The following intrusion was observed - Mozilla.Firefox.Chrom

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
mares001
Mensajes: 6
Registrado: 08 May 2012, 17:15

The following intrusion was observed - Mozilla.Firefox.Chrom

Mensaje por mares001 »

Hola,

Tenemos una Fortigate 110C con v4.0,build0349,120904 (MR2 Patch 13) y me encuentro con que hay un par de mensajes de alerta en el log de los últimos días con el siguiente texto:

Message meets Alert condition
The following intrusion was observed: .
date=2013-05-28 time=10:07:47 devname=FGT110C device_id=FG100Cxxxxx log_id=0419016384 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="N/A" src=2.22.178.116 dst=192.---.---.xxxsrc_int="port1" dst_int="wan1" policyid=1 intf_policyid=N/A identidx=0 serial=2421648 status=detected proto=6 service=49576/tcp vd="root" count=1 src_port=80 dst_port=49576 attack_id=13448 sensor="protect_client" ref="http://www.fortinet.com/ids/VID13448" user="N/A" group="N/A" incident_serialno=1322911253 msg="web_client: Mozilla.Firefox.Chrome.Page.Loading.Restriction.Bypass

Por la información que veo en el link se supone que es un exploit relacionado con Mozilla pero en las versiones actuales ya se supone que está solucionado, sin embargo al aparecer esta información entiendo que hay un problema.
Me surge la duda de si hay alguien conectándose desde el exterior a las dos direcciones IP internas que aparecen en los mensajes o la Fortigate las estaría bloqueando, y en caso de que no las estuviera bloqueando ¿qué podría hacer para bloquear esa dirección?

Muchas gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: The following intrusion was observed - Mozilla.Firefox.C

Mensaje por gabyrossi »

hola, estas usando un sesnor de ips saliente? desde port1 a wan1 ?
podria ser un falso positivo...

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
mares001
Mensajes: 6
Registrado: 08 May 2012, 17:15

Re: The following intrusion was observed - Mozilla.Firefox.C

Mensaje por mares001 »

Hola,

Pues hay unos sensores de IP configurados que ya me venían así, pero no se si están aplicados desde port 1 a wan1 o no. ¿cómo puedo saberlo? gracias!
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: The following intrusion was observed - Mozilla.Firefox.C

Mensaje por gabyrossi »

hola, en el log que mostras lo dice bien claro...

src_int="port1" dst_int="wan1" policyid=1

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
mares001
Mensajes: 6
Registrado: 08 May 2012, 17:15

Re: The following intrusion was observed - Mozilla.Firefox.C

Mensaje por mares001 »

Y cómo se si es un falso positivo o verdadero? me gustaría poder bloquear esa IP y así salir de dudas. Agradecería si me pudierais ayudar a bloquearla.

Muchas gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: The following intrusion was observed - Mozilla.Firefox.C

Mensaje por gabyrossi »

hola, en el log que muestras te dice el origen de la ip.
busca la politica de id =1 y agrega arriba una politica similar con origen la ip y accion block.

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
mares001
Mensajes: 6
Registrado: 08 May 2012, 17:15

Re: The following intrusion was observed - Mozilla.Firefox.C

Mensaje por mares001 »

De acuerdo,

Muchas gracias
Responder