1

Тема: Вопрос по работе IPS на UTM50

В ходе анализа сообщений IPS обнаружил такое интересное совпадение.
С некоторых пор в сети возникла проблема загрузки rar/zip-архивов. Оказалось, что по времени возникновения проблема совпала с изменениями настроек IPS. В частности в категории Misc для Misc было сменено действие с Disable на Drop. Сменил настройку на Alert, начал получать такие сообщения:

At time :
Intrusion Prevention System detected attack : ScadaTEC ScadaPhone Stack Buffer Overflow -2 (CVE-2011-4535) .
The action is : alert
More information about this attack:
Category : Misc
Protocol : tcp
Client IP : (ВНЕШНИЙ IP-АДРЕС)    Client Port : 80
Server IP : (ЛОКАЛЬНЫЙ IP-АДРЕС)    Server Port : 1118

Что же, при попытке закачать файл с локального компьютера сервер, где находится этот файл, "атакует" компьютер? smile
Какие выводы нужно сделать из таких сообщений?
Где бы вообще посмотреть подробное описание работы IPS от Netgear.

Понятно, что файлы можно много откуда качать. Я столкнулся с проблемой загрузки zip-архивов с сайтов HP и Netgear (не мог обновление прошивки скачать).

Netgear UTM50, SRX5308, FVS318G.

2 (31.07.2013 10:21:26 отредактировано Phil777)

Re: Вопрос по работе IPS на UTM50

Брат! спасибо за подсказку. Я все мозги сломал почему zip файлы не скачиваются с сайтов гос.закупок. Я не мог понять почему не обновляется гарант. Попутно вынес мозги Гарантовским админам. Они до сих пор в трауре. Пока... не отключил IPS. Т.ч. вопрос ребятам из NETGEARa. А почему так все плохо? Может пока все сырое и не стоит IPS включать? А то у народа проблемы, а они и не понимают почему.
И действительно хотелось бы иметь мануал по всей этой нетгировской классификации атак. В инете нет. Чего то блокирует, а чего не понятно. Единственно стало понятно, что блокирует много полезного и нужного.

Кстати в догонку: долго и упорно общался с техподдержкой NETGEAR, по поводу что UTM со своим хваленым Firewall и IPS, оказывается дырявым перед обычным сканером портов из вне. Ну все показывает. Все дыры и даже какая ось на серваке за UTM. Это очень плохо! Почему все эти навороты в безопасности не реагируют на обычный перебор портов вразумительного ответа не получил. Хотя дома стоит недорогой шлюз от "...." и почему то он знает, что перебор портов надо блокировать, т.к. это разведка перед атакой.