Próby włamań na malinę z SUPLĄ

mariusz_70
Posty: 99
Rejestracja: czw lis 10, 2016 5:51 pm
Lokalizacja: Koszalin

pt lis 27, 2020 7:09 pm

Jako że ostatnio zamieniłem miedź na światłowód zmuszony byłem wymienić stary router z modemem na coś nowszego. Postanowiłem powiększyć rodzinę unifi i kupiłem Ubiquiti UniFi Security Gateway. W USG mamy zakładkę "Zarządzanie zagrożeniami" gdzie możemy włączyć IDS / IPS.

https://students.mimuw.edu.pl/SO/Projek ... dsips.html

Ponieważ na malinie z SUPLĄ mam jeszcze "zielone certyfikaty" czyli wypuszczone w świat 80/443 postanowiłem sprawdzić IPS.
Kiedy po 8 godzinach zalogowałem się do kontrolera unifi (też stoi na tej samej malinie) zobaczyłem że USG wykrył i zablokował 5 prób włamania i to nasi skośni koledzy są najbardziej aktywni. Ciekawe ile tego prób będzie w miesiącu. Ataki szły na 80.
Załączniki
unifi.png
unifi.png (70.37 KiB) Przejrzano 472 razy
krycha88
Posty: 1629
Rejestracja: pt lis 16, 2018 7:25 am

pt lis 27, 2020 7:30 pm

Ja portu 80 oraz 443 używam tylko do odnowienia domeny SSL wszystkie inne połączenia idą przez inne porty. Warto dodatkowo nie używać standardowych loginów typu admin.
Awatar użytkownika
pzygmunt
Posty: 10943
Rejestracja: wt sty 19, 2016 9:26 am
Lokalizacja: Paczków
Kontaktowanie:

pt lis 27, 2020 7:46 pm

To są boty, które przeszukują sieć i odpalają exploity na znane podatności lub po prostu próbują wstrzyknąć złośliwy kod. Często nawet nie sprawdzają czy dane oprogramowanie, które atakują jest zainstalowane na atakowanej maszynie by ograniczyć liczbę requestów.

IDS/IPS może też uznać połączenie za podejrzane jeśli pochodzi z podejrzanego segmentu sieci.
ODPOWIEDZ

Wróć do „Ogólna dyskusja”