iT邦幫忙

0

[Fortigate 200D] 如何排除及驗證公司內部IP一直被防火牆偵測到違規,以致每周報表上會出現該IP?

各位前輩好,小弟有個非常困擾的事情

就是近幾周,防火牆寄出的報表清單上,都會有我的IP位址,會被警告要求改善,如下:
https://ithelp.ithome.com.tw/upload/images/20190930/20017294ljSKLojkmL.jpg

防毒軟體有安裝OfficeScan XG、系統更新到最新,有安裝Anydesk、HFS(HTTP File Server)、SoftEther VPN Client等軟體,查看工作管理員→資源監視器→網路,也看不出哪裡有異樣。

然而,我想從防火牆的紀錄,來詳細察看防火牆偵測到我違規的到底是什麼,卻找不出資料,請問前輩們可以教教我嗎?感激不盡!

附上我所查找的地方
https://ithelp.ithome.com.tw/upload/images/20190930/20017294iyfDkTpzSI.jpg

看更多先前的討論...收起先前的討論...
slime iT邦大師 1 級 ‧ 2019-09-30 15:32:30 檢舉
先透過換 IP , 本機執行 netstat -n , 查看系統管理原等方式, 確認是否真的有連線.

另外防火牆可以新增規則, 將您用的電腦另外新增一條規則, 紀錄使用情況.

有比較詳細的資料, 比較容易判斷問題.
>>卻找不出資料
報表有就一定有記錄. 是硬碟太小被覆蓋了?
slime iT邦大師 1 級 ‧ 2019-09-30 17:05:35 檢舉
另外建議先把本機關機, 把硬碟拆到其他電腦掃毒看看, 有時候本機掃毒已經被病毒攔截而掃不到.
b7307024 iT邦新手 4 級 ‧ 2019-09-30 17:22:08 檢舉
我換防毒軟體掃描整個電腦了,有偵測到一個病毒已先移除了,還在陸續掃描中。
1
mytiny
iT邦大師 1 級 ‧ 2019-09-30 20:29:45
最佳解答

樓主的資料無法看出報表中到底是哪一項
要發掘出事的原因
需要仔細的去查LOG紀錄
建議樓主先從安全日誌查起
特別是入侵防禦的Log

同時,在下不得不說,
樓主的FortiOS版本實在太舊太舊了
在持續有買保固及資安服務的情況下
貴公司負責的SI竟然一直未替貴公司升級
以下是FortiOS版本End of Engineering Support Date
5.2.x   2017-06-13
5.4.x   2018-12-21
5.6.x   2020-03-30
樓主在哪個位置可以算一下,目前最穩定版是6.0.6

要知道IPS的防護也是有偵測引擎的
如果沒有升級OS版本,IPS引擎也永遠是舊的
而即便是啟用了IPS功能
若沒有常常注意其LOG紀錄而回頭去調整
基本上防護就只做半套,很是可惜
還有看過就放著防火牆讓攻擊天天一直打,
讓IPS一直去Drop,然後也不管後續
如果這樣最後沒發生資安事件,也只能說是僥倖
(IPS防護可以block來犯IP,避免有心者一直try不同方法入侵)

b7307024 iT邦新手 4 級 ‧ 2019-10-09 16:05:51 檢舉

我們公司沒有SI配合的廠商,然而這塊我沒有權限,也就沒有資格去研究了。目前是下班時間使用換IP的方式,避開被偵測的次數。哈~ 目前就用改IP的方式,避開連線偵測好了,感謝解答!

0
Pallas
iT邦新手 3 級 ‧ 2019-09-30 20:15:41

可以作個交叉測試,請 IT 人員協助將你的 IP 作個變更
舉例:從 192.168.1.11 ---> 192.168.1.21
觀察一個星期,確認是否還是收到來自 192.168.1.21 一直會有警告訊息

另外,Fortigate 若有相關的 Log (foward, security, vpn ....)
請 IT 人員提供記錄,以明確知道問題發生的時間點,人員操作哪類應用程式所導致

b7307024 iT邦新手 4 級 ‧ 2019-10-09 16:12:36 檢舉

我本身就是IT人員,只是我沒有權限進入防火牆,進入查看都會被問,且問得很仔細,Highlight我的人也不會提供紀錄,就只是會針對我而已。 = =

0
hsiang11
iT邦好手 1 級 ‧ 2019-10-01 10:41:01

os 5.2真的太舊 建議至少更新5.6以上
5.4以後進步不少 連界面都有翻新
如果一直在malware的source內
可能自己的電腦也再一起在散發病毒了
這不用懷疑 抓不到就清除系統重灌了
業界真的重資安的基本上是這樣跟病毒幹架的

b7307024 iT邦新手 4 級 ‧ 2019-10-09 16:01:18 檢舉

哈~ OS升級我沒權限做,連登入都會被問啥要登入了。然而,我已經換卡巴斯基防毒完整掃描過一次了,所以還會有問題我也沒辦法了!

我要發表回答

立即登入回答