A je to normalno? Intrusion detector na routerju @ Slo-Tech

Forum » Informacijska varnost »
A je to normalno? Intrusion detector na routerju

A je to normalno? Intrusion detector na routerju

imallears :: 23. feb 2011, 17:35

Mene pa zanima če je naslednja zadeva normalna za običajnega uporabnika, namreč vsak dan je routerjev log poln takih in podobnih zadev s slovenskih, korejskih, kitajskih in kaj jaz vem katerih ipjev. Kaj naj naredim? Aja pa računalnik sem spucal z malwarebytesom, pregledal z avastom, ... nimam nič takega gor.

intrusion detector

ABX :: 23. feb 2011, 17:53

Virusi, Botnet, ... razna sranja ki avtomatizirano iščejo žrtve na netu. Tvoj router jih pravilno zavrača.
Kot vidiš so to povezave proti tebi, za skrbet bi bilo v obratnem primeru.

Tako pač je na Internetu.

P.S: Lastnega IP-ja ni nikoli pametno javljat okoli, se vedno naje kdo ki "se mu da".

Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

spremenilo: ABX (23. feb 2011 ob 17:54)

imallears :: 23. feb 2011, 17:58

Ok hvala, sicer se mi je zdelo, ampak nism bil ziher ker je blo nekaj ip-jev slovenskih (žrtve al pa mamo tut kako golazn pri nas). Mam dinamicni ip, pa sm takoj po objavi posta reconnectu.

RejZoR :: 23. feb 2011, 18:06

Včasih so ti IDS-ji tud mal preveč paranoični. Malformani paketki sicer niso zaželjeni ampak se dogaja da se spacajo v nerazpoznavne kupčke kode. Spet drugič lahko določen program generira karakteristike napada čeprav to ni.

Angry Sheep Blog @ www.rejzor.com

denial :: 25. feb 2011, 08:26

V idealnem svetu naj bi že ISP na border routerjih filtriral večino tega sranja. NMAP scan 222.184.232.2 -> 192.168.11.15 izstopa, čeprav je najbrž le false positive.

SELECT finger FROM hand WHERE id=3;

BlueRunner :: 25. feb 2011, 12:48

V idealnem svetu naj bi že ISP na border routerjih filtriral večino tega sranja.

Misliš reči v Pogumnem Novem Svetu™. ISP nima kaj gledati "to sranje" in odločati o temu kaj sme skozi in kaj ne.

Žalostno je samo to, da je ravno takšno filtriranje danes že praksa.

denial :: 25. feb 2011, 14:15

Sure... Pa usput naj še spam filtre odstranijo, ker "ISP nima kaj odločat o temu kaj sme skozi in kaj ne".

Saj načeloma se tudi sam strinjam s tvojim načinom razmišljanja, vendar večini uporabnikov ta "absolutna svoboda" nič ne pomeni, ker jo ne znajo "shendlat".

SELECT finger FROM hand WHERE id=3;

techfreak :) :: 25. feb 2011, 14:18

Potem pa vsaj opt-out iz filtriranja.

imallears :: 25. feb 2011, 14:21

NMAP scan 222.184.232.2 -> 192.168.11.15 izstopa

Verjetno je možno, da je kaka golazen tolk sposobna, da potem ko izvede port scan, poskuša zlezt not prek odprtih portov (virtual server) ... true?

denial :: 25. feb 2011, 14:29

@techfreak:
In kako naj bi bilo to izvedljivo v praksi?

SELECT finger FROM hand WHERE id=3;

ABX :: 25. feb 2011, 14:30

denial je 25. feb 2011 ob 14:15 izjavil:

Sure... Pa usput naj še spam filtre odstranijo, ker "ISP nima kaj odločat o temu kaj sme skozi in kaj ne".

Saj načeloma se tudi sam strinjam s tvojim načinom razmišljanja, vendar večini uporabnikov ta "absolutna svoboda" nič ne pomeni, ker jo ne znajo "shendlat".

ISP ima Spam filtre?

Vaša inštalacija je uspešno spodletela!

BlueRunner :: 25. feb 2011, 14:51

denial je 25. feb 2011 ob 14:29 izjavil:

@techfreak:
In kako naj bi bilo to izvedljivo v praksi?

Verjel ali ne, vsaj za tri ISP-je v Sloveniji lahko rečem, da trivialno. Tako za SPAM, kot tudi za ostalo solato.

Dokaz je recimo T-2, ki to uporabnikom dejansko ponuja. Celo tri stopnje filtriranja.

Težava pa je, če več nimaš možnosti opt-out ali pa ti to možnost podražijo, namesto, da bi bila celo cenejša (manj stroškov zagotavljanja storitve brez filtorv, kot pa z filtri).

denial :: 25. feb 2011, 15:32

@imallers
Nekaj načinov premostitve NAT-a je sicer znanih, koliko so v praksi dejansko učinkovite pa je drugo vprašanje. Kakorkoli, obstaja velika možnost da gre za FP ali povsem legitimen program. Parsanje log fajla za podobnim vzorcem je dober začetek.

@BlueRunner
Za spam ne dvomim sploh, zelo pa bi ti bil hvaležen za link kjer so navedene možnosti filtriranja "ostale solate"^[1] (ISP ni pomemben).

^[1] pod "ostala solata" ni mišljen NetBIOS temveč vzorci, ki so navedeni v zgornjem logu, torej opt-out za malformed paketke, port scane, SYN floode...

SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

spremenil: denial (25. feb 2011 ob 15:51)

ABX :: 25. feb 2011, 15:59

V Španiji Telefonica ima nek net safe filter. Ponavadi ga vklopi random.

V praksi filtrira web strani.

Da jaz vem v Sloveniji se blokira samo določene porte (kar podpiram), o SPAM filtrih nisem nikoli slišal.

Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

spremenilo: ABX (25. feb 2011 ob 16:00)

denial :: 25. feb 2011, 17:20

Da jaz vem v Sloveniji se blokira samo določene porte (kar podpiram), o SPAM filtrih nisem nikoli slišal

KLIK

SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

spremenil: denial (25. feb 2011 ob 17:21)

ABX :: 25. feb 2011, 18:36

hvala za info

Ampak kot razumem je to spam lista za mail strežnike. Dokaj irilevanto če nimaš email pri ponudniku.
Poleg tega je to off-topic, ker govorimo o direktnih napadih na IP naslov.

Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

spremenilo: ABX (25. feb 2011 ob 18:50)

BlueRunner :: 25. feb 2011, 18:51

@denial: Oprosti za malo zakasnel odgovor. Relevantna ponudba T-2 je tukaj. Pri temu moram izrecno poudariti, da T-2 spletnih strani NE FILTRIRA^(*), temveč je govora izključno o filtriranju dohodnega IP prometa.

Tudi pri drugih operaterjih ni tehničnih ovir, da bi kaj takšnega ponudili. O razlogih zakaj to počno ali pa ne počno, pa ne bi upal ugibati.

@ABX: Tudi sam sem včasih podpiral blokiranje portov, vendar pa sem s časom ugotovil, da to ne rešuje ničesar, samo navaden lonec iz katerega kipi zamenja z ekonom loncom.

(*) To ne vključuje blesavih in IMNSHO protiustavnih zahtev, ki jih pošilja UNPIS. Te zapadejo pod državno cenzuro in ne samovoljo ISP-ja.

Zgodovina sprememb…

spremenilo: BlueRunner (25. feb 2011 ob 18:54)

ABX :: 25. feb 2011, 18:58

To z T-2 je pravi pristop. Kupec se odloči kakšno varnost si želi pri naročilu paketa.

Jaz podpiram blokiranje portov za Netbios protokola in blokado SMTP porta za dinamične IP-je.
Ne vidim ene prednosti da imaš te porte odprte.

Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

spremenilo: ABX (25. feb 2011 ob 18:58)

denial :: 25. feb 2011, 19:14

@BlueRunner
Thanks za link. Vsak dan kaj novega izveš :-) Se strinjam, da je opt-out/in definitivno najboljša izbira.

SELECT finger FROM hand WHERE id=3;

Vredno ogleda ...

	Tema	Sporočila	Ogledi	Zadnje sporočilo
	Tema	Sporočila	Ogledi	Zadnje sporočilo
»	SMTP promet (strani: 1 2 3 4 ) b3D_950 Oddelek: Omrežja in internet	181	17581 (15632)	NeMeTko 4. okt 2012 00:14:05
»	Odkrita ranljivost v Nokia Series60 mobilnih telefonih poweroff Oddelek: Novice / Nokia / Symbian	43	7567 (5075)	poweroff 10. feb 2009 08:51:00
»	Storm podira rekorde - ponovni naval spama Alpheus Oddelek: Novice / Omrežja / internet	38	4731 (3186)	Jst 13. sep 2007 21:35:16
»	Po menjavi ponudnika problem s pošiljanjem pošte sid Oddelek: Omrežja in internet	42	5299 (4688)	Matko 16. jan 2007 20:04:03
»	V ZDA sprejeli zakon o omejitvi spama poweroff Oddelek: Novice / Zasebnost	12	2958 (2958)	poweroff 11. dec 2003 09:10:28

Več podobnih tem

Zadnje novice

Zadnji članki

Išči:

Forum » Informacijska varnost »
A je to normalno? Intrusion detector na routerju

A je to normalno? Intrusion detector na routerju