Улучшенные сообщения о сканировании портов от ISA Server 2004-2006

Не знаю как вам, а мне уже давно надоело получать от своего ISA Server’а оповещения о сканировании портов в виде совершенно неинформативного сообщения такого вида:

ISA Server detected a port scan attack from Internet Protocol (IP) address 77.41.105.127. A well-known port is any port in the range of 1-2048.

Что это за IP адрес, чей он? Может быть это гугл пытается проиндексировать что то хитрым способом, а может это китайские скрипт киддис веером пытаются отсканировать пол интернета в поисках подходящей уязвимости? Были ли уже сканирования с этого IP или этого блока ранее? Когда? Может быть Вася Пупкин, пользуясь динамическими адресами местного провайдера пытается запутать следы?

С другой стороны и игнорировать такую информацию тоже не хочется. Интересно знать заранее если кто-то интересуется моей сетью и конфигурацией файрволла🙂

Поэтому я всё таки собрался, и написал относительно простенький скриптик на PowerShell, благодаря которому я теперь получаю вот такие вот, полезные сообщения🙂

isareport

Теперь у меня отображается не только IP адрес, но еще и соответствующее имя хоста, и информация об ответственном за этот диапазон (из whois). Ну а самое главное, видны предыдущие сканирования с ip-адресов из этого блока сети, и время когда они произошли. Такая информация уже позволяет сделать какие то выводы. Это конечно не интеллектуальный IDS, но лучше чем ничего🙂 Кроме того, этот же подход можно использовать и для решения других задач.

В этом посте я кратко опишу необходимые приготовления для работы сценария, а в следующем размещу уже его текст со всеми комментариями.

Итак, для начала нам понадобится папка где будут лежать необходимые файлы, например c:\scripts. В неё помещаем файл сценария (я назвал его AuditIntrusion.ps1), и бесплатную утилиту whosip.exe которая будет использоваться для получения информации whois в удобочитаемом виде. Еще, в этой же папке, будет храниться csv лог атак с указанием времени и другой информации (использовать SQL для данной задачи мне показалось неоправданным). В эту же папку кладём сценарий Send-SmtpMail.ps1 для отправки сообщений на почту.

Разумеется надо будет либо подписать все используемые сценарии, либо разрешить в системе выполнение неподписанных сценариев PowerShell следующей командой:

Set-ExecutionPolicy "RemoteSigned"

В настройках самого ISA Server, в Monitoring, на закладке Alerts, жмём Configure Alert Definitions. Ставим галку напротив Intrusion Detected и жмём Edit… На закладке Events, можно указать время в течении которого повторные события не будут вызывать реакции (чтобы не получать несколько сообщений об одном длительном сканировании портов). И самое главное, на закладке Actions указываем что при возникновении события надо запустить наш сценарий, и записать сообщение в журнал (откуда мы и будем получать информацию о событии).

image

Для запуска сценария указываем исполняемый файл powershell.exe, и уже как параметр к нему – путь к файлу.

Продолжение разумеется следует🙂 В следующем посте я приведу текст сценария с комментариями.

Опубликовано в ISA. Метки: , , , . Комментарии к записи Улучшенные сообщения о сканировании портов от ISA Server 2004-2006 отключены
%d такие блоггеры, как: