mnemonic Опубликовано 9 января, 2014 В функционале SCE заложена замечательная возможность бо борьбе с вирусами, DOS атаками и прочей нечистью. В документе "Service Security Using the Cisco SCE Platform" дано описание что из себя представляет механизм борьбы SCE со зловредным трафиком. В конфиге есть параметры по умолчанию которые представляют собой кол-во соединений в секунду выставленные для разных протоколов. Но так-как опыта в борьбе с данной проблемой нету то появляются вопросы. 1. Те параметры которые выставлены по умолчанию являются оптимальными или их надо подбирать опытным путем? 2. ДОстаточно ли того функционала SCE для борьбы с угрозами или надо использовать доп. инструменты которые пользуются статистикой накопленной SCE Поделитесь инфой кто-как бореться с вирусами, DOS и т.д. на SCE. Какие параметры выставляете. Кол-во сессий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivanm38 Опубликовано 9 января, 2014 очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 9 января, 2014 (изменено) очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением? по идее URL для редиректа делается через SCA BB Console здесь: Configuration->Policies->SubscriberRedirection->Network Attack Notification там просто добавляется URL на страницу с алармом. Можно добавить URL на которых не будет срабатывать редирект Allowed URLs. Ну типа оставить доступ на антивирусные сайты или сайт провайдера. Для включения блокировки и редиректа настраивается здесь: Service Security -> Anomaly Based Detection of Malicious Traffic -> Configure там выбираете тип детектора (создаете свой или выбираете по умолчанию. там 3 штуки) там уже конкретно для каждого протокола есть 3 варианта действий которые по умолчанию выключены (Disable) 1. Alert User - при срабатывании отправляется SNMP trap 2. Notify Subscriber - редиректит на URL который настроили 3. Block Attack - блокирует абонента или атаку (тут я не уверен) Изменено 9 января, 2014 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 10 января, 2014 вот только вопросы с редиректом по прежнему есть.. и ответа найти не удалось нигде. Делали разовую нотификацию абонента за спам, но абонент блокируется навсегда и видит нотификацию тоже всегда. делали нотификацию с выключением по переходу на заданный урл - и вот это работало. В доках писалось, что также при снижении порога срабатывания трешхолда за спам абонент разблокируется, но и этого не происходило. так и не разобрались как это заставить работать удовлетворительно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 23 января, 2014 (изменено) Начали пробовать включать блокировки атак с уведомлением и редиректом. Блочит на ура. Одно неудобство это неизвестно какие таймауты. Нельзя посмотреть кто заблокирован и сколько ещё будет длиться блокировка. Логи и SNMP трапы дают только информацию о начале и конце атаки. Проводил эксперимент. Эмулировал DoS атаку. После сообщения о конце атаки и восстановлением доступа в Интернет проходит примерно 10 минут. Проверял три раза. Иногда звонят абоненты и жалуются что вылечили вирусы но прошел уже час а доступа нет и нет. По логам и атака давно закончилась давно. И посмотреть состояние то негде. Нашел в одной доке что можно так менять и смотреть таймауты: Configuration: configure interface LineCard 0 sanity-checks attack-filter times filtering-cycle <seconds> max-attack-time <Seconds> To verify: sh interface LineCard 0 attack-filter current-attacks Example: SCE#>show interface LineCard 0 sanity-checks attack-filter times Filtering cycle: 3600 seconds. Max attack time: 86400 seconds. Но у меня такого нет. Версия ПО 3.8.5-classic Build 967. Изменено 23 января, 2014 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 24 января, 2014 (изменено) это глобальные атаки.. когда оно отключает процессинг удп (допустим).. у нас на 3.8.5 что на 4.0.0 sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0 Изменено 24 января, 2014 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 24 января, 2014 (изменено) это глобальные атаки.. когда оно отключает процессинг удп (допустим).. у нас на 3.8.5 что на 4.0.0 sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0 Все настройки для интерфейса какие есть SCE2020#conf t SCE2020(config)#interface LineCard 0 SCE2020(config if)#? accelerate-packet-drops Enable drop packets by hardware functionality asymmetric-L2-support Enables Asymmetric layer 2 support attack-detector Configure attack detectors attack-filter Configure attack filter connection-mode Set the connection mode (topology configurations) cpa-client Enable and configure the CPA client default Restore default configuration do Execute 'exec' mode commands end Exit configure mode exit Exit line card interface mode flow-capture Configure flow capture limits force interface Select an interface to configure IP-tunnel IP-tunnel support configuration L2TP Set L2TP support parameters link Configure line card link mac-resolver Configure mac-resolver settings MPLS Set MPLS support parameters no No commands os-fingerprinting Enable os-finger-printing periodic-records Periodic records configuration pqi PQI operations (Install/Un-install/Upgrade/Rollback) replace Configure application replace salt Salt for hashing sce-url-database silent Disable events subscriber Subscriber related stuff traffic-counter Define a traffic counter traffic-rule Define a traffic rule VAS-traffic-forwarding VAS traffic forwarding configuration VLAN Set VLAN support parameters WAP Enable WAP handling SCE2020(config if)# Сегодня вылез ещё один непонятный момент Зафиксирована атака из Интернета на IP абонента. После блокировки атаки у абонента вылезла страница уведомления. Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14 Значит просто так атак не бывает. Что-то на компе у убонента должно быть. UPD: Провел тест. Сэмулировал DoS атаку снаружи сети. Если стоит Notify то внутреннему абоненту постоянно выдаётся редирект на страницу. Если только Block attack то атака блокируется и абонент нормально работает. Изменено 24 января, 2014 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 24 января, 2014 Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку. Куча жалоб. Поведение у программы как у вируса. Как быть? Пока что attack-filter отключил:( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 24 января, 2014 Агент Mail.ru и есть вирус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 24 января, 2014 Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14 знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и компьютеров хомяков без какого-нибудь вируса ему еще не попадалось, даже на "только что из магазина", там счасливому покупателю поставили по отдельной услуге какой-то софт, а заодно и вирус :) Поведение у программы как у вируса. Welcome to the real world. Нередко подобная функциональность у больших вендоров существует для галочки, т.е. когда ее делали, она возможно даже работала для какого-то конкретного случая, но дальше уже продолжает существование как legacy и в реальной жизни мало применима. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 24 января, 2014 Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку. Куча жалоб. Поведение у программы как у вируса. Как быть? Пока что attack-filter отключил:( а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 26 января, 2014 знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и компьютеров хомяков без какого-нибудь вируса ему еще не попадалось Офф: Есть еще такая штука как "false positive". У меня есть несколько софтин (в том числе самописная), которые определяются как разная бяка, но на деле это просто специфические тулзы. Так что мочить без разбора я бы не стал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 30 января, 2014 Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку. Куча жалоб. Поведение у программы как у вируса. Как быть? Пока что attack-filter отключил:( а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37 не подскажете где взять последний протокол пак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 1 февраля, 2014 у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37 не подскажете где взять последний протокол пак? У меня есть 37 и 38 но только для 3.7.2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...