20. februar 2006 - 08:34Der er
5 kommentarer og 3 løsninger
Spørgsmål til log-fil i Zywall 5
Hej, Jeg har en Zyxel Zywall 5, hvor jeg har lidt svært ved at finde betydningen af logfilens indhold. Blandt andet har jeg følgende info i log-filen: Nr. Source Destination Note 88 0.0.0.0 224.0.0.1 ACCESS DROPPED Unsupported/out-of-order ICMP: ICMP(Normal router advertisement)
Jeg håber nogle kan hjælpe mig med at finde ud af, om der er større sikkerhedsproblemer i min firewall? 64 192.168.1.10:1841 195.69.129.38:80 |No action IDP ID:1049626, IIS fpcount access!
ok, men hvad vil det sige at der står IIS fpcount access! og CGI finger access? Jeg har kun en lokal pc på 192.168.1.10, hvorpå jeg kører ftp-server. - dvs. åbnet for port 21.
Det vil ofte betyde at der har været en forespørgsel på f.eks. et frontpage Countermodul, der er en del af Frontpage Server Extentions, og som enten har eller også har haft en sårbarhed der kan udnyttes. CGI finger kunne være et CGI finger script med kendte sårbarheder.
Det en sårbarhedsscannet som f.eks. nessus gør, er at scanne dit system for kendte sårbarheder. Det betyder at du f.eks. kan være ude for at du i din log kan se forespørgsler på apache ting, selvom du ikke har en apache server kørende. Omvent vil du også kunne se IIS ting selvom du har en Apache kørende
OK, vil det så sige, at min firewall egentlig har "blokeret" for denne sårbarhed, såfremt jeg havde haft en IIS kørende på min pc/server? Det kan i øvrigt lige nævnes, at min Zywall 5 har noget der kaldes IDP. John
Den har ikke blokkeret. I loggen står der No action, hvilket vel betyder at den har ladet forespørgslerne passerer.
IDP står normalt for Intrusion Detecktion end Prevention og du bør kunne slå ID'erne op i dokumentationen for atse hvad det er den gør. Du bør også kontrollerer hvad No action indebære
Kan NO ACTION ikke betyde at firewallen "lader som om at den ikke går noget", dvs. ikke lader forespørgslen passere? Jeg har jo blokeret alt udefra undtagen port 21.
NO ACTION = Trafikken er passeret igennem firewallen.
fpcounnt er en counter under iis 4, men kan bruges til buffer overflow CGI finger er en scanning efter et finger plugin, har kun betydning på Linux/Unix
Det er ikke nok at have IDP slået til, du skal selv vedligeholde den, og aktivere de ting du vil have spærret for. Den bliver jo opdateret hver dag med nye trusler.
Hej, Jeg har i laaang tid ikke haft tid til at se nærmere på problemet, men har også fundet frem til lidt flere informationer. Det er korrekt at min firewalls IDP ved NO ACTION har tilladt trafik. Dette er dog ikke helt korrekt. Det er KUN IDP-funktionen. Dette skyldes at firewallens porte slet ikke er åbne, hvorfor IDP ikke nødvendigvis opfanger trafikken. NO ACTIOn henviser således kun til at IDP ikke har snuppet synderen. Overall er den pågældende trafik ikke kommet gennem firewallen.
Tak for de flittige hjælpere.
John.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
