mnemonic Опубликовано 9 января, 2014 · Жалоба В функционале SCE заложена замечательная возможность бо борьбе с вирусами, DOS атаками и прочей нечистью. В документе "Service Security Using the Cisco SCE Platform" дано описание что из себя представляет механизм борьбы SCE со зловредным трафиком. В конфиге есть параметры по умолчанию которые представляют собой кол-во соединений в секунду выставленные для разных протоколов. Но так-как опыта в борьбе с данной проблемой нету то появляются вопросы. 1. Те параметры которые выставлены по умолчанию являются оптимальными или их надо подбирать опытным путем? 2. ДОстаточно ли того функционала SCE для борьбы с угрозами или надо использовать доп. инструменты которые пользуются статистикой накопленной SCE Поделитесь инфой кто-как бореться с вирусами, DOS и т.д. на SCE. Какие параметры выставляете. Кол-во сессий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivanm38 Опубликовано 9 января, 2014 · Жалоба очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 9 января, 2014 (изменено) · Жалоба очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением? по идее URL для редиректа делается через SCA BB Console здесь: Configuration->Policies->SubscriberRedirection->Network Attack Notification там просто добавляется URL на страницу с алармом. Можно добавить URL на которых не будет срабатывать редирект Allowed URLs. Ну типа оставить доступ на антивирусные сайты или сайт провайдера. Для включения блокировки и редиректа настраивается здесь: Service Security -> Anomaly Based Detection of Malicious Traffic -> Configure там выбираете тип детектора (создаете свой или выбираете по умолчанию. там 3 штуки) там уже конкретно для каждого протокола есть 3 варианта действий которые по умолчанию выключены (Disable) 1. Alert User - при срабатывании отправляется SNMP trap 2. Notify Subscriber - редиректит на URL который настроили 3. Block Attack - блокирует абонента или атаку (тут я не уверен) Изменено 9 января, 2014 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
skinner Опубликовано 10 января, 2014 · Жалоба вот только вопросы с редиректом по прежнему есть.. и ответа найти не удалось нигде. Делали разовую нотификацию абонента за спам, но абонент блокируется навсегда и видит нотификацию тоже всегда. делали нотификацию с выключением по переходу на заданный урл - и вот это работало. В доках писалось, что также при снижении порога срабатывания трешхолда за спам абонент разблокируется, но и этого не происходило. так и не разобрались как это заставить работать удовлетворительно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 23 января, 2014 (изменено) · Жалоба Начали пробовать включать блокировки атак с уведомлением и редиректом. Блочит на ура. Одно неудобство это неизвестно какие таймауты. Нельзя посмотреть кто заблокирован и сколько ещё будет длиться блокировка. Логи и SNMP трапы дают только информацию о начале и конце атаки. Проводил эксперимент. Эмулировал DoS атаку. После сообщения о конце атаки и восстановлением доступа в Интернет проходит примерно 10 минут. Проверял три раза. Иногда звонят абоненты и жалуются что вылечили вирусы но прошел уже час а доступа нет и нет. По логам и атака давно закончилась давно. И посмотреть состояние то негде. Нашел в одной доке что можно так менять и смотреть таймауты: Configuration: configure interface LineCard 0 sanity-checks attack-filter times filtering-cycle <seconds> max-attack-time <Seconds> To verify: sh interface LineCard 0 attack-filter current-attacks Example: SCE#>show interface LineCard 0 sanity-checks attack-filter times Filtering cycle: 3600 seconds. Max attack time: 86400 seconds. Но у меня такого нет. Версия ПО 3.8.5-classic Build 967. Изменено 23 января, 2014 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 24 января, 2014 (изменено) · Жалоба это глобальные атаки.. когда оно отключает процессинг удп (допустим).. у нас на 3.8.5 что на 4.0.0 sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0 Изменено 24 января, 2014 пользователем zhenya` Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 24 января, 2014 (изменено) · Жалоба это глобальные атаки.. когда оно отключает процессинг удп (допустим).. у нас на 3.8.5 что на 4.0.0 sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0 Все настройки для интерфейса какие есть SCE2020#conf t SCE2020(config)#interface LineCard 0 SCE2020(config if)#? accelerate-packet-drops Enable drop packets by hardware functionality asymmetric-L2-support Enables Asymmetric layer 2 support attack-detector Configure attack detectors attack-filter Configure attack filter connection-mode Set the connection mode (topology configurations) cpa-client Enable and configure the CPA client default Restore default configuration do Execute 'exec' mode commands end Exit configure mode exit Exit line card interface mode flow-capture Configure flow capture limits force interface Select an interface to configure IP-tunnel IP-tunnel support configuration L2TP Set L2TP support parameters link Configure line card link mac-resolver Configure mac-resolver settings MPLS Set MPLS support parameters no No commands os-fingerprinting Enable os-finger-printing periodic-records Periodic records configuration pqi PQI operations (Install/Un-install/Upgrade/Rollback) replace Configure application replace salt Salt for hashing sce-url-database silent Disable events subscriber Subscriber related stuff traffic-counter Define a traffic counter traffic-rule Define a traffic rule VAS-traffic-forwarding VAS traffic forwarding configuration VLAN Set VLAN support parameters WAP Enable WAP handling SCE2020(config if)# Сегодня вылез ещё один непонятный момент Зафиксирована атака из Интернета на IP абонента. После блокировки атаки у абонента вылезла страница уведомления. Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14 Значит просто так атак не бывает. Что-то на компе у убонента должно быть. UPD: Провел тест. Сэмулировал DoS атаку снаружи сети. Если стоит Notify то внутреннему абоненту постоянно выдаётся редирект на страницу. Если только Block attack то атака блокируется и абонент нормально работает. Изменено 24 января, 2014 пользователем mnemonic Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 24 января, 2014 · Жалоба Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку. Куча жалоб. Поведение у программы как у вируса. Как быть? Пока что attack-filter отключил:( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
digsi Опубликовано 24 января, 2014 · Жалоба Агент Mail.ru и есть вирус. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DimaM Опубликовано 24 января, 2014 · Жалоба Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14 знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и компьютеров хомяков без какого-нибудь вируса ему еще не попадалось, даже на "только что из магазина", там счасливому покупателю поставили по отдельной услуге какой-то софт, а заодно и вирус :) Поведение у программы как у вируса. Welcome to the real world. Нередко подобная функциональность у больших вендоров существует для галочки, т.е. когда ее делали, она возможно даже работала для какого-то конкретного случая, но дальше уже продолжает существование как legacy и в реальной жизни мало применима. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 24 января, 2014 · Жалоба Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку. Куча жалоб. Поведение у программы как у вируса. Как быть? Пока что attack-filter отключил:( а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 26 января, 2014 · Жалоба знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и компьютеров хомяков без какого-нибудь вируса ему еще не попадалось Офф: Есть еще такая штука как "false positive". У меня есть несколько софтин (в том числе самописная), которые определяются как разная бяка, но на деле это просто специфические тулзы. Так что мочить без разбора я бы не стал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mnemonic Опубликовано 30 января, 2014 · Жалоба Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку. Куча жалоб. Поведение у программы как у вируса. Как быть? Пока что attack-filter отключил:( а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37 не подскажете где взять последний протокол пак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 1 февраля, 2014 · Жалоба у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37 не подскажете где взять последний протокол пак? У меня есть 37 и 38 но только для 3.7.2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...