Блокировка ип-адреса на Айдеко

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Блокировка ип-адреса на Айдеко

Сообщение EvgenyD » 16 мар 2020, 11:42

Здравствуйте!

Как правильно написать правило в Айдеко, чтобы обращение с нашего сервера RDP во внешний мер блокировало не всех пользователей RDP, а только конкретные адреса или диапазоны адресов?

В логах Айдеко (предотвращения вторжения) заметили такое:
Mar 16 12:39:26.616189 info suricata-alerts[23228]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Обнаружение подозрительной сетевой активности] [Priority: 3] {TCP} 192.168.ХХ.ХХ:3389 -> 141.98.80.93:58330
Mar 16 12:39:24.557833 info suricata-alerts[23228]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Обнаружение подозрительной сетевой активности] [Priority: 3] {TCP} 192.168.ХХ.ХХ:3389 -> 141.98.81.189:64053
Mar 16 12:39:24.460436 info suricata-alerts[23228]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Обнаружение подозрительной сетевой активности] [Priority: 3] {TCP} 192.168.ХХ.ХХ:3389 -> 141.98.81.189:64053

В Айдеко для 192.168.ХХ.ХХ:3389 есть проброшенный порт наружу, с которым работают наши сотрудники - они все в одном регионе и там нет таких адресов.
Для 141.98.81.189 = Location: Netherlands RIPE Network Coordination Centre - Netherlands, , Amsterdam
и еще несколько, и том конце определяется RDP...

На нашем сервере RPD сделали запрет на исходящие по адресам (141.98.1.1-141.98.255.255 и всем портам), но Айдеко продолжает регистрировать:
Mar 16 13:21:45.277340 info suricata-alerts[23228]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Обнаружение подозрительной сетевой активности] [Priority: 3] {TCP} 192.168.ХХ.ХХ:3389 -> 141.98.81.189:59466
Mar 16 13:21:44.182523 info suricata-alerts[23228]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Обнаружение подозрительной сетевой активности] [Priority: 3] {TCP} 192.168.ХХ.ХХ:3389 -> 141.98.81.189:59466

p.s.
Обновиться пока до последней версии Айдеко не можем.
Используем 'Интернет-шлюзы Ideco UTM':
s1) Шлюз + Почта = обновлён до 7.9.9 (Build 128)
s2) Шлюз = обновлён до 7.8.9 (Build 101)
EvgenyD
Опытный пользователь
 
Сообщения: 124
Зарегистрирован: 09 сен 2015, 10:35

Re: Блокировка ип-адреса на Айдеко

Сообщение EvgenyD » 16 мар 2020, 11:55

В "Пользовательском файрволле" сделали правило (скрин). Но в журнале предотвращения - всё равно продолжается регистрация, что не так?
Как узнать, запретили ли выход с сервера RDP обращения на запрещенные адреса?
Вложения
block.jpg
block.jpg (95.92 КБ) Просмотров: 467
Используем 'Интернет-шлюзы Ideco UTM':
s1) Шлюз + Почта = обновлён до 7.9.9 (Build 128)
s2) Шлюз = обновлён до 7.8.9 (Build 101)
EvgenyD
Опытный пользователь
 
Сообщения: 124
Зарегистрирован: 09 сен 2015, 10:35

Re: Блокировка ип-адреса на Айдеко

Сообщение ideco.dmitriy » 16 мар 2020, 15:06

Добрый день!
А на работу по RDP эти блокировки влияют, или по факту все работает?
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2198
Зарегистрирован: 11 мар 2014, 08:43

Re: Блокировка ип-адреса на Айдеко

Сообщение EvgenyD » 17 мар 2020, 10:54

Добрый день!

С самого сервера RDP теперь нет возможности подключиться "по удаленному доступу.
До блокировки - выскакивало окно просьбы ввести логин и пароль.

Но в журнале "Предотвращения вторжений" продолжается процесс регистрации:
Mar 17 12:50:35.358002 info suricata-alerts[23228]: last message repeated 4 times
Mar 17 12:49:43.984675 info suricata-alerts[23228]: [1:2001330:8] ET POLICY RDP connection confirm [Classification: Обнаружение подозрительной сетевой активности] [Priority: 3] {TCP} 192.168.ХХ.ХХ:3389 -> 141.98.81.189:59708

На самом сервере RDP не можем пока найти, что пытается это организовывать :(
Антивирус нечего не нашел.
Используем 'Интернет-шлюзы Ideco UTM':
s1) Шлюз + Почта = обновлён до 7.9.9 (Build 128)
s2) Шлюз = обновлён до 7.8.9 (Build 101)
EvgenyD
Опытный пользователь
 
Сообщения: 124
Зарегистрирован: 09 сен 2015, 10:35

Re: Блокировка ип-адреса на Айдеко

Сообщение ideco.dmitriy » 17 мар 2020, 14:35

Занесите ID правила (2001330) в список исключений системы предотвращения вторжений.
Если IP 141.98.81.189 вам известен.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2198
Зарегистрирован: 11 мар 2014, 08:43

Re: Блокировка ип-адреса на Айдеко

Сообщение EvgenyD » 18 мар 2020, 08:53

Занесите ID правила (2001330) в список исключений системы предотвращения вторжений.
Если IP 141.98.81.189 вам известен.

Так нам надо запретить 141.98.81.189 (и ему подобные), а разрешать в "исключениях" его использовать? :shock:
Чтобы Айдеко не выпускало обращения из локальной сети в Интернет к этим ип-адресам.
Используем 'Интернет-шлюзы Ideco UTM':
s1) Шлюз + Почта = обновлён до 7.9.9 (Build 128)
s2) Шлюз = обновлён до 7.8.9 (Build 101)
EvgenyD
Опытный пользователь
 
Сообщения: 124
Зарегистрирован: 09 сен 2015, 10:35

Re: Блокировка ип-адреса на Айдеко

Сообщение ideco.dmitriy » 18 мар 2020, 17:18

Я предполагал, что это ваш IP-адрес, а не "чужой" и вы создали тему о ложном срабатывании правил.
Система предотвращения вторжений судя по вашим логам и так блокирует эти атаки. Что-то еще настраивать для этого не нужно.
Вам нужно ограничить в пробросе портов источник нужными вам (пусть даже большими) сетями (внешних адресов откуда работают ваши сотрудники). Чтобы блокировать такие атаки превентивно.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2198
Зарегистрирован: 11 мар 2014, 08:43

Re: Блокировка ип-адреса на Айдеко

Сообщение EvgenyD » 18 мар 2020, 21:52

Вам нужно ограничить в пробросе портов источник нужными вам (пусть даже большими) сетями (внешних адресов откуда работают ваши сотрудники). Чтобы блокировать такие атаки превентивно.
Если бы это было просто. У нас как минимум 2 филиала работают не по белым адресам (адреса скачут, не каждый день, но всё таки).
Будем думать как это вообще можно реализовать...
Используем 'Интернет-шлюзы Ideco UTM':
s1) Шлюз + Почта = обновлён до 7.9.9 (Build 128)
s2) Шлюз = обновлён до 7.8.9 (Build 101)
EvgenyD
Опытный пользователь
 
Сообщения: 124
Зарегистрирован: 09 сен 2015, 10:35

Re: Блокировка ип-адреса на Айдеко

Сообщение ideco.dmitriy » 19 мар 2020, 06:56

Совсем безопасно сперва подключаться по VPN, а только затем по RDP. И не публиковать его напрямую.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2198
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0