Securepoint Support Forum

Moin,
dank der neuen funktion IDS/IPS  warnungen auszugeben und zu blocken, hat mann nun einne tollen überblick zu diesen nicht gewollten ereignissen, jedoch stresst die warnung akkut. hab die meldung auf einen tagesbericht zurück gestuft..
Konkret werden wir immer wieder von ein und der selben IP angegriffen, wie kann ich diese dauerhaft bannen ?
140 allerts pro tag :
INPUT - Potentially dangerous connection was blocked: incoming interface eth0, outbound interface , source address 185.234.218.210, destination address 192.168.5.18, protocol TCP, source port 25811, destination port 25

Hallo,

mit den Update v11.8.7 ist die "CYBER DEFENCE CLOUD" hinzugekommen. Diese Protokolliert Zugriffe von und zu potentiell gefährlichen IP's. Unter Anwendungen >> IDS/IPS >> CYBER DEFENCE CLOUD können Sie die Protokollierung ausschalten oder die Zugriffe direkt Blocken lassen.

Wenn Sie nur wegen der Masse der Benachrichtigungen überrascht sind, können Sie deren Häufigkeit im Alerting Center regulieren, indem Sie den Benachrichtigungstyp heruntersetzen.

Ein Wiki dazu finden Sie auch hier, und ein kostenfreies Webinar zum Update hier.


Gruß Björn

Danke für ihre Antwort, dass ist mir soweit bekannt.

Die Protokollierten auffälligkeiten kommen immer von der gleichen IP Adresse, daher würde ich diese gern dauerhaft blocken.

Same IP Adress bei uns ... 
Nervig

Hallo,

wenn Sie die Cyber Defence Cloud auf blockieren stellen wird dies rejected. Wenn Sie dann noch zusätzlich das Alerting Center anpassen können Sie es rejecten und die Meldungen auf Info stellen oder keine Meldungen.

Gruß Björn

Ja, dass ist schon klar :-)

Dennoch nervt diese IP ;-)

Hallo,

durch das rejected bekommt aber Absender die Info zurück das es abgelehnt wird. Dadurch macht man sich unbeliebt und man kommt früher oder später von den Listen herunter.

Das habe ich so umgesetzt .. , zb in den letzten 24h 310 Warnungen.
Wenn ich die IP nicht manuell auf eine Bann Liste setzen kann, verstehe ich jedoch nicht warum die UTM das nicht selbst macht. Die häufigkeit des Blockens könnte doch zur folge haben dass die IP für einen Zeitraum tatsächlich verbannt wird, bei wieder auftreten auch gern immer länger...?

Bei uns wurde ebenfalls seit einiger Zeit ständig von 185.234.218.210 aus versucht auf Port 25 unsere externe IP anzusprechen. Weil mich die genannten Meldungen ziemlich gestört haben und das "Rejecten" seit Wochen nichts gebracht hat, habe ich einfach eine entsprechende Firewall-Regel angelegt. Jetzt wird der Kram noch vor IDS/IPS abgewiesen.

Gruß

Franz

Mal eine Grundsatzfrage zur Cyber-Defence-Cloud:

Werden hier nur die Quell-IPs ausgewertet oder ist die Detektierung auch vom Zielport abhängig (z.B. böseIP -> WAN-IP:25 würde geblockt/reportet werden und böseIP -> WAN-IP:8443 würde durchgelassen werden)?

Nur ueber die IP

Franz hat geschrieben:Bei uns wurde ebenfalls seit einiger Zeit ständig von 185.234.218.210 aus versucht auf Port 25 unsere externe IP anzusprechen. Weil mich die genannten Meldungen ziemlich gestört haben und das "Rejecten" seit Wochen nichts gebracht hat, habe ich einfach eine entsprechende Firewall-Regel angelegt. Jetzt wird der Kram noch vor IDS/IPS abgewiesen.

Gruß

Franz

Hallo. Gegenwärtig stört es mich auch, dass wir von ein und den gleichen externen IPs immer wieder "angegriffen" werden und ich würde ebenfalls diese direkt "blacklisten". Können Sie mir schildern, wie Sie in diesem Fall vorgegangen sind mit Ihrer "Firewall-Regel"?

Wäre wirklich gut, wenn die Securepoint Appliance merkt, dass der Angriff immer wieder und wieder ausgeführt wird, dass diese externe IP dann automatisch in eine Blacklist verschwindet und gebannt wird. Danke für Feedback.

1. Netzwerkgruppe für Störer erstellt
2. Netzwerkobjekt für die IP des Störers erstellt (Zone: external) und dieses Objekt der zuvor erstellten Netzwerkgruppe zugeordnet
3. Portfilter erstellt
                Quelle: Netzwerkgruppe-Störer
                Ziel:       external-interface
                Dienst: any
                Aktion: DROP (oder REJECT, wenn man Rückmeldung geben will)

Momentan beobachte ich noch die Qualität der Erkennung via "CYBER DEFENCE CLOUD". Ich hatte schon Fälle (Störungen), wo diese zu "sensibel" war.

Bjoern hat geschrieben:Hallo,

durch das rejected bekommt aber Absender die Info zurück das es abgelehnt wird. Dadurch macht man sich unbeliebt und man kommt früher oder später von den Listen herunter.

Macht das wirklich Sinn? Bisher habe ich immer mit Drop gearbeitet um dem Absender wenig Infos zurück zu geben.

Das kann man natuerlich behandeln wie man moechte.

Durch das Reject bekommt die Gegenstelle jedenfalls eine klare Auskunft und damit eine Abweisung. Das erspart unter Umstaenden weiteres Anklopfen durch diese IP-Adresse.

Franz hat geschrieben:1. Netzwerkgruppe für Störer erstellt
2. Netzwerkobjekt für die IP des Störers erstellt (Zone: external) und dieses Objekt der zuvor erstellten Netzwerkgruppe zugeordnet
3. Portfilter erstellt
                Quelle: Netzwerkgruppe-Störer
                Ziel:       external-interface
                Dienst: any
                Aktion: DROP (oder REJECT, wenn man Rückmeldung geben will)

Momentan beobachte ich noch die Qualität der Erkennung via "CYBER DEFENCE CLOUD". Ich hatte schon Fälle (Störungen), wo diese zu "sensibel" war.

Vielen Dank für den Hinweis. Werde ich direkt mal umsetzen!