[ISA server 2004] Hoe automatisch blokkeren IP poortscan*

In ISA 2000 was het mogelijk om dmv een script IP adressen te blokkeren. Je kon dit script uitvoeren als actie bij een intrusion detected alert. Dit script maakt vervolgens een packetfilter aan en blokeerde automatisch het IP waarvan een portscan werd gedaan.

In 2004 werkt helaas dit script niet meer. Heeft iemand een idee hoe ik dit kan afvangen in ISA 2004?

Verkeer op protocol niveau kan je inderdaad in ISA2004 regelen. En je kan zelfs complete IP adressen blokkeren. Maar de vraag is heel simpel, wat snap jij niet van de vraag?

De vraag is (simpel gezegd):

Hoe kan je de firewall zo instellen dat je na een intrusion dectection alert het IP, die dit alert heeft geactiveerd, direct al het verkeer tussen dit IP adres en ISA2004 blokkeren?

VB:

Er wordt van 213.23.12.12 een portscan gedaan -> gedefineerde "intrusion detection" alert wordt geactiveerd -> als "actie" wordt een email verstuurd en wordt het IP 213.23.12.12 direct geblokkeerd in een nieuwe regel in ISA2004 en wordt die direct toegepast.

In ISA 2004 kon je dus een VBS script in de actie aan deze alert koppelen. Dat script zorgde ervoor dat het IP adres direct werd opgenomen in een nieuwe regel in ISA2004, zodat er geen vekeer tussen het desbetreffende IP en ISA2004 meer mogelijk was.

[ Voor 43% gewijzigd door Verwijderd op 19-09-2006 14:42 ]

Helaas werkt dat script ook niet met aanpassingen omdat de firewall veel anders in elkaar zit.
En werken met scripts is niet heel elegant natuurlijk.

Heeft iemand hier ervaring mee? Wellicht een ISA 2004 guru?