none
TMG 2010 - intrusion prevention RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao a tutti,

    da qualche giorno il TMG 2010, manda delle email (anche 180 al giorno) con seguente testo : "Forefront TMG ha rilevato un attacco All port scan dall'indirizzo Internet Protocol (IP) xxx.xx.xxx.xxx.". Il problema che IP sono quasi sempre gli stessi (Irlanda, China). Mi chiedevo quindi, il TMG blocca preventivamente IP che esegue per esempio "scan port" ? se si per quanto e come posso vedere IP bloccati o non c'è questa opzione ?

    Grazie

    Tomasz

    martedì 28 gennaio 2014 10:45
    |

Risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    Sarebbe utile mettere in quarantena IP che perseverano a rompere..

    Ciao,

    Provo a fare un po' di chiarezza oltre a quanto gia' detto da Edoardo.

    L'alert segnalato da te si manifesta di solito dopo aver abilitato la feature "Intrusion Detection and DNS Attack Detection". Una ricerca velocissima (tipo Whois Lookup) puo' mostrarti a chi appartengono gli indirizzi IP. Ritieni che gli indirizzi IP all'origine possono essere anche fasulli, ovvero colui che inizia il port scan puo' veramente cambiare l'indirizzo IP all'origine (ci si trova in giro qualche tool apposito).

    La pagina TechNet:

    Enabling intrusion detection of common attacks

    ti guida per attivare o disattivare separatamente ogni tipo di attacco in TMG  (compreso il port scan).

    Nel tuo caso, TMG fa proprio cio' che dovrebbe fare: sta difendendo la tua rete contro questo  port scan lasciando giu' i pacchetti per cui non c'e' ascoltatore poi tiene traccia di tutta questa informazione per farti consapevole dell'"attacco".

    Ovviamente TMG non e' in grado di riconoscere da quale origine reale e' stato iniziato il port scan, ma solo riceve i pacchetti da un router. Non c'e' qualcosa che Microsoft potrebbe fare per rimediarci, al massimo puoi bloccare tutto il traffico da questi indirizzi IP "fasulli" (ovviamente supponendo che non ti servono).

    Poi c'e' da dire anche che l'attacco puo' continuare cambiando indirizzo IP.

    Riferimenti:

    ISA Server Port Scan Alerts

    Detecting Common Attacks using TMG Intrusion Detection

    Spero che possa aiutare, sono felice di vedere che TMG protegge correttamente la tua rete :-)

    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    • Contrassegnato come risposta Irina Turcu martedì 4 febbraio 2014 09:39
    lunedì 3 febbraio 2014 16:50
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    purtroppo quel tipo di blocco non c'è in TMG.

    l'unica cosa che puoi fare, se proprio vuoi evitare il portscanning, è blacklistare le classi di ip di partenza delle scansioni.

    d'altra parte, se ci pensi, il portscan è una manovra diagnostica benevola che è solo preliminare ad un eventuale attacco ma non è l'attacco vero e proprio. quello che conta è che tu protegga a dovere le porte che esponi su internet, non il fatto che gli altri sappiano quali sono le porte aperte.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 29 gennaio 2014 15:08
    |
    Moderatore

Tutte le risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    nella console di Forefront TMG, se vai sotto Intrusion Prevention System, trovila tab Behavioral Intrusion Detection sotto la quale trovi

    1) Configure Detection Settings for Common Network Attacks che permette di definire a quale tipo di attacco TMG deve prestare attenzione e avvisare nel caso si verifichi

    2) Configure Flood Mitigation Settings che permette invece di reagire applicando il blocco della comunicazione nei confronti dell'ip che sta floodando.

    come usare questi strumenti ?

    il primo che fa le rilevazioni, già lo usi quindi non ha bisogno di spiegazioni

    il secondo va usato per bloccare quelle comunicazioni che inviano troppe richieste in un intervallo breve di tempo che è il tipico caso di portscan quindi abilitando le funzionalità del secondo strumento dovresti poter stare tranquillo.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 28 gennaio 2014 13:13
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno,

    ho ricontrollato è "Identificazione di intrusione comportamentale\Configura impostazione di prevenzione attacchi flood\Prevenzione attacchi flood" gli ho già configurati, selezionato anche la voce "Registra traffico bloccato dalle impostazioni di prevenzione attacchi flood". Il mio problema che arrivano l'email ogni 1,2 min (100) e IP che esegue "Scan port" e lo stesso. Quindi "flood" viene fermata ma solo per il tempo di scansione successiva ? non c'è una regola per impone blocco del IP per esempio 20 min ?

    Grazie

    Tomasz

    mercoledì 29 gennaio 2014 08:42
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    purtroppo quel tipo di blocco non c'è in TMG.

    l'unica cosa che puoi fare, se proprio vuoi evitare il portscanning, è blacklistare le classi di ip di partenza delle scansioni.

    d'altra parte, se ci pensi, il portscan è una manovra diagnostica benevola che è solo preliminare ad un eventuale attacco ma non è l'attacco vero e proprio. quello che conta è che tu protegga a dovere le porte che esponi su internet, non il fatto che gli altri sappiano quali sono le porte aperte.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 29 gennaio 2014 15:08
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Grazie Edoardo,

    Sarebbe utile mettere in quarantena IP che perseverano a rompere..

    Grazie

    mercoledì 29 gennaio 2014 16:37
    |
  • Question
    Registrati per votare
    1
    Registrati per votare

    Sarebbe utile mettere in quarantena IP che perseverano a rompere..

    Ciao,

    Provo a fare un po' di chiarezza oltre a quanto gia' detto da Edoardo.

    L'alert segnalato da te si manifesta di solito dopo aver abilitato la feature "Intrusion Detection and DNS Attack Detection". Una ricerca velocissima (tipo Whois Lookup) puo' mostrarti a chi appartengono gli indirizzi IP. Ritieni che gli indirizzi IP all'origine possono essere anche fasulli, ovvero colui che inizia il port scan puo' veramente cambiare l'indirizzo IP all'origine (ci si trova in giro qualche tool apposito).

    La pagina TechNet:

    Enabling intrusion detection of common attacks

    ti guida per attivare o disattivare separatamente ogni tipo di attacco in TMG  (compreso il port scan).

    Nel tuo caso, TMG fa proprio cio' che dovrebbe fare: sta difendendo la tua rete contro questo  port scan lasciando giu' i pacchetti per cui non c'e' ascoltatore poi tiene traccia di tutta questa informazione per farti consapevole dell'"attacco".

    Ovviamente TMG non e' in grado di riconoscere da quale origine reale e' stato iniziato il port scan, ma solo riceve i pacchetti da un router. Non c'e' qualcosa che Microsoft potrebbe fare per rimediarci, al massimo puoi bloccare tutto il traffico da questi indirizzi IP "fasulli" (ovviamente supponendo che non ti servono).

    Poi c'e' da dire anche che l'attacco puo' continuare cambiando indirizzo IP.

    Riferimenti:

    ISA Server Port Scan Alerts

    Detecting Common Attacks using TMG Intrusion Detection

    Spero che possa aiutare, sono felice di vedere che TMG protegge correttamente la tua rete :-)

    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

    • Contrassegnato come risposta Irina Turcu martedì 4 febbraio 2014 09:39
    lunedì 3 febbraio 2014 16:50
    |