incomprensione con SYGATE

[icoborg]

avete presente lopzione spuntabile in ---OPTIONS ----SECURITY ---
AUTOMATICALLY BLOCK ATTACKERS IP ADDRESS FOR [ ] SEC


ORA nn capisco perke bloccarli solo per un intervallo di tempo invece di semplicemente impedire laccesso per sempre?

cioe sygate ti blocca gli attakki e poi dopo x min li entrare? a ke pro?

[7joeblack8]

mi accodo alla perplessità sopra riportata...ci avevo pensato anche io...

[jerrygdm]

up

[icoborg]

ma possibile ke viene in mente a tutti e nessuno abbia una risposta? amen

[Crashbandy80]

Beh, spesso e volentieri, i firewall tendono a considerare determinate azioni degli attacchi quando in realtà non lo sono.
Suppongo che sia questo il motivo principale per cui non vengono automaticamente filtrati/bloccati in modo permanente.

[7joeblack8]

può anche starci,ma quegli attacchi pericolosi e permanenti vengono lasciati passare solo perchè sono costanti nel loro attacco?

non ha senso...appena ho un po' di tempo leggerò tutti i readme
e siti vari del sygate

[Crashbandy80]

Giusto, ma se analizzando i logs, reputi un determinato IP da bloccare visti i ripetuti attakki o x altri motivi.. puoi tranquillamente inserire come regola il bloccaggio definitivo.
Pero' lo devi fare manualmente..

[icoborg]

ma è un modo del cavolo scusa....io prima usavo kerio dopo aver deciso cosa doveva passare il resto nn passava ne in out ne in in
tanto semplice....a ke pro far passare una cos dopo x min?

[Crashbandy80]

No ma aspetta.. Sygate ogni volta ke individua un "attacco sospetto" blocca la connessione da quel determinato IP per x minuti..
Trascorso quel tempo non è ke il firewall consente l'attacco precedentemente bloccato.. ma semplicemente lo toglie dalla sua "blacklist" e ridà la possibilità di comunicarci. Ma se da quell'IP viene nuovamente identificato un "tentato attacco" verrà nuovamente bloccata la connessione da quella macchina.
Quindi sei sempre e comunque protetto..

Non so se mi sono spiegato

[jerrygdm]

Eh...esatto anche a me infatti succede....anche a me è appena arrivato un blocco da un ip per 600secondi....poi lo toglier per non complicarsi con le regole e appesantire i controlli delle tabelle ACL e aspetta che si riverifichi un'evento simile per risospenderlo.

[7joeblack8]

sarà...ma a me queste cose fan paura:


Active Response which started at 08/08/2004 23:05:45 is disengaged. The traffic from IP address 24.49.97.198 was blocked for 600 seconds.

[KenMasters]

Quote:

Originariamente inviato da 7joeblack8
sarà...ma a me queste cose fan paura:


Active Response which started at 08/08/2004 23:05:45 is disengaged. The traffic from IP address 24.49.97.198 was blocked for 600 seconds.

muhuaauhauh

[7joeblack8]

cosa c'è da ridere?

[jerrygdm]

forse era lui quell'ip