Перейти к содержимому
Калькуляторы

SCE против вирусов кто какие параметры выставляет

В функционале SCE заложена замечательная возможность бо борьбе с вирусами, DOS атаками и прочей нечистью.

В документе "Service Security Using the Cisco SCE Platform" дано описание что из себя представляет механизм борьбы SCE со зловредным трафиком.

В конфиге есть параметры по умолчанию которые представляют собой кол-во соединений в секунду выставленные для разных протоколов.

 

Но так-как опыта в борьбе с данной проблемой нету то появляются вопросы.

 

1. Те параметры которые выставлены по умолчанию являются оптимальными или их надо подбирать опытным путем?

2. ДОстаточно ли того функционала SCE для борьбы с угрозами или надо использовать доп. инструменты которые пользуются статистикой накопленной SCE

 

Поделитесь инфой кто-как бореться с вирусами, DOS и т.д. на SCE. Какие параметры выставляете. Кол-во сессий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

очень актуально тоже, так же может кто подскажет как делает при обнаружении завирусованного трафика переадресацию абонента на страницу с предупреждением?

по идее URL для редиректа делается через SCA BB Console здесь:

Configuration->Policies->SubscriberRedirection->Network Attack Notification

там просто добавляется URL на страницу с алармом. Можно добавить URL на которых не будет срабатывать редирект Allowed URLs. Ну типа оставить доступ на антивирусные сайты или сайт провайдера.

 

Для включения блокировки и редиректа настраивается здесь:

Service Security -> Anomaly Based Detection of Malicious Traffic -> Configure

там выбираете тип детектора (создаете свой или выбираете по умолчанию. там 3 штуки)

там уже конкретно для каждого протокола есть 3 варианта действий которые по умолчанию выключены (Disable)

1. Alert User - при срабатывании отправляется SNMP trap

2. Notify Subscriber - редиректит на URL который настроили

3. Block Attack - блокирует абонента или атаку (тут я не уверен)

Изменено пользователем mnemonic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот только вопросы с редиректом по прежнему есть.. и ответа найти не удалось нигде. Делали разовую нотификацию абонента за спам, но абонент блокируется навсегда и видит нотификацию тоже всегда. делали нотификацию с выключением по переходу на заданный урл - и вот это работало. В доках писалось, что также при снижении порога срабатывания трешхолда за спам абонент разблокируется, но и этого не происходило. так и не разобрались как это заставить работать удовлетворительно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начали пробовать включать блокировки атак с уведомлением и редиректом.

Блочит на ура.

Одно неудобство это неизвестно какие таймауты. Нельзя посмотреть кто заблокирован и сколько ещё будет длиться блокировка. Логи и SNMP трапы дают только информацию о начале и конце атаки.

Проводил эксперимент. Эмулировал DoS атаку. После сообщения о конце атаки и восстановлением доступа в Интернет проходит примерно 10 минут. Проверял три раза. Иногда звонят абоненты и жалуются что вылечили вирусы но прошел уже час а доступа нет и нет. По логам и атака давно закончилась давно. И посмотреть состояние то негде.

 

Нашел в одной доке что можно так менять и смотреть таймауты:

Configuration:
configure
interface LineCard 0
sanity-checks attack-filter times filtering-cycle <seconds> max-attack-time <Seconds>

To verify:
sh interface LineCard 0 attack-filter current-attacks

Example:

SCE#>show interface LineCard 0 sanity-checks attack-filter times
Filtering cycle: 3600 seconds.
Max attack time: 86400 seconds.

 

Но у меня такого нет.

Версия ПО 3.8.5-classic Build 967.

Изменено пользователем mnemonic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это глобальные атаки.. когда оно отключает процессинг удп (допустим)..

 

у нас на 3.8.5 что на 4.0.0

sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0

Изменено пользователем zhenya`

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это глобальные атаки.. когда оно отключает процессинг удп (допустим)..

 

у нас на 3.8.5 что на 4.0.0

sanity-checks attack-filter times filtering-cycle 900 max-attack-time 86400 есть.. на int line card0

Все настройки для интерфейса какие есть

SCE2020#conf t
SCE2020(config)#interface LineCard 0
SCE2020(config if)#?
 accelerate-packet-drops  Enable drop packets by hardware functionality
 asymmetric-L2-support    Enables Asymmetric layer 2 support
 attack-detector          Configure attack detectors
 attack-filter            Configure attack filter
 connection-mode          Set the connection mode (topology configurations)
 cpa-client               Enable and configure the CPA client
 default                  Restore default configuration
 do                       Execute 'exec' mode commands
 end                      Exit configure mode
 exit                     Exit line card interface mode
 flow-capture             Configure flow capture limits
 force
 interface                Select an interface to configure
 IP-tunnel                IP-tunnel support configuration
 L2TP                     Set L2TP support parameters
 link                     Configure line card link
 mac-resolver             Configure mac-resolver settings
 MPLS                     Set MPLS support parameters
 no                       No commands
 os-fingerprinting        Enable os-finger-printing
 periodic-records         Periodic records configuration
 pqi                      PQI operations (Install/Un-install/Upgrade/Rollback)
 replace                  Configure application replace
 salt                     Salt for hashing
 sce-url-database
 silent                   Disable events
 subscriber               Subscriber related stuff
 traffic-counter          Define a traffic counter
 traffic-rule             Define a traffic rule
 VAS-traffic-forwarding   VAS traffic forwarding configuration
 VLAN                     Set VLAN support parameters
 WAP                      Enable WAP handling
SCE2020(config if)#

 

Сегодня вылез ещё один непонятный момент

Зафиксирована атака из Интернета на IP абонента.

После блокировки атаки у абонента вылезла страница уведомления.

Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14

Значит просто так атак не бывает. Что-то на компе у убонента должно быть.

 

UPD: Провел тест. Сэмулировал DoS атаку снаружи сети. Если стоит Notify то внутреннему абоненту постоянно выдаётся редирект на страницу. Если только Block attack то атака блокируется и абонент нормально работает.

Изменено пользователем mnemonic

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку.

Куча жалоб. Поведение у программы как у вируса.

Как быть?

 

Пока что attack-filter отключил:(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Агент Mail.ru и есть вирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начали разбираться. Проверили комп абонента на вирусы. Оказалось заражен вирусом tool.skymonk.14

 

знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и

компьютеров хомяков без какого-нибудь вируса ему еще не попадалось, даже на "только что из магазина",

там счасливому покупателю поставили по отдельной услуге какой-то софт, а заодно и вирус :)

 

Поведение у программы как у вируса.

 

Welcome to the real world. Нередко подобная функциональность у больших вендоров существует для галочки,

т.е. когда ее делали, она возможно даже работала для какого-то конкретного случая, но дальше уже

продолжает существование как legacy и в реальной жизни мало применима.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку.

Куча жалоб. Поведение у программы как у вируса.

Как быть?

 

Пока что attack-filter отключил:(

а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

знакомый студент подрабатывает в "компьютерной помощи", говорит что, первым делом они проверяют на вирусы и

компьютеров хомяков без какого-нибудь вируса ему еще не попадалось

Офф: Есть еще такая штука как "false positive". У меня есть несколько софтин (в том числе самописная), которые определяются как разная бяка, но на деле это просто специфические тулзы. Так что мочить без разбора я бы не стал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сегодня все абоненты с программой "Агент Mail.ru" попали в блок за DoS атаку.

Куча жалоб. Поведение у программы как у вируса.

Как быть?

 

Пока что attack-filter отключил:(

а протокол пак у вас последний? там MRA (мэйл агент) недавно только добавили

у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37

не подскажете где взять последний протокол пак?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня стоит 32. А mailru судя по инфе с сайта циско появился в 37

не подскажете где взять последний протокол пак?

У меня есть 37 и 38 но только для 3.7.2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.