23;)

Собственно в нем сигнатура одной из возможных атак. На тестовых серверах наших конфигураций правило при обычном доступе по RDP не срабатывает. Других обращений по его поводу также не было, поэтому специально убирать его из правил или документировать пока смысла не вижу.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2072
Зарегистрирован: 11 мар 2014, 08:43

Пред.

Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron