Freegate.searching

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Freegate.searching

Mensaje por Trustee »

Buenos días a todos,

En mi firewall Fotigate 100A estoy viendo en el widget de Top Attacks continuamente un ataque de "Freegate.Searching".
He tratado de modificar la firma por defecto del IPS pero no logro averiguar como modificarla para que el ataque "Freegate.Searching" lo bloquee.

Estoy tratando de hacer que en los logs que guarda en memoria registre el ataque pero tampoco lo logro, he habilitado en el sensor el logging de los ataques, aun así, en el registro no aparece nada.

Por favor, necesito ayuda para saber como frenar el ataque y para ver más detalles al respecto, me gustaría saber si es desde dentro hacia fuera o de fuera hacia dentro ya que en la bitácora de ataques no me muestra nada SÓLO en el widget.

Actualmente tengo el firmware MR7, aunque a lo largo de esta semana lo actualizaré.

Gracias de antemano.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Freegate.searching

Mensaje por gabyrossi »

Hola, freegate es un proxy, seguramente alguiien en la red lo esta usando o intentando usar.

[Debes identificarte para poder ver enlaces.]

busca la firma en o en los sensores y bloquealo.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

Muchas gracias por la respuesta, lo he intentado pero no veo donde puedo cambiar "permitir" por "bloquear", las firmas no las puedo modificar.
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

Ya lo he podido hacer.
Al parecer hay que hacerlo desde los sensores, agregando un "sobrepaso pre-definido".

Sólo una pregunta más, ¿se podría averiguar que desde la ip del cliente que me estaba generando los ataques?

Muchas grcias por todo.
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

Me temo que no ha funcionado, sigue igual:

# Nombre Ataque Ultima Detección Cantidad
1 Freegate.Searching Mon Jul 4 14:25:14 2011 1
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Freegate.searching

Mensaje por gabyrossi »

hola, no funciona que cosa? que esperas que haga?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

Buenas, desconozco si ahora está frenando el "ataque" pero veo que se aiguen generando entradas en el
Top Attacks. Lo que no entiendo es porque no lo registra en la bitácora de ataques como un ataque IPS.
Mañana cuelgo foto y asi se ve mejor.

Gracias una vez más por tu ayuda
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Freegate.searching

Mensaje por gabyrossi »

hola, hay que ver si estas logueando el ips. tenes analyzer?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

Buenas Gaby,
Si le marco que haga logging y habilito los logs pero en memoria, no tengo analyzer ni syslog. Podría ser que en memoria no queden estos registros???

Me está empezando a preocupar porque siguen apareciendo los registros de ataques, y desconozco si es de algun equipo de la LAN que está usando el freegate o es un ataque desde el exterior...no tengo datos para analizarlo.

Gaby gracias por tu inestimable ayuda, ¿eres moderador del foro? ¿cómo podemos ayudarte, existe alguna forma de hacerte donativos?
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

Aquí va la imagen que ayuda más a entenderlo:
Imagen
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Freegate.searching

Mensaje por gabyrossi »

Hola, como estas?

dentro del perfil de proteccion estas habilitando log en el ips ???
tambien dentro del sensor de ips, debajo tenes para loguear.

la idea es saber en que senosr estas usando esa firma de freegate y luego en que politica esas usando el perfil asocioado a ese sensor de ips.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

gabyrossi escribió:Hola, como estas?

dentro del perfil de proteccion estas habilitando log en el ips ???
tambien dentro del sensor de ips, debajo tenes para loguear.

la idea es saber en que senosr estas usando esa firma de freegate y luego en que politica esas usando el perfil asocioado a ese sensor de ips.

saludos



Si correcto, dentro del perfil de proteccion que tengo aplicado a las políticas de WAN a LAN he habilitado el log y aun así nada.
También dentro del sensor (tengo 2 sensonres aplicados, protect_client y protect_http_server) he marcado loggin por defecto.

Estoy usando el sensor protect_client y protect_http_server aplicado a 2 perfiles, estos perfiles los tengo aplicados según que protocolo a todas las políticas de WAN a LAN
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Freegate.searching

Mensaje por gabyrossi »

Hola, si se estan aplicando ahi, no sencesitarias esa firma en una politica entrante.
recomoiendo que customices bien tu sensor ips, para firmas aplicadas ya sea al sistma operitvo que tengas expuesto a in ternet, aplicacion, etc,

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Trustee
Mensajes: 52
Registrado: 06 Mar 2010, 14:41

Re: Freegate.searching

Mensaje por Trustee »

No te entiendo.
El IPS lo tengo aplicado en las políticas de WAN a LAN, ¿Es lo correcto verdad?, entiendo que la prevención de intrusos ha de aplicarse de afuera hacia dentro.
Acabo de actualizar el firmware al 4.0-MR3 patch1 y la interzaf cambia por compleo y han introducido muchos cambios.

Seguiré haciendo pruebas.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Freegate.searching

Mensaje por gabyrossi »

hola, si usas un ips de defulart habra muchas cosas que no tenes.. estara chequeando cosas que no tenes en tu server o en tu red. menos se chequea ese fregate en una politica entrante (wan a lan). por eso te recomiendo que analices que es lo que querer hacer cn el ips en las politicas entrantes.

si cambia mucho.

slaudos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder