ransomware drop?

midnight_man · Příspěvekod **midnight_man** » 8 years ago

Pochvalte sa niekto konfiguraciou, ak mate....riesite ransomware nejak na GW?

Invia · Příspěvekod **Invia** » 8 years ago

Nemyslim si, ze je to mozne, kvuli sireni pomoci emailovych priloh nebo download z dropboxu.

sub_zero · Příspěvekod **sub_zero** » 8 years ago

Na Mikrotiku nemožný.
My máme na perimetru pro vnitropodnikovou síť FortiGate a nakonfigurovaný IPS senzory a na poštovním serveru dočasně zakázány .zip přílohy mimo naše domény.

midnight_man · Příspěvekod **midnight_man** » 8 years ago

Kód: Vybrat vše

http://blog.fortinet.com/2017/05/12/protecting-your-organization-from-the-wcry-ransomware

takze bloknut komunikaciu na tych portoch? nepomoze?

ludvik · Příspěvekod **ludvik** » 8 years ago

On se šíří (minimálně) dvěma způsoby. První na GW ošetříš, prostě zakážeš port 445 (nejspíš pro jistotu i s 135-139). Tím to přestane fungovat jako červ. Jenže už (jak píšou předemnou) nezabráníš, aby si to někdo stáhl někde ručně. Ale zase na to by už zabraly antiviry ...

sub_zero · Příspěvekod **sub_zero** » 8 years ago

ano, pomůže. Ale tímhle ošetříš pouze to, že se nebudou infikovat další PC. Tohle jsou klasický NetBios porty, který normálně na perimetru blokujeme.
Nicméně, pokud se Ti už nějakej PC nakazí (z emailu) tak následně se začne šířit po L2 síti, kde žádný firewall logicky nemáš. Např. my máme několik broadcastových domén každou s 1024 adresama a končí v L3 switchi. A jelikož NetBios porty potřebuješ ke správnýmu fungování domény, není to jak ochránit. Takže primárně docílit toho, aby se k Tobě nedostal ten .zip file + AV + záplaty

midnight_man · Příspěvekod **midnight_man** » 8 years ago

takze az take uplne nezmyselne to nie je ze? Dal som to na GW..okamzite tam boli packety!

sub_zero · Příspěvekod **sub_zero** » 8 years ago

midnight_man píše:takze az take uplne nezmyselne to nie je ze? Dal som to na GW..okamzite tam boli packety!

ty tam budou vždycky pokud tam jsou nějaký Win PC

midnight_man · Příspěvekod **midnight_man** » 8 years ago

sa bavime o ISP sieti, nie o firemnej sieti...priamo na sieti ziadne win PC nie su samozrejme. a tieto protokoly by sa mali sirit len po L2 sieti v ramci jednej domacnosti/firmy nie?

Nema to co hladat na GW...

ludvik · Příspěvekod **ludvik** » 8 years ago

445 je "normální routovaný" protokol ... a běhá to tam pořád. Ono i když nebyla známá zranitelnost, tak pokusy o hádání hesel probíhaly. Je to holt lákavý cíl.

midnight_man · Příspěvekod **midnight_man** » 8 years ago

ked od niektorého klienta lezie do sveta komunikacia na tomto porte 445 v dnesnej dobe..je to minimalne podozrivé

okoun · Příspěvekod **okoun** » 8 years ago

v ISP síti přeci se to šířit nemůže, když zájzaník nevidí k jinému zákazníku... v podnikovce samozřejmě může že, pokud tam není nějaký filter na switchi

ludvik · Příspěvekod **ludvik** » 8 years ago

Jak definuješ "internet"? Zákazník může někam a někam jinam ne? Jak máš ošetřeno definování těch dvou polovin?

sub_zero · Příspěvekod **sub_zero** » 8 years ago

Přesně jak píše ludvik - ta hranice je hodně ošemetná.. treba veřejný IP v Tvoji síti.. je to pořad vnitřní sít?

midnight_man · Příspěvekod **midnight_man** » 8 years ago

však zakaznik moze kam chce...ale ked raz odneho lezu packety na porte 445 niekam do prdele sveta

no čo to asi bude?

classic.ISPforum.cz

ransomware drop?

ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?

Re: ransomware drop?