Próby włamań na malinę z SUPLĄ

mariusz_70 · pt lis 27, 2020 7:09 pm

Jako że ostatnio zamieniłem miedź na światłowód zmuszony byłem wymienić stary router z modemem na coś nowszego. Postanowiłem powiększyć rodzinę unifi i kupiłem Ubiquiti UniFi Security Gateway. W USG mamy zakładkę "Zarządzanie zagrożeniami" gdzie możemy włączyć IDS / IPS.

https://students.mimuw.edu.pl/SO/Projek ... dsips.html

Ponieważ na malinie z SUPLĄ mam jeszcze "zielone certyfikaty" czyli wypuszczone w świat 80/443 postanowiłem sprawdzić IPS.
Kiedy po 8 godzinach zalogowałem się do kontrolera unifi (też stoi na tej samej malinie) zobaczyłem że USG wykrył i zablokował 5 prób włamania i to nasi skośni koledzy są najbardziej aktywni. Ciekawe ile tego prób będzie w miesiącu. Ataki szły na 80.

krycha88 · pt lis 27, 2020 7:30 pm

Ja portu 80 oraz 443 używam tylko do odnowienia domeny SSL wszystkie inne połączenia idą przez inne porty. Warto dodatkowo nie używać standardowych loginów typu admin.

pzygmunt · pt lis 27, 2020 7:46 pm

To są boty, które przeszukują sieć i odpalają exploity na znane podatności lub po prostu próbują wstrzyknąć złośliwy kod. Często nawet nie sprawdzają czy dane oprogramowanie, które atakują jest zainstalowane na atakowanej maszynie by ograniczyć liczbę requestów.

IDS/IPS może też uznać połączenie za podejrzane jeśli pochodzi z podejrzanego segmentu sieci.