none
Ataque RRS feed

  • Pergunta

  • Pessoal gostaria da ajuda de voces, tenho o TMG 2010, em um servidor windows 2008. Recentemente tenho recebido avisos de ataques gostaria da ajuda de voces: Description: Forefront TMG detected an all port scan attack from Internet Protocol (IP) address  e um outro problema que gostaria de resolver é: Examples Search results: Group by: Group sort order: Alert Information Description: Forefront TMG was unable to decompress a response body from www.mercadolivre.com.br because the response was compressed by a method which is not supported by Forefront TMG. This happens when a Web server is configured to supply responses compressed by a method that is not supported by Forefront TMG regardless of the type of compression requested. If you want Forefront TMG to block such responses, configure the policy rule's HTTP policy to block the Content-Encoding header in responses. Otherwise, such responses will be forwarded without decompression to the client and can be cached. You can cancel or reduce the frequency of the alert generated by this event in Forefront TMG Management
    • Editado Danilo_Ferreira segunda-feira, 21 de março de 2011 11:34 erro de digitacao
    segunda-feira, 14 de março de 2011 20:28

Respostas

Todas as Respostas

  • Olá Danilo,

    vamos por partes:

    1- Dúvida sobre alerta port scan no TMG;

    R- Esse alerta é um dos vários de mecanismos de proteção que o TMG possui. Caso algum IP faça scan em um determinado número de portas, esse alerta é mostrado. Sugiro você revisar os logs do TMG filtrando pelo IP identificado no alerta e verificar quais portas ele tentou acessar. Verifique se essas portas estão abertas no TMG (se existe alguma regra de publicação para as mesmas). Caso negativo, acredito que não há motivo para você se precocupar.

    2- Alerta sobre um método de compressão não suportado pelo TMG

    R- O TMG suporta os método de Gzip e Deflate para compressão e descompressão de arquivos (otimizando a banda utilizada). O que está acontecendo é que provavelmente estes sites não utilizam métodos suportados pelo TMG, gerando assim o alerta. Para evitar que os alertas apareçam, você deve excluir estes sites do filtro de compressão utilizado pelo TMG.

    Atenciosamente,

    Paulo Oliveira.


    Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     

    quarta-feira, 23 de março de 2011 20:08
  • Paulo obrigado por responder.

    1 - No caso do PortScan, sim eu filtrei o ip que iniciou a tentativa de ataque pelos logs e, o TMG bloqueou todas as portas da tentativa, porem como sou iniciante no TMG, gostaria de saber se ha alguma forma de meu IP nao ser escaneado por PortScan?

    2 - E gostaria como faço para que eu exclua determinados Sites da compressão do TMG ?

    Muito obrigado

    quinta-feira, 24 de março de 2011 11:34
  • Acho que vc ja tem um thread aberto sobre isso no forum do ISA.

    So completando.

    Todos sofrem de ataque de PortScan, não tem como fugir disso. Somente matendo seu TMG ou ISA atualizado e não deixar nenhuma brecha nas regras.

    Referente ao problema do site mercado livre pode ficar tranquilo pq isso acontece Nas versoes do ISA e do TMG.


    David Dellacenta http://https://daviddellacenta.wordpress.com||
    quinta-feira, 24 de março de 2011 12:38
  • Olá Danilo,

    infelizmente não há como evitar que o seu IP seja escaneado, pois ele é publico na internet. Se você acha que esses alertas estão sendo falsos positivos, você pode aumentar o número de portas a serem escaneadas antes do TMG gerar o evento.

    Quanto a compressão, dê uma olhada nesse link: http://technet.microsoft.com/en-us/library/bb794800.aspx

    Atenciosamente,

    Paulo Oliveira.


    Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     

    quinta-feira, 24 de março de 2011 13:06
  • Obrigado /Davi
    quinta-feira, 24 de março de 2011 20:15
  • Paulo apenas para complementar, vi o link , vi que tenho como fazer excessão , porem nao tem como fazer excessão apenas de um site?
    quinta-feira, 24 de março de 2011 20:17