Toon posts:

[ISA server 2004] Hoe automatisch blokkeren IP poortscan*

Pagina: 1
Acties:

Verwijderd

Topicstarter
In ISA 2000 was het mogelijk om dmv een script IP adressen te blokkeren. Je kon dit script uitvoeren als actie bij een intrusion detected alert. Dit script maakt vervolgens een packetfilter aan en blokeerde automatisch het IP waarvan een portscan werd gedaan.

In 2004 werkt helaas dit script niet meer. Heeft iemand een idee hoe ik dit kan afvangen in ISA 2004?

  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Standaard blokkeert ISA2004 al het verkeer behalve wat je zelf toestaat, dus ik snap je vraag eigenlijk niet zo goed?

Wat heb je allemaal al geprobeerd? http://www.isaserver.org/software/ISA/Intrusion-Detection/ en http://www.microsoft.com/...olumns/sectip/st1205.mspx bijvoorbeeld al gezien?

Titel ietsje aangepast, zodat je ISA versie er ook in staat. Wel zo handig met een product waar drie versies met onderling erg veel verschillen van zijn.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters


Verwijderd

Topicstarter
Verkeer op protocol niveau kan je inderdaad in ISA2004 regelen. En je kan zelfs complete IP adressen blokkeren. Maar de vraag is heel simpel, wat snap jij niet van de vraag?

De vraag is (simpel gezegd):

Hoe kan je de firewall zo instellen dat je na een intrusion dectection alert het IP, die dit alert heeft geactiveerd, direct al het verkeer tussen dit IP adres en ISA2004 blokkeren?

VB:

Er wordt van 213.23.12.12 een portscan gedaan -> gedefineerde "intrusion detection" alert wordt geactiveerd -> als "actie" wordt een email verstuurd en wordt het IP 213.23.12.12 direct geblokkeerd in een nieuwe regel in ISA2004 en wordt die direct toegepast.

In ISA 2004 kon je dus een VBS script in de actie aan deze alert koppelen. Dat script zorgde ervoor dat het IP adres direct werd opgenomen in een nieuwe regel in ISA2004, zodat er geen vekeer tussen het desbetreffende IP en ISA2004 meer mogelijk was.

[ Voor 43% gewijzigd door Verwijderd op 19-09-2006 14:42 ]


Verwijderd

Je kan dit nog steeds regelen met vbs. Waarschijnlijk werkt het script wel als je een paar aanpassingen maakt.

Verwijderd

Topicstarter
Helaas werkt dat script ook niet met aanpassingen omdat de firewall veel anders in elkaar zit.
En werken met scripts is niet heel elegant natuurlijk.

Heeft iemand hier ervaring mee? Wellicht een ISA 2004 guru?