www.InTouch.su

[Генератор зла]

Добрый день, коллеги.

Столкнулся с одной очень интересной проблемой.
Проводим модернизацию существующей системы + создание новой. В ней развёрнута Галактика (сервер в/в, сервер приложений, сервер истории, АРМ - всё как обычно). На сервере в/в развёрнуты TekonOPC (для контроллеров Теконик) и FSGateway. Наша новая система тянется к этому FSGateway за данными (ничего сложного пока).
В итого получаем:
Сервер в/в: 192.168.162.56
Сервер приложений: 192.168.162.232
Сервер истории: 192.168.162.186
АРМ: 192.168.162.72
Сервер в/в новой системы: 192.168.74.113

Только вот... Сервер в/в (192.168.162.56) работает неустойчиво, и его пару-тройку раз на дню перезагружают. И вот тут... Во время перезагрузки соседние компьютеры, никак не связаные с этой системой ( просто имеющие IP в этой подсети 192.168.162.44,...) и находящиеся под защитой KAV 6.0, начинают сообщать о Dos.Generic.SYNFlood на порты 135, 5413, 5026 со стороны наших компов (192.168.162.232, 192.168.162.186, 192.168.74.113) . Как только 192.168.162.56 успешно перезагрузится, DoS-атака исчезает.
Служба информационной безопасности Заказчика уже больше недели всячески разнообразит мою половую жизнь.
Вопросы:
1. Почему атаки идут на компьютеры, которые вообще "не при делах"?
2. Вообще, что такое Dos.Generic.SYNFlood и как это может быть связано с уровнем параноидальности KAV?
3. Кто-нибудь сталкивался уже с этим? Как боролись?
Обидно, что порты то все знакомые
Предложения о замене антивирусного ПО и изменении его настроек не приветствуются, поскольку вне моей зоны влияния.

[Eraser]

Отвечу как знаю (возможно все и не так, но все же):
1. "с уровнем параноидальности KAV?" - это все верно, но может все таки имеет смысл попробовать ослабить настройки уровня подозрительности КАВ? Кстати, думаю спрашивать о том, что все компьютеры чисты от вирусов и троянов не имеет смысла? ведь так?
2. Выскажу предположение, что Сервер в/в (192.168.162.56) при загрузке объявляет себя обозревателем сети, и соответственно, когда он выключается, то все, кто считали его главным обозревателем, начинают плакать, и слать запросы по сети, выясняя кто теперь главный? в этом случае вас спасет или организация домена с выделенным обозревателем сети, или отключении службы обозревателя на этом Сервер в/в (192.168.162.56) (как это сделать - гугл вам в помощь)

[Генератор зла]

"с уровнем параноидальности KAV?" - это все верно, но может все таки имеет смысл попробовать ослабить настройки уровня подозрительности КАВ?

Прочитал 3 раза и не нашёл отличий Параноидальность = подозрительность, ослабить уровень которой не в моих силах, ибо за ним следят человеки с ружьём.

Кстати, думаю спрашивать о том, что все компьютеры чисты от вирусов и троянов не имеет смысла? ведь так?

За вопросы денег не берут За свои сервера и АРМ-ы я уверен, остальные - не моя головная боль, да и не пустят меня к другим компьютерам, см. п. 1

Выскажу предположение, что Сервер в/в (192.168.162.56) при загрузке объявляет себя обозревателем сети

Они у нас все такие Так надо. Но это не повод спамить на порты 135, 5413, 5026. Я бы понял обращения по 137 UDP порту, но тут другое. Короче, что бы там ни было, это никак не связано со службой "Обозреватель компьютеров", инфа 100%.

[Генератор зла]

Гляжу, тема не очень востребована...
Но тем не менее, выложу финал.
Не прошло и пол года и мы решили проблему
На всех серверах и АРМ-ах в Брендмауэре Windows прописали правила:
- разрешены все входящие соединения (ломай меня, ломай меня полностью!!!)
- разрешены исходящие соединения (все программы, порты) на выбранные диапазоны IP (сервера+АРМ-ы системы мониторинга)
И никаких атак на сторонние ПК.

[skom]

На wdn.wonderware.com поищите по "Securing Application Server Systems".
---
Summary: The ability to secure an Application Server System is directly related to the infrastructure as well as the hosting software.
Version: 2.0
Created at 4/2/2009 8:06 AM by System Account
Last modified at 5/8/2009 2:34 PM by Boor, Michael
---
В этой статье, указываются все ваши порты, может это поможет в решении проблемы.
Если не получится, могу прислать pdf.

[Генератор зла]

Спасибо
Только всё это у меня лет 100 как есть. Для тонкой настройки фаервола нужно знать какое приложение по какому порту общается. Не перебирать же методом тыка aaPim, aaBootstrap, aaEngine, aaDCOMTransport (ну это точно 135), и все остальные WW-приложения и сервисы.
Поэтому способ в моём предыдущем посте нам подошёл больше.