ransomware drop?
Napsal: 15 May 2017 10:24
Pochvalte sa niekto konfiguraciou, ak mate....riesite ransomware nejak na GW?
classic.ISPforum.cz
Fórum československých telekomunikací
https://classic.ispforum.cz/
ransomware drop?
Stránka 1 z 2
Re: ransomware drop?
Napsal: 15 May 2017 10:28
Nemyslim si, ze je to mozne, kvuli sireni pomoci emailovych priloh nebo download z dropboxu.
Re: ransomware drop?
Napsal: 15 May 2017 10:34
Na Mikrotiku nemožný.
My máme na perimetru pro vnitropodnikovou síť FortiGate a nakonfigurovaný IPS senzory a na poštovním serveru dočasně zakázány .zip přílohy mimo naše domény.
My máme na perimetru pro vnitropodnikovou síť FortiGate a nakonfigurovaný IPS senzory a na poštovním serveru dočasně zakázány .zip přílohy mimo naše domény.
Re: ransomware drop?
Napsal: 15 May 2017 10:41
Kód: Vybrat vše
http://blog.fortinet.com/2017/05/12/protecting-your-organization-from-the-wcry-ransomwaretakze bloknut komunikaciu na tych portoch? nepomoze?
Re: ransomware drop?
Napsal: 15 May 2017 10:43
On se šíří (minimálně) dvěma způsoby. První na GW ošetříš, prostě zakážeš port 445 (nejspíš pro jistotu i s 135-139). Tím to přestane fungovat jako červ. Jenže už (jak píšou předemnou) nezabráníš, aby si to někdo stáhl někde ručně. Ale zase na to by už zabraly antiviry ...
Re: ransomware drop?
Napsal: 15 May 2017 10:46
ano, pomůže. Ale tímhle ošetříš pouze to, že se nebudou infikovat další PC. Tohle jsou klasický NetBios porty, který normálně na perimetru blokujeme.
Nicméně, pokud se Ti už nějakej PC nakazí (z emailu) tak následně se začne šířit po L2 síti, kde žádný firewall logicky nemáš. Např. my máme několik broadcastových domén každou s 1024 adresama a končí v L3 switchi. A jelikož NetBios porty potřebuješ ke správnýmu fungování domény, není to jak ochránit. Takže primárně docílit toho, aby se k Tobě nedostal ten .zip file + AV + záplaty
Nicméně, pokud se Ti už nějakej PC nakazí (z emailu) tak následně se začne šířit po L2 síti, kde žádný firewall logicky nemáš. Např. my máme několik broadcastových domén každou s 1024 adresama a končí v L3 switchi. A jelikož NetBios porty potřebuješ ke správnýmu fungování domény, není to jak ochránit. Takže primárně docílit toho, aby se k Tobě nedostal ten .zip file + AV + záplaty
Re: ransomware drop?
Napsal: 15 May 2017 10:48
takze az take uplne nezmyselne to nie je ze? Dal som to na GW..okamzite tam boli packety!
Re: ransomware drop?
Napsal: 15 May 2017 10:49
midnight_man píše:takze az take uplne nezmyselne to nie je ze? Dal som to na GW..okamzite tam boli packety!
ty tam budou vždycky pokud tam jsou nějaký Win PC
Re: ransomware drop?
Napsal: 15 May 2017 10:56
sa bavime o ISP sieti, nie o firemnej sieti...priamo na sieti ziadne win PC nie su samozrejme. a tieto protokoly by sa mali sirit len po L2 sieti v ramci jednej domacnosti/firmy nie?
Nema to co hladat na GW...
Nema to co hladat na GW...
Re: ransomware drop?
Napsal: 15 May 2017 10:59
445 je "normální routovaný" protokol ... a běhá to tam pořád. Ono i když nebyla známá zranitelnost, tak pokusy o hádání hesel probíhaly. Je to holt lákavý cíl.
Re: ransomware drop?
Napsal: 15 May 2017 11:18
ked od niektorého klienta lezie do sveta komunikacia na tomto porte 445 v dnesnej dobe..je to minimalne podozrivé 
Re: ransomware drop?
Napsal: 15 May 2017 11:23
v ISP síti přeci se to šířit nemůže, když zájzaník nevidí k jinému zákazníku... v podnikovce samozřejmě může že, pokud tam není nějaký filter na switchi
Re: ransomware drop?
Napsal: 15 May 2017 11:32
Jak definuješ "internet"? Zákazník může někam a někam jinam ne? Jak máš ošetřeno definování těch dvou polovin?
Re: ransomware drop?
Napsal: 15 May 2017 11:34
Přesně jak píše ludvik - ta hranice je hodně ošemetná.. treba veřejný IP v Tvoji síti.. je to pořad vnitřní sít?
Re: ransomware drop?
Napsal: 15 May 2017 11:53
však zakaznik moze kam chce...ale ked raz odneho lezu packety na porte 445 niekam do prdele sveta 
no čo to asi bude?
no čo to asi bude?