Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
s.berg@pcc-fc.com
Themen-Autor
Beiträge: 12
Registriert: Mo 03.06.2019, 13:45

IDS/IPS Input Warnung

Do 19.12.2019, 10:30

Moin,
dank der neuen funktion IDS/IPS  warnungen auszugeben und zu blocken, hat mann nun einne tollen überblick zu diesen nicht gewollten ereignissen, jedoch stresst die warnung akkut. hab die meldung auf einen tagesbericht zurück gestuft..
Konkret werden wir immer wieder von ein und der selben IP angegriffen, wie kann ich diese dauerhaft bannen ?
140 allerts pro tag :
[size=120][font=Times New Roman, serif]INPUT - Potentially dangerous connection was blocked: incoming interface eth0, outbound interface , source address 185.234.218.210, destination address 192.168.5.18, protocol TCP, source port 25811, destination port 25
[/font][/size]
 
Bjoern
Securepoint
Beiträge: 494
Registriert: Mi 03.07.2013, 10:06

Re: IDS/IPS Input Warnung

Do 19.12.2019, 12:47

Hallo,

mit den Update v11.8.7 ist die "CYBER DEFENCE CLOUD" hinzugekommen. Diese Protokolliert Zugriffe von und zu potentiell gefährlichen IP's. Unter Anwendungen >> IDS/IPS >> CYBER DEFENCE CLOUD können Sie die Protokollierung ausschalten oder die Zugriffe direkt Blocken lassen.

Wenn Sie nur wegen der Masse der Benachrichtigungen überrascht sind, können Sie deren Häufigkeit im Alerting Center regulieren, indem Sie den Benachrichtigungstyp heruntersetzen.

Ein Wiki dazu finden Sie auch hier, und ein kostenfreies Webinar zum Update hier.


Gruß Björn
 
s.berg@pcc-fc.com
Themen-Autor
Beiträge: 12
Registriert: Mo 03.06.2019, 13:45

Re: IDS/IPS Input Warnung

Do 19.12.2019, 16:59

Danke für ihre Antwort, dass ist mir soweit bekannt.

Die Protokollierten auffälligkeiten kommen immer von der gleichen IP Adresse, daher würde ich diese gern dauerhaft blocken.
 
Seccie01010101
Beiträge: 8
Registriert: Di 03.09.2019, 12:23

Re: IDS/IPS Input Warnung

Fr 20.12.2019, 09:36

Same IP Adress bei uns ... 
Nervig
 
Bjoern
Securepoint
Beiträge: 494
Registriert: Mi 03.07.2013, 10:06

Re: IDS/IPS Input Warnung

Fr 20.12.2019, 09:54

Hallo,

wenn Sie die Cyber Defence Cloud auf blockieren stellen wird dies rejected. Wenn Sie dann noch zusätzlich das Alerting Center anpassen können Sie es rejecten und die Meldungen auf Info stellen oder keine Meldungen.

Gruß Björn
 
Seccie01010101
Beiträge: 8
Registriert: Di 03.09.2019, 12:23

Re: IDS/IPS Input Warnung

Fr 20.12.2019, 09:59

Ja, dass ist schon klar :-)

Dennoch nervt diese IP ;-)
 
Bjoern
Securepoint
Beiträge: 494
Registriert: Mi 03.07.2013, 10:06

Re: IDS/IPS Input Warnung

Fr 20.12.2019, 11:17

Hallo,

durch das rejected bekommt aber Absender die Info zurück das es abgelehnt wird. Dadurch macht man sich unbeliebt und man kommt früher oder später von den Listen herunter.
 
s.berg@pcc-fc.com
Themen-Autor
Beiträge: 12
Registriert: Mo 03.06.2019, 13:45

Re: IDS/IPS Input Warnung

Mo 23.12.2019, 10:27

Das habe ich so umgesetzt .. , zb in den letzten 24h 310 Warnungen.
Wenn ich die IP nicht manuell auf eine Bann Liste setzen kann, verstehe ich jedoch nicht warum die UTM das nicht selbst macht. Die häufigkeit des Blockens könnte doch zur folge haben dass die IP für einen Zeitraum tatsächlich verbannt wird, bei wieder auftreten auch gern immer länger...?
 
Franz
Beiträge: 269
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Re: IDS/IPS Input Warnung

Fr 27.12.2019, 22:20

Bei uns wurde ebenfalls seit einiger Zeit ständig von 185.234.218.210 aus versucht auf Port 25 unsere externe IP anzusprechen. Weil mich die genannten Meldungen ziemlich gestört haben und das "Rejecten" seit Wochen nichts gebracht hat, habe ich einfach eine entsprechende Firewall-Regel angelegt. Jetzt wird der Kram noch vor IDS/IPS abgewiesen.

Gruß

Franz
 
HaPe
Beiträge: 45
Registriert: Di 09.05.2017, 22:40

Re: IDS/IPS Input Warnung

Mi 29.01.2020, 23:54

Mal eine Grundsatzfrage zur Cyber-Defence-Cloud:

Werden hier nur die Quell-IPs ausgewertet oder ist die Detektierung auch vom Zielport abhängig (z.B. böseIP -> WAN-IP:25 würde geblockt/reportet werden und böseIP -> WAN-IP:8443 würde durchgelassen werden)?
 
Benutzeravatar
Mario
Securepoint
Beiträge: 164
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Re: IDS/IPS Input Warnung

Do 30.01.2020, 10:02

Nur ueber die IP
Rise from your grave!

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast