各位前輩好,小弟有個非常困擾的事情
就是近幾周,防火牆寄出的報表清單上,都會有我的IP位址,會被警告要求改善,如下:
防毒軟體有安裝OfficeScan XG、系統更新到最新,有安裝Anydesk、HFS(HTTP File Server)、SoftEther VPN Client等軟體,查看工作管理員→資源監視器→網路,也看不出哪裡有異樣。
然而,我想從防火牆的紀錄,來詳細察看防火牆偵測到我違規的到底是什麼,卻找不出資料,請問前輩們可以教教我嗎?感激不盡!
附上我所查找的地方
已邀請的邦友 {{ invite_list.length }}/5
樓主的資料無法看出報表中到底是哪一項
要發掘出事的原因
需要仔細的去查LOG紀錄
建議樓主先從安全日誌查起
特別是入侵防禦的Log
同時,在下不得不說,
樓主的FortiOS版本實在太舊太舊了
在持續有買保固及資安服務的情況下
貴公司負責的SI竟然一直未替貴公司升級
以下是FortiOS版本End of Engineering Support Date
5.2.x 2017-06-13
5.4.x 2018-12-21
5.6.x 2020-03-30
樓主在哪個位置可以算一下,目前最穩定版是6.0.6
要知道IPS的防護也是有偵測引擎的
如果沒有升級OS版本,IPS引擎也永遠是舊的
而即便是啟用了IPS功能
若沒有常常注意其LOG紀錄而回頭去調整
基本上防護就只做半套,很是可惜
還有看過就放著防火牆讓攻擊天天一直打,
讓IPS一直去Drop,然後也不管後續
如果這樣最後沒發生資安事件,也只能說是僥倖
(IPS防護可以block來犯IP,避免有心者一直try不同方法入侵)
可以作個交叉測試,請 IT 人員協助將你的 IP 作個變更
舉例:從 192.168.1.11 ---> 192.168.1.21
觀察一個星期,確認是否還是收到來自 192.168.1.21 一直會有警告訊息
另外,Fortigate 若有相關的 Log (foward, security, vpn ....)
請 IT 人員提供記錄,以明確知道問題發生的時間點,人員操作哪類應用程式所導致
os 5.2真的太舊 建議至少更新5.6以上
5.4以後進步不少 連界面都有翻新
如果一直在malware的source內
可能自己的電腦也再一起在散發病毒了
這不用懷疑 抓不到就清除系統重灌了
業界真的重資安的基本上是這樣跟病毒幹架的
iThome鐵人賽
看影片追技術