Bildirimler
Hepsini Temizle

Juniper SSG140 Protocol Hits Drop  

  RSS
Onur ARABACI
(@OnurARABACI)
Üye

Merhabalar,

SSG140 loglarini incelemek amaciyla, demo olarak "Firewall Analyzer" yazilimini kurdum. (son derece basarili bir yazilim)

Log yonetim yazilimi uzerinde olusturmus oldugum bazi uyari kurallari oldu.

Ornegin: 1 saat icinde source ip adresi ayni olan ve pop3 baglanti istegi sayisi 150'nin uzerinde olan baglantilari raporla gibi...

Bu gibi bir kural ile goruyorumki sistem kullanicisi olmayan bir dis ip adresi bruto-force ile saatte 1000 session acarak (info,admin,postmaster,root vs.) sifre denemesi yapabiliyor.

Gun asiri olmakla beraber her zaman farkli ulke ip'lerini goruyorum. (germany, spain, russian, indian cogunlukla)

Yukaridaki uyari mekanizmasindaki kural gibi juniper uzerinde ilgili policy'de belirli limitleri astiginda otomatik drop edicek sekilde konfigure edilebilir mi ?

 Kolay gelsin,

Alıntı
Gönderildi : 09/05/2011 14:25
Seyit ÖZGÜR
(@seyitozgur)
Üye

Policy base session limit koyabilirsin. (bu diğer kullanıcılarıda etkileyecektir.)

Yada Servisin ne olduğunu belirtirsen.. Deep Inspection üzerinde o servisle ilgili bir imza olabilir.

O imzayı enable edebiliriz.. Servis nedir ?

CevapAlıntı
Gönderildi : 09/05/2011 21:24
Onur ARABACI
(@OnurARABACI)
Üye

Ilgili policy uzerine diger kullanicilarida etkiliyecek sekilde bir limit koymak istemiyorum.

Servis ilk mesajimda da belirtigim gibi pop3 protokolu winmail mail server. 

Amacim ayni log yonetim yaziliminin uyarabildigi gibi juniper'inda bunu fark edip drop edebilmesini istiyorum.

Ornek firewall analyzer log : 

Alert
Message : Number of Hits value of Source:61.177.207.176 is 894 times
between Sun 8 May 2011 09:45 and Sun 8 May 2011 10:45 which is greater
than the allowed limit 150 times.

CevapAlıntı
Gönderildi : 10/05/2011 01:01
Onur ARABACI
(@OnurARABACI)
Üye

 

Konu hakkinda fikri olan var mi ?

CevapAlıntı
Gönderildi : 16/05/2011 20:18
Paylaş: