Keresés: - Ubiquiti hálózati eszközök

Legfrissebb anyagok

IT café témák

PROHARDVER! témák

Mobilarena témák

GAMEPOD.hu témák

LOGOUT.hu témák

Keresés

Téma összefoglaló

Utoljára frissítve: 2024-08-28 22:02

IT café

Ubiquiti hálózati eszközök - téma összefoglaló

Új hozzászólás Aktív témák

#7903 rekop Topikgazda JoceeHunt #7880

Új Válasz 2021-07-29 10:04:36 #7903
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

rekop

Topikgazda

válasz JoceeHunt #7880 üzenetére

A behatolást megelőző(IPS) vagy behatolást jelző(IDS) rendszer egy olyan "motor", amely szignatúra(lenyomat) alapján azonosítja a rosszindulatú forgalmat. Ezek a szignatúrák tartalmazzák a gyanús, kártékony aktivitások által használt ismert forgalmi mintákat, vagy utasítássorozatokat. Fontos megjegyezni, az ilyen szignatúra alapú motor csak a már ismert rosszindulatú forgalmi minták alapján képes észlelni a rendellenességeket.
IDS: automatikusan észlel és figyelmeztet, de nem blokkolja a potenciálisan rosszindulatú forgalmat
IPS: automatikusan észlel, riaszt, és blokkolja is a potenciálisan rosszindulatú forgalmat
Az UniFi behatolásvédelmi rendszere a Suricata motort, és az Emerging Threats szignatúráit használja, napi frissítéssel. Itt több ezer szignatúrát tartalmazó adatbázisról van szó különböző kategóriákra bontva. A kategóriák részletesebb leírása itt található.
A reakció egy potenciálisan veszélyes eseményre lehet true vagy false positive is. Ezek kiszűrése, és kezelése már nem biztos, hogy egyszerű feladat egy otthoni felhasználó számára. Viszont UniFi-nél nincsen custom ruleset, ezáltal talán kisebb az esély a nem kívánatos false positive riasztásokra/blokkolásokra.

[ Szerkesztve ]
#7883 vicze félisten JoceeHunt #7880

Új Válasz 2021-07-28 16:32:46 #7883
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

vicze

félisten

válasz JoceeHunt #7880 üzenetére

Ezek Suricata rule-ok ki tudja milyen threat intelligence forrásból táplálva.
Gyakorlatban bárki aki VPN-t használ ez alacsony rangsorolású IP-ről teszi, mert nyilván a támadók is ezt használják. De pusztán lokáció alapján is lehet stb, stb.
Saját céges domain-ük is felkerült az egyik fekete listára, és 3hét levelezgetés meg telefonálgatás volt mire levakartuk...
Mondjuk csak egy jó tanács, hogy ne tölts public oldalról poreszt, csak privátról... Mondjuk általánosan csak privártól érdemes torrentezni.
#7881 Egon nagyúr JoceeHunt #7880

Új Válasz 2021-07-28 16:19:33 #7881
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Egon

nagyúr

válasz JoceeHunt #7880 üzenetére

Persze, Snort vagy Suricata szabálykészletet használ, amit adott gyakorisággal frissít nyilván.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)