Forum

Zywall 70 ve atakla...
 
Bildirimler
Hepsini Temizle

Zywall 70 ve ataklar

10 Yazılar
3 Üyeler
0 Reactions
443 Görüntüleme
(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Merhaba,


Özellikler son 1 aydır aşırı derecede atak yemekteyim.  Zywall 70 idp servisi ilk başta karşılıyordu, ancak (veri tabanını güncelleyemememden de kaynaklanabilir) artık işimi görmüyor. Sistem kilitleniyor özellikle; HTTP Inspection - Webattacs - BufferOverflow saldırıları alıyoruz. 80 ve diğer web yayını yapan portları kapatmak zorunda kaldık. Kullandığım hat adsl 4 mbit . Tavsiyelerinizi ve yardımlarınızı bekliyorum.

 
Gönderildi : 22/08/2009 15:17

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba

atak yediğiniz ipleri bloklamanız yeterli olacaktır.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/08/2009 14:10

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

hocam merhaba,


 ataklara bakıyorum 212.115.6.231 > kangurum.com.tr migros.com.tr


bunları bloklasam mail gitmeyecek bunlara yada sitelere erişim olmayacak. Bunlar üzerinden başka bir yer tarafından mı salıdır altındayım.


Ne yapabilirm ???


 



Merhaba


atak yediğiniz ipleri bloklamanız yeterli olacaktır.

 
Gönderildi : 25/08/2009 20:00

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

peki bu ipden nasıl bir atak geliyor ?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/08/2009 11:45

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Hakan bey Merhaba,


siteyi  firewall dan, saldırı olan makinaya olan erişimini blokladım. Ama logları temizlemiştim hocam hatırlamıyorum türünü! Ancak şunu söyliyebilirim, o siteden sadece linux web - mail sunucusu olan makinaya ataklar geliyo ve türü değişik olabiliyor. Cihaza uygun idp ve av paketi satın aldım. Testte tutuyorum şuan. Olumlu yada olumsuz performanslarda haberdar edicem. Kolay gelsin.

 
Gönderildi : 26/08/2009 17:57

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

bilgi için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 26/08/2009 18:34

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Merhaba,


ids paketini kurmama rağmen hala atak ve kilitlenmeler oluyor serverda , reset kaçınılmaz oluyor. Şöyle bir sorum var ; 4 mbit lik adsl hat önünde en iyi firewall ve idp ünitesi bile olsa gbit lik saldırılara karşı çözüm bulabilirmi ? belki de ben çözümü başka yerde aramalıyım? Teşekkürler.

 
Gönderildi : 10/09/2009 13:54

(@SeckinDEMIR)
Gönderiler: 67
Trusted Member
 

Merhaba,


Öncelikle hattınız 4 mbit ise size gelebilecek attack trafiği en fazla 4 mbit olabilir, daha fazlasına isp izin vermeyecektir. Attack yapan kişiler biraz deneyimli ve profesyonel ise size sabit ip değil, farklı ip'ler ile - farklı source/destination port ile ve hatta spoofed/zombi ip'ler ile saldırabilirler. Bu sebep ile bana gelen şu ip'yi yasaklayayım mantığı bu noktada işe yaramayacaktır. Ancak yukarıda karşı tarafın ip'si sabit bir ip olduğunu belirtmişsiniz. Bu noktada karşı taraf ile iletişime geçmenizde fayda var ancak unutmamak lazım ki spoof ip ise karşı tarafı boşuna aramayın ve kaynağı bulmaya çalışın. ISP ile görüşürseniz size bilgi vermesi mümkün ancak süreç biraz uzun olabilir ve bu arada aynı ISP size gelin bir IPS hizmeti satayım şeklinde yaklaşabilir ! Bir başka konuda IDS olayı, Intrusion Detection System) olarak geçen bu kavram atağın tespit edilmesi yönünde olup bilgilendirme amaçlıdır. Sizin kullanmanız gereken IPS (Intrusion Prevention System) teknolojisidir. Tabi burada Zywall IDS içerisinde IPS entegre etmiş ise o zaman durum değişecektir. Bu sebep ile Zywall hakkında özellikle atak senaryolarında davranış biçimi, teknolojisi vs. bilen kişiler ile görüşmeniz faydalı olacaktır.


İyi çalışmalar dilerim

 
Gönderildi : 10/09/2009 16:55

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Bilgi için teşekkürler Seçkin bey

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/09/2009 17:56

(@YasinEvrenkaya)
Gönderiler: 143
Estimable Member
Konu başlatıcı
 

Cevap için teşekkürler Seçkin bey,


Zywal 70 utm cihazda,  idp "INTRUSION DETECTION AND PREVENTION " sistemi bulunmakta. Maalesef zyxel destekte gerekli çözümlere ulaşmak haftaları buluyor. Tekrar teşekkürler.



Merhaba,


Öncelikle hattınız 4 mbit ise size gelebilecek attack trafiği en fazla 4 mbit olabilir, daha fazlasına isp izin vermeyecektir. Attack yapan kişiler biraz deneyimli ve profesyonel ise size sabit ip değil, farklı ip'ler ile - farklı source/destination port ile ve hatta spoofed/zombi ip'ler ile saldırabilirler. Bu sebep ile bana gelen şu ip'yi yasaklayayım mantığı bu noktada işe yaramayacaktır. Ancak yukarıda karşı tarafın ip'si sabit bir ip olduğunu belirtmişsiniz. Bu noktada karşı taraf ile iletişime geçmenizde fayda var ancak unutmamak lazım ki spoof ip ise karşı tarafı boşuna aramayın ve kaynağı bulmaya çalışın. ISP ile görüşürseniz size bilgi vermesi mümkün ancak süreç biraz uzun olabilir ve bu arada aynı ISP size gelin bir IPS hizmeti satayım şeklinde yaklaşabilir ! Bir başka konuda IDS olayı, Intrusion Detection System) olarak geçen bu kavram atağın tespit edilmesi yönünde olup bilgilendirme amaçlıdır. Sizin kullanmanız gereken IPS (Intrusion Prevention System) teknolojisidir. Tabi burada Zywall IDS içerisinde IPS entegre etmiş ise o zaman durum değişecektir. Bu sebep ile Zywall hakkında özellikle atak senaryolarında davranış biçimi, teknolojisi vs. bilen kişiler ile görüşmeniz faydalı olacaktır.


İyi çalışmalar dilerim

 
Gönderildi : 10/09/2009 22:11

Paylaş: