Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   Оповещения в ТМГ2010 (http://forum.oszone.net/showthread.php?t=205048)

Brat_ES 18-04-2011 10:23 1660754

Оповещения в ТМГ2010
 
Доброго времени суток.

Постоянно появляются различные оповещения. Интересует, стоит ли реагировать как-то или нет на следующие:

1) Описание: Превышено ограничение числа одновременных TCP-соединений, разрешенных с одного IP-адреса.
Здесь в основном ip из внешнего мира.

2)Описание: Превышено ограничение числа TCP-соединений с одного IP-адреса в минуту.
Здесь как внутренние ip компов ещё не в домене, а так же опять из внешнего мира.

3)Описание: Превышено ограничение числа не TCP-сеансов, разрешенных с одного IP-адреса.
Здесь ip из диапазона выданных нам публичных адресов провайдером для DNS (разрешает имена из внешнего мира во внутрь, а так же от внутреннего DNS во внешний мир), по совместительству веб-сервер и ещё один веб-сервер, оба на линуксе. Менял параметр, ни какого толку :(

4)Описание: Превышено ограничение на общий размер хранилища журналов.
Честно говоря не понятно почему, ограничение выставлено в 8 ГБ, затирать старые через 7 дней - во общем по умолчанию как при установке.

5)Описание: Внешним пользователем предпринята попытка вторжения.
Постоянно один ip-адрес, вроде как из ЮСЫ. Вот это больше всего беспокоит, уже паниковать надо иль ещё рано :)?

6)Описание: Превышено ограничение числа отклоненных подключений с одного IP-адреса в минуту.
Здесь в основном ip из внешнего мира.

П.С. Я ещё не спец в сетевой безопасности поэтому и спрашиваю, нужно ли что-то предпринимать или можно просто отключить данные сообщения.

С уважением.

Anton04 18-04-2011 14:30 1660943

Цитата:

Цитата Brat_ES
Интересует, стоит ли реагировать как-то или нет »

Реагировать всегда стоит иначе зачем Вы вообще занимаетесь TMG!? Это же фаер в первую очередь. ;)

1,2,6 - это бывает настраивайте исключения для Flood атак. ;) Вероятно у Вас используются торренты или очень много юзверей.

3 - аналогично предыдущему, только это касается dns сервера, а запросов dns имён может быть море.

4 - если пишет что превышено значит превышено и за 2 дня у Вас может накопится столько в журнале, а в tmg у Вас настроено что затирать не позднее 7 дней ;)

5 - интересно, что значит "Внешним пользователем" когда это tmg могла по IP идентифицировать пользователя!? Случаем веб публикаций нету?

Цитата:

Цитата Brat_ES
Я ещё не спец в сетевой безопасности поэтому и спрашиваю, нужно ли что-то предпринимать или можно просто отключить данные сообщения. »

Нужно, нужно просто разбираться. ;)

Brat_ES 06-05-2011 09:45 1671113

Доброго времени суток.

Цитата:

Цитата Brat_ES
5)Описание: Внешним пользователем предпринята попытка вторжения.
Постоянно один ip-адрес, вроде как из ЮСЫ. Вот это больше всего беспокоит, уже паниковать надо иль ещё рано ? »

Я вот не пойму как отлуп для подобных ip сделать? Создал правило блокирующее с этого ip весь трафик на все сети(включая лок. комп), есть такое для всех пользователей, а он всё равно в наблюдениях выскакивает :(

Как вообще правильней блокировать компы из чёрного списка в tmg2010?

С уважением.


Время: 03:55.

Время: 03:55.
© OSzone.net 2001-