GONGON の無線日誌

jm1wbb.exblog.jp

160m から 2m まで DX 追っかけ生活の悲喜交々

日々是防御

サーバーへの攻撃が続くので,今さらながら SDM で Cisco 1812J の IOS IPS のシグネチャーをいじくる.
e0211513_23574869.png
もっと大胆にドロップさせた方がいいのだろうが,取りあえずは頻度の高い pop3 / imap4 への辞書攻撃を検出してくれそうなシグネチャーをドロップに設定.本当は一番ひどい ssh の辞書攻撃をドロップさせたいが,IOS IPS では暗号化されたものは検出できない? TCP SYN Floodとかで検出したほうがいいのか.ご存じの方がいましたら教えてください.ルータ自身への ssh 攻撃には
 login block-for 30 attempts 3 within 10
で対応できているはず.それにしてもシグネチャーの編集が IOS の CLI からは出来ないのは面倒くさい.と書いている間にもルータのコンソールには
 Jan 20 00:09:31.505: %IPS-4-SIGNATURE: Sig:3109 Subsig:0 Sev:4 Long SMTP Command [114.46.100.32:46082 -> xxx.xxx.xxx.xxx:25]
やれやれだな.
[PR]
by JM1WBB | 2012-01-20 00:15 | IT
ブログトップ