Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
IPS сообщения, UniFi Network
 
#1
21.04.2018 17:12:00
Мне приходит это сообщение от IPS, и я не понимаю... Внутренний IP-адрес, насколько я вижу, не связан с каким-либо клиентом, а внешний IP-адрес вообще не существует по запросам в базе.

IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET MALWARE Misspelled Mozilla User-Agent (Mozila). От: 192.168.1.254:46727, к: 23.48.157.92:80, протокол: TCP, интерфейс: eth1
 
 
 
#2
29.01.2019 16:33:00
Я тоже получаю это сообщение от моего LG OLED C8. Иногда таких сообщений приходит несколько за сутки.
 
 
 
#3
09.03.2019 02:02:00
У меня тоже появляется эта ошибка — к паранойе добавляются два наблюдения:  
1) При проверке потребления энергии телевизора в выключенном состоянии он всё ещё «тянул» примерно 50 Вт. Последнее обновление ПО, похоже, решило эту проблему, но что же тогда всё это время работало или зависало, не давая телевизору полностью выключиться? Странновато...  
2) Я сознательно не пользуюсь никакими веб-приложениями на телевизоре, вместо этого смотрю через AppleTV 4k. В логах события происходят примерно дважды в день с равными интервалами, при этом мы не используем никаких приложений.  

Большинство настроек конфиденциальности и автоматических обновлений отключены, но почти два раза в день телевизор всё равно обращается к одному-двум серверам Akamai — почему-то с разными номерами портов.  
IP-адреса Akamai: 184.26.156.117 порт 8096, 16.172.114 порт 80  
Приватные порты с IP телевизора: 5903649348386265804635944459223876843124  

Можно предположить, что телевизор сам поддерживает себя в рабочем состоянии, делая разные обновления — просто с неверным user agent и прочей ерундой. А можно распмотреть это с точки зрения паранойи и подумать, что телевизор заражён или собирает данные для отправки на эти разные сервера.  

Я решил склониться к паранойе, заблокировал телевизор и буду разрешать ему доступ, только когда захочу обновить прошивку.  

Учитывая крупный взлом Samsung пару лет назад, я уже не удивлюсь, если у LG тоже полно проблем с безопасностью — если они сами не мутят какую-то нечисть.
 
 
 
#4
07.03.2019 07:13:00
Похоже, я тоже столкнулся с этими «ложными» положительными сообщениями на своём LG C8 после обновления ПО (приложений). Кажется, это были YouTube и ещё одно приложение, которое можно было обновить. Есть большая вероятность, что именно это и вызывает появление ложных срабатываний. Кто-нибудь общался с LG по этому поводу?
 
 
 
#5
24.02.2019 21:03:00
Да, я согласен, в корпоративной среде, где штатные сотрудники проверяют логи и обеспечивают бесперебойную работу сети, это имеет смысл. А вот в домашних условиях или небольшом офисе, где некому каждый день заниматься этим, — пустая трата времени и ресурсов. При этом я время от времени просматриваю свои логи, но у меня есть своя жизнь, и я не хочу тратить её на просмотр ложных сообщений.

Изоляция VLAN — именно то, что нужно, она даёт контроль над устройствами и позволяет легко блокировать или предоставлять доступ.

Нет, не надо... сообщество по безопасности уже в курсе, что IDS/IPS — не для обычных пользователей дома и это только порождает ненужные опасения. Это твоя работа, так что естественно, что ты не согласен... Давай просто согласимся не соглашаться?
 
 
 
#6
24.02.2019 02:12:00
IPS/IDS — это дополнение к файерволлу и антивирусу, у них разные задачи.

Если запускать IoT-устройства на VLAN, и VLAN полностью изолирован, это гарантирует, что другие VLAN не смогут получить к нему доступ, но при этом они всё равно смогут выходить в интернет, если не заблокировать весь интернет-трафик, а это не всегда возможно.

В любом случае, если вы считаете IPS/IDS бесполезными, рекомендую написать статью и представить её на RSA, BLACKHAT и другие конференции по безопасности — посмотрим, что скажут люди после этого. Легко говорить что угодно неподходящей аудитории, а вот интересно услышать, как вы скажете, что IPS/IDS — это бесполезно, на форуме или конференции по безопасности. Желаю удачи!
 
 
 
#7
24.02.2019 00:44:00
@UBNT-Marcus

Извини, но я вынужден не согласиться — похоже, ты хочешь, чтобы обычные пользователи дома тратили своё личное время на просмотр каждого оповещения, будь оно ложным или настоящим. Я бы лучше занимался делом или проводил время с семьёй, чем всю ночь смотреть на бесполезные логи. Что касается моего опыта — это не твоё дело, но он огромен. По поводу IoT-устройств — именно поэтому их стоит ставить на отдельную VLAN, чтобы изолировать. Правила файрвола контролируют их доступ к сети и интернету — например, мои камеры заблокированы от всего, кроме моего NVR, а мой NVR использует NTP для ежедневного обновления времени у камер, чтобы всё было точно. Я уверен, что они защищены, но даже если нет, угрозы не представляют. Что касается стандарта LG — это просто опечатка, а не сбой протокола сети или серьёзная проблема с безопасностью. Но, знаешь, это заставляет всех приклеиваться к логам, словно к телевизору, вместо того чтобы жить своей жизнью. Ваш опыт может отличаться.
 
 
 
#8
23.02.2019 17:09:00
Ложные срабатывания бывают у любых IPS/IDS, и тебе нужно учиться и разбираться в каждом предупреждении — вот как это работает на самом деле. Но если тебе не безразлична безопасность, лучше исследовать все случаи, чем просто отключать систему и считать, что всё в порядке.

Теперь, то, что сказал @Compatico, — просто доказательство того, что он не из области безопасности и ему нужно подтянуть свои знания по этой теме.

Антивирус помогает до определённого уровня, но он бессилен, если вирус, вредоносное ПО или червь, заразивший устройство, нейтрализуют антивирус. К тому же антивирус нельзя запустить на IoT-устройствах — например, на камерах видеонаблюдения, телевизорах, DVR, термостатах и многих других, которые могут использовать вашу сеть и быть частью ботнета.

К сожалению, именно такие комментарии и делают безопасность сложной, а дезинформацию — повсеместной.

Тем не менее, я согласен, что в данном случае, похоже, ложное срабатывание вызвано тем, что LG просто не умеет правильно следовать стандартам.
 
 
 
#9
23.02.2019 14:58:00
Именно такие чувства и созданы этим софтом IPS/IDS — страх, неуверенность и сомнения по поводу безопасности вашей сети, а оповещения должны вызывать у вас чувство уюта и защищённости. На самом деле это ложная тревога — LG — китайская компания, и у них просто произошла ошибка перевода и опечатка в WebOS: вместо «Mozilla» с двумя буквами «l» было написано «Mozila». Никаких злонамеренных действий тут нет, и сейчас единственное решение — заблокировать это или, ещё лучше, выключить IPS/IDS, тогда весь этот страх и сомнения пройдут сами собой.
 
 
 
#10
23.02.2019 14:52:00
Простой способ — просто отключить IPS/IDS и продолжать использовать хороший обновлённый антивирусный сканер. IPS основан на сторонних сигнатурах и обычно создаёт больше проблем, чем решает — ложные срабатывания встречаются часто. Это такое «тёплое и пушистое» программное обеспечение, которое должно создавать ощущение безопасности, но на самом деле нечего особо бояться, если у вас есть антивирус и надёжный файервол, так что IPS особо ничего не даёт, кроме головной боли и распространения паники насчёт вирусов и безопасности сети.
 
 
 
#11
23.02.2019 12:31:00
Кто-нибудь с этим разобрался? У меня на LG TV такая же проблема. ET MALWARE — неправильно написано Mozilla User-Agent (Mozila) — целевой IP был 2.17.145.56:80.
 
 
 
#12
20.02.2019 12:27:00
Само сообщение вызывает обеспокоенность. Думаю, что целевые IP-адреса могут быть проблемой.
 
 
 
#13
06.02.2019 01:31:00
У меня такое тоже каждые пару часов с LG TV приходит. IPS Alert 1: Обнаружен сетевой троян. Сигнатура ET MALWARE Misspelled Mozilla User-Agent (Mozila). От: 192.168.1.111:36522, К: 184.27.220.115:80, протокол: TCP.  
Я, как и все остальные, хочу понять: это просто раздражает или действительно стоит волноваться?
 
 
 
#14
16.11.2018 20:55:00
+1 LG WebOS TV. У меня был Canon CS100, который теперь получает это: ET MALWARE Suspicious User-Agent (1 space), хотя он уже несколько месяцев находится в моей сети. IP-адреса назначения для LG TV, похоже, относятся к Akamai, а порт назначения — TCP 80.
 
 
 
#15
07.11.2018 02:29:00
Я получаю это с моего телевизора LG.
 
 
 
#16
02.11.2018 02:40:00
Только что установил это на свой LG телевизор.
 
 
 
#17
10.09.2018 03:36:00
Нет, до сих пор появляется на моём LG телевизоре.
 
 
 
#18
31.08.2018 07:51:00
У меня то же самое с телевизором LG на WebOS. Конечно, с этим легко справиться, вопрос скорее в другом... стоит ли нам всем переживать? Похоже, что это просто ложная тревога, но я собираюсь связаться с LG — они должны исправлять такие вещи, если проблема настоящая. Впрочем, за последний месяц или около того я ничего такого не получал... Кто-нибудь ещё сталкивался? Может, уже исправили.
 
 
 
#19
14.07.2018 17:58:00
У меня на LG WebOS TV то же самое. Стоит ли волноваться?
 
 
 
#20
18.06.2018 17:41:00
Контроллер версии 5.9.4 доступен на бета-форумах, и с его помощью вы можете подавлять сигнатуры, добавлять сигнатуры в белый список, а также включать и отключать категории сигнатур.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)