shadowserver.org hakkinda

Fortinet

Son Cevaplar gön: Yilmaz BARCIN 7 yıl önce

3 Yazılar

3 Üyeler

0 Reactions

919 Görüntüleme

RSS

Hikmet SOYDAM

(@HikmetSOYDAM)

Gönderiler: 218

Reputable Member

Konu başlatıcı

Merhabalar,

Fortigate 60D loglarında aşağıda ekran görüntüsünü paylaştığım bir log oluşuyor.

Anladığım kadarıyla VPN üstünden brute force atak yapıyorlar.

Dünde vardı, cihazı güncelledim.

Hepsinde ortak sunucu shadowserver.org sitesiydi.

Cihaz dışarıdan pinglere bile kapalı, yine de yapmam gereken birşey var mı?

Teşekkürler,

Shadowserver.org

Gönderildi : 06/09/2017 17:32

Gökhan TATAR

(@gokhantatar)

Gönderiler: 193

Estimable Member

Merhaba,

External (Internet) den , Lokal ağınıza olan, ICMP/RDP/SNMP/telnet/SSH protokollerinin erişiminin kapalı olduğundan emin olunuz.

En çok servis tabanlı veya uygulama tabanlı atak girişimleri bu protokoller üzerinden gerçekleşiyor.

Ayrıca cihazınızda IPS Lisansı var ise, IPS tabanlı bi takım imzalama işlemlerinide yapabilirsiniz.

IPS ile birlikte anomaly tabanlı gelebilecek bir çok isteğin imzalanmış olup /olmadığının kontrolünü yaptırmak ekstra fayda sağalaycaktır size.

Selamlar.

Gönderildi : 11/09/2017 13:18

Yilmaz BARCIN

(@yilmazbarcin)

Gönderiler: 315

Illustrious Member

Merhaba,

gördüğünüz event ipsec vpn bağlantı isteğine aittir. 2 durum olabilir ,

a- yanlış tanımlanmış bir ipsec vpn tanımından dolayı trafik size geliyor olabilir, yada geçmişte kullanılan bir static ip kullanıyorsunuz.

b- ilgili adresten standart ipsec vpn değerleri ile ipsec vpn yapılmaya çalışılıyor ( yüksek ihtimal ). Bu aralar sık gördüğümüz bir durum, ipsec vpn de faz1 ve faz2 ayarları olmadan sizin taraftada bunların karşılığı olmadan vpn kurulamayacağından endişe edilecek bir durum yok. Sadece bu şekilde event düşer.

kolay gelsin,

Gönderildi : 18/09/2017 04:21