Comunidad FORTIGATE.es

Buenos días a todos,

En mi firewall Fotigate 100A estoy viendo en el widget de Top Attacks continuamente un ataque de "Freegate.Searching".
He tratado de modificar la firma por defecto del IPS pero no logro averiguar como modificarla para que el ataque "Freegate.Searching" lo bloquee.

Estoy tratando de hacer que en los logs que guarda en memoria registre el ataque pero tampoco lo logro, he habilitado en el sensor el logging de los ataques, aun así, en el registro no aparece nada.

Por favor, necesito ayuda para saber como frenar el ataque y para ver más detalles al respecto, me gustaría saber si es desde dentro hacia fuera o de fuera hacia dentro ya que en la bitácora de ataques no me muestra nada SÓLO en el widget.

Actualmente tengo el firmware MR7, aunque a lo largo de esta semana lo actualizaré.

Gracias de antemano.

Hola, freegate es un proxy, seguramente alguiien en la red lo esta usando o intentando usar.

[Debes identificarte para poder ver enlaces.]

busca la firma en o en los sensores y bloquealo.

saludos

Muchas gracias por la respuesta, lo he intentado pero no veo donde puedo cambiar "permitir" por "bloquear", las firmas no las puedo modificar.

Ya lo he podido hacer.
Al parecer hay que hacerlo desde los sensores, agregando un "sobrepaso pre-definido".

Sólo una pregunta más, ¿se podría averiguar que desde la ip del cliente que me estaba generando los ataques?

Muchas grcias por todo.

Me temo que no ha funcionado, sigue igual:

# Nombre Ataque Ultima Detección Cantidad
1 Freegate.Searching Mon Jul 4 14:25:14 2011 1

hola, no funciona que cosa? que esperas que haga?

saludos

Buenas, desconozco si ahora está frenando el "ataque" pero veo que se aiguen generando entradas en el
Top Attacks. Lo que no entiendo es porque no lo registra en la bitácora de ataques como un ataque IPS.
Mañana cuelgo foto y asi se ve mejor.

Gracias una vez más por tu ayuda

hola, hay que ver si estas logueando el ips. tenes analyzer?

Buenas Gaby,
Si le marco que haga logging y habilito los logs pero en memoria, no tengo analyzer ni syslog. Podría ser que en memoria no queden estos registros???

Me está empezando a preocupar porque siguen apareciendo los registros de ataques, y desconozco si es de algun equipo de la LAN que está usando el freegate o es un ataque desde el exterior...no tengo datos para analizarlo.

Gaby gracias por tu inestimable ayuda, ¿eres moderador del foro? ¿cómo podemos ayudarte, existe alguna forma de hacerte donativos?

Aquí va la imagen que ayuda más a entenderlo:

Hola, como estas?

dentro del perfil de proteccion estas habilitando log en el ips ???
tambien dentro del sensor de ips, debajo tenes para loguear.

la idea es saber en que senosr estas usando esa firma de freegate y luego en que politica esas usando el perfil asocioado a ese sensor de ips.

saludos

gabyrossi escribió:Hola, como estas?

dentro del perfil de proteccion estas habilitando log en el ips ???
tambien dentro del sensor de ips, debajo tenes para loguear.

la idea es saber en que senosr estas usando esa firma de freegate y luego en que politica esas usando el perfil asocioado a ese sensor de ips.

saludos

Si correcto, dentro del perfil de proteccion que tengo aplicado a las políticas de WAN a LAN he habilitado el log y aun así nada.
También dentro del sensor (tengo 2 sensonres aplicados, protect_client y protect_http_server) he marcado loggin por defecto.

Estoy usando el sensor protect_client y protect_http_server aplicado a 2 perfiles, estos perfiles los tengo aplicados según que protocolo a todas las políticas de WAN a LAN

Hola, si se estan aplicando ahi, no sencesitarias esa firma en una politica entrante.
recomoiendo que customices bien tu sensor ips, para firmas aplicadas ya sea al sistma operitvo que tengas expuesto a in ternet, aplicacion, etc,

saludos

No te entiendo.
El IPS lo tengo aplicado en las políticas de WAN a LAN, ¿Es lo correcto verdad?, entiendo que la prevención de intrusos ha de aplicarse de afuera hacia dentro.
Acabo de actualizar el firmware al 4.0-MR3 patch1 y la interzaf cambia por compleo y han introducido muchos cambios.

Seguiré haciendo pruebas.

hola, si usas un ips de defulart habra muchas cosas que no tenes.. estara chequeando cosas que no tenes en tu server o en tu red. menos se chequea ese fregate en una politica entrante (wan a lan). por eso te recomiendo que analices que es lo que querer hacer cn el ips en las politicas entrantes.

si cambia mucho.

slaudos