none
Активность через закрытый фаерволл. RRS feed

  • Вопрос

  • Здравствуйте.

    Столкнулись с проблемой спама в стоящий в ДатаЦентре сервер запросами, предположительно Net Use.

    Запросов было довольно много, начал закрывать фаервол, потом пришёл к выводу, что по большо счету на этом сервере интернет, по большому счету не нужен.

    Создал правило вида "разрешить любую активность только(!) с таких то IP адресов, остальные отклонять". Не смотря на это, иногда "просачиваются" редкие запросы следующего вида:

    Учетной записи не удалось выполнить вход в систему.

    Субъект:
    ИД безопасности: NULL SID
    Имя учетной записи: -
    Домен учетной записи: -
    Код входа: 0x0

    Тип входа: 3

    Учетная запись, которой не удалось выполнить вход:
    ИД безопасности: NULL SID
    Имя учетной записи: Administrator
    Домен учетной записи: VZIDC-3897

    Сведения об ошибке:
    Причина ошибки: Неизвестное имя пользователя или неверный пароль.
    Состояние: 0xc000006d
    Подсостояние: 0xc0000064

    Сведения о процессе:
    Идентификатор процесса вызывающей стороны: 0x0
    Имя процесса вызывающей стороны: -

    Сведения о сети:
    Имя рабочей станции: VZIDC-3897
    Сетевой адрес источника: 222.186.38.97
    Порт источника: 1259

    Я понимаю что особой угрозы в себе это не несет, интересен сам процесс, как проходят запросы с "левых" ip адресов? Ведь в созданном правиле, все порты закрыты, и разрешены только с определённых IP, коим дынный(222.186.38.97), естественно не является.

    29 ноября 2012 г. 10:50

Все ответы

  • Начните с углублённого изучения установленного у Вас брандмауэра.

    Вот Вам, дополнительная информация к размышлению:


    Да, я Жук, три пары лапок и фасеточные глаза :))

    29 ноября 2012 г. 13:32
    Модератор
  • Ну хуиз он и в африке хуиз.

    Вопрос как раз состоит в том, что фаервол перекрыт. Вообще.(кроме выбранных мной IP), а такие вот запросы, пару раз  в сутки, да проскакивают (раньше, до закрытия FW - они сыпали часто)

    29 ноября 2012 г. 14:48
  • Вот по этому, цитата: "(кроме выбранных мной IP)", и отправил Вас на углублённое изучение работы именно установленного у Вас, брандмауэра.

    Так как, всё же считаю, что утверждение: брандмауэр перекрыт, означает только одно -любые подключения за пределы компьютера не должно быть в принципе.

    Ваш же режим - Блокировать все соединения кроме разрешённых, являясь усиленной защитой компьютера, оставляет вполне законные лазейки для его работы с Интернет. 


    Да, я Жук, три пары лапок и фасеточные глаза :))


    29 ноября 2012 г. 15:05
    Модератор
  • для начала неплохо бы понять что "перекрыто". входящие или исходящие соединения?
    29 ноября 2012 г. 15:30
  • для начала неплохо бы понять что "перекрыто". входящие или исходящие соединения?
    TCP и UDP входящие. Все порты - закрыто для всех, исключая нужные мне адреса.
    30 ноября 2012 г. 6:44