Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
IPS действительно блокирует атаки, верно?, UniFi Network
 
Лог IPS на пользовательском USG зафиксировал подозрительную активность против их веб-сервера в DMZ: "Обнаружен сетевой троян - ET USER_AGENTS ELF/Mirai Variant UA Inbound (Cakle)" Формулировка немного двусмысленная - "обнаружен" не значит "блокирован" - предотвратил ли IPS активность или просто зафиксировал её?
 
@web2wire Время истечения блока довольно короткое (примерно 5 минут). Вы можете заблокировать оповещение навсегда, нажав на иконку управления угрозами > Журнал трафика > выберите оповещение, и у вас появится опция "заблокировать", что является правилом в iptables. Спасибо за отзыв, у нас есть планы по переработке параметров интерфейса в будущем.
 
Спасибо за это, и извините за задержку с ответом. У меня все заработало, когда я переключил это, как вы предложили. Я полагал, что теперь все работает, однако, когда я только что проверил, всё снова стало работать как раньше, предполагаю, из-за того, что я перезагрузил контроллер для обновления. Получается, что проблема, которая была изначально, все еще существует, и если вы не переключите настройки IPS, они будут восприниматься как IDS. У меня есть еще пару замечаний по этому поводу: (1) Без проведения конкретного теста сложно установить, работает это или нет, было бы полезно видеть фактические правила блокировки. (2) Каково время истечения блокировки? Несколько раз я запускал тест BlackSun один раз, прошел, затем повторил его — и он был заблокирован, а потом через несколько минут снова повторил его — и прошел. Было бы здорово, если бы это время ожидания можно было бы указать в настройках. Ваш первый пост предполагает, что вы можете вручную заблокировать уведомление, но я не вижу такой опции. Я вижу кнопку «угнетить» в настройках управления угрозами, но это, по моему мнению, подразумевает игнорирование уведомления, то есть подавление уведомлений. Это то, о чем вы говорите, когда говорите, что блокировка уведомления будет постоянной? (2) Мелочь, но порядок опций в интерфейсе для меня немного неинтуитивен. Это IDS, IPS, Disabled, что переводится как обнаружение, предотвращение, отключено, так что нет логической последовательности в опциях. Для меня будет логичнее, если наиболее функциональная опция будет первой, а затем в порядке убывания. Это ловило меня несколько раз, когда я видел выбранный средний вариант и думал, что у меня включен только мониторинг, особенно поскольку опции представлены только аббревиатурами и не объясняют, что они делают. Спасибо еще раз.
 
Я воспроизвел это на своем USG. Похоже, что цепочка IPS в iptables не использовалась цепочкой Forward. Не уверен, как это произошло, но отключение IPS, а затем его повторное включение помогло мне. Предлагаю попробовать то же самое. Редактировать: Я разбираюсь в этом с @UI-AdamD, чтобы выяснить, что могло стать причиной этой проблемы.
 
Я также должен добавить, что ничего не добавляется в брандмауэр, если я не нажму явно на 'блокировать', когда просматриваю предупреждение.
 
У меня тоже есть подозрения, что IPS на самом деле ничего не блокирует, учитывая, что я вижу одни и те же предупреждения снова и снова в логах. Я провел тест BlackSun, как и рекомендовали выше, и на соответствующей странице статьи (https://help.ubnt.com/hc/en-us/articles/360006893234). И действительно, я вижу, что предупреждение фиксируется, но ничего не блокируется, и я могу продолжать тест и всегда получать полный ответ. Я пытался переключать на IDS, а затем обратно на IPS, но это не дало никаких результатов. У меня обычный USG, и контроллер работает на версии 5.11.39, но поведение было таким же и в предыдущих версиях. Есть другие предложения?
Страницы: 1
Читают тему (гостей: 1)