Подозрительный трафик заблокирован: Пишет вот такую информацию :» Мы зарегистрировали подозрительный трафик, исходящий из вашей сети»

Содержание

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети

Положительная репутация в поисковых системах без помех от недоброжелателей возможна с Семантикой!

Узнайте стоимость

Получи нашу книгу «Контент-маркетинг в социальных сетях: Как засесть в голову подписчиков и влюбить их в свой бренд».

Подпишись на рассылку и получи книгу в подарок!

Подозрительный трафик — это частые однотипные запросы к поисковой системе, которые кажутся ей неестественными.

Больше видео на нашем канале — изучайте интернет-маркетинг с SEMANTICA

«Мы зарегистрировали подозрительный трафик, исходящий из вашей сети» — что это за сообщение? Такое иногда видят пользователи, если поисковая система с одного ip-адреса получает количество похожих запросов, превышающее лимит.

В этом случае Гугл пытается остановить поток спама и предлагает ввести капчу (код для распознавания). Это нужно, чтобы определить, человек вы или программа. После введения вы продолжите работать. Эта проблема может возникнуть по разным причинам. Иногда это повод проверить, нет ли на вашем ПК вредоносного ПО. Иногда это не зависит от ваших действий и состояния компьютера.

Из-за чего появляется подозрительный исходящий трафик:

  • Если вы нечасто получаете такое сообщение, то есть вероятность, что виновато не ваше устройство, а провайдер. Этот вариант наиболее часто встречается. В этом случае страница с ошибкой открывается и с обычного ноутбука, и со смартфона. Бывает так, что один ip предоставлен нескольким или многим пользователям. В этом случае проблема может быть не у вас, а у кого-то из ваших соседей. Но так как Google расценивает все компьютеры в доме как один адрес, под раздачу капчи попадаете и вы.

Другие причины

  • Вирусы. Возможно какое-то приложение или программа делают запросы, которых вы не видите. У вас даже может открыться страница с предложением ввести номер телефона, а затем подтвердить пришедшим в смс кодом. Не делайте этого, вы точно имеете дело с обманом.
  • Активация Windows. Если у вас непокупная версия операционной системы, встроенный в нее активатор посылает автоматические запросы.
  • Сервисы для обработки большого количества однотипного материала, которые находятся в работе.
  • Плагины, работающие с VPN. Они могут создавать сообщения, нарушающие правила использования ресурсов, установленные законодательством.

Подозрительный трафик: что это по мнению Google

В поддержке Гугл подозрительным трафиком названы запросы от различных программ по сбору контента и приложений для продвижения в результатах выдачи.

Если проверочное изображение, которое обычно предлагает поисковик, отсутствует, произведите три действия:

  • Просканируйте компьютер, чтобы определить нет ли на нем вредоносного ПО.
  • Если вы подключены к общей сети, обратитесь к администратору, чтобы он помог найти источник спама.
  • Включите и выключите маршрутизатор или модем.

В случае появления просьбы о вводе капчи с незнакомой страницы, можно не сомневаться, что на ПК есть вирусы.

Что делать с таким трафиком

Если проблема в провайдере и постоянно повторяется, мало что можно сделать. Но для начала нужно сообщить об ошибке поставщику услуг и, если это не поможет, поменять его.

Но сначала используйте антивирусы для проверки компьютера. Например, Kaspersky. На странице поддержки Chrome есть инструкция для пользователей по удалению вредоносного ПО для разных операционных систем. Действуйте согласно ей и запустите инструмент очистки. Затем вам будет предложено сбросить настройки браузера, все временные файлы, пароли и cookie. Нажмите «Сбросить». Если это не помогло и у вас скачанная из интернета версия Windows, переустановите ее в другой сборке.

  • Удалите программы, работающие с VPN. Иногда Гугл блокирует их, так как они нарушают законодательство или другие правила.
  • Если вы используете сервисы обращающиеся к Google с вашего компьютера, позаботьтесь об антикапче и прокси.
  • Также вы можете попробовать включить и выключить маршрутизатор или вручную изменить настройки.

Подозрительный трафик Google – это проблема владельцев стационарных и мобильных устройств. Она может возникать по разным причинам. Чаще всего она заключается в том, что на один ip зарегистрированы множество пользователей.

Зарегистрировали подозрительный трафик исходящий из вашей сети — Smotrisoft

Покажу как решить проблему в Google, когда возникает надпись о подозрительном трафике из вашей сети. Похоже ваш компьютер отсылает автоматические запросы.

Содержание статьи:

  1. Причина — вирус
  2. Причина — активатор windows
  3. Причина — ваш провайдер интернета

1. Причина — вирус.

Возможно какая-нибудь зловредная программа, которая предлагала вам скачать Microsoft Office или Word 2013 на самом деле оказалась фальшивкой, которая мало того, что просит денег (если вы заплатите вы все равно не получите нужную программу), так еще и использует ваш компьютер как марионетку и делает запросы, которые вы не видите. Возможно крадёт ваш трафик и считывает его, пытаясь украсть ваши пароли и так далее.

Сообщение бывает такое:

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот. Чтобы продолжить поиск, пожалуйста введите свой номер в поле ввода и нажмите «отправить».

На Яндексе также может вылежать подобная ошибка:

Нам очень жаль, но запросы, поступившие с вашего iP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску. Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «отправить».

Введя свой номер и нажав «отправить» вы получите SMS-код от мошенников, введя который и нажав «отправить» вы получите какую-нибудь бесполезную платную услугу на свой мобильный. Кстати любую услугу вы можете отключить, метод описан в статье Как отключить услугу вам звонили МТС.

Это чистой воды «развод» и обман. Эта страница не Google, а мошенников. С уверенностью можно сказать, что это вирус-вымогатель. После ввода телефона вам предложат «впарят» какую-нибудь платную подписку на сервис. Ни в коем случае не вводите свой номер телефона. В этом «лечении вируса» вам поможет Касперский и утилита TSSDKiller по адресу: support.kaspersky.ru/viruses/disinfection/5350.

Если у вас подозрение, что это вирус, то прочитайте статью Как просканировать Windows на новые опасные вирусы или смотрите видео «Как найти и удалить вирусы с компьютера».

2. Причина — активатор windows.

Если вы не покупали Windows, то значит вы его активировали через активатор или уже в вашу версию repack’а был встроен активатор, который периодически активирует ваш Windows. Иногда с помощью этих активаторов можно и навредить вашей сети, перегружая её автоматическими запросами. Таким образом, скорее всего это ваш активатор windows посылает подобные запросы, а может просто Google считает что вы задаете такие вопросы в поиске которые похожи на бота.

Тогда качайте другую сборку Windows и переустановите Windows. Если не знаете как переустановить Windows, то читайте статью Как переустановить Windows 7 или найдите в этом плейлисте то видео по переустановке, что подходит вам.

Но спешите переустанавливать Windows, так как скорее всего у вас третья причина.

3. Причина — ваш провайдер интернета.

Это наиболее распространенный вариант и наиболее вероятный. После того как вы отправляете запрос на поиск чего-либо, то Google вам выдаёт: «Чтобы продолжить, введите указанные ниже символы».

Мы зарегистрировали подозрительный трафик, исходящий из вашей сети. С помощью этой страницы мы сможем определить, что запросы отправляете именно вы, а не робот.

У меня была подобная ошибка даже со смартфона. Вы получаете ошибку с надписью:

We’re sorry…but your computer or network may be sending automated queries. To protect our users, we can’t process your request right now.

Переводится это так:

Нам очень жаль, но ваш компьютер или сеть возможно посылает автоматические запросы. Чтобы защитить наших пользователей мы не можем выполнить ваш запрос сейчас.

И вам предложат ввести сгенерированное проверочное число и слово (captcha) .

Нам очень жаль

Но всё это сводится к одному — они нам крутят соски.

они нам крутят соски

Почему возникает сообщение о подозрительном трафике в сети?

Чаще всего вы тут ни при чём, а виноват ваш провайдер интернета. Дело в том, что iP адресов, которые выдаются автоматически каждому пользователю интернета кончаются и на одном iP адресе могут быть сотни пользователей провайдера. То есть и вы и ваш сосед и человек живущий далеко от вас могут иметь одинаковые iP адреса. Это кризис iPv4 адресов. Его можно решить перейдя на iPv6, но это стоит денег.

Об этой проблеме рассказал Дмитрий Бачило еще давно, когда у него брала интервью телевизионная компания. Оригинальный ролик на своём канале Дмитрий скрыл, поэтому даю ссылку на ролик с канала его поклонников, которые перезаливали его ролики себе.

Как Google объясняет сообщение о подозрительном трафике в вашей сети?

В справке Google по адресу: support.google.com/websearch/answer/86640?hl=ru компания Google пишет, что Google считает подозрительным трафиком:

  • Поисковые запросы от роботов, компьютерных программ, автоматических служб и сборщиков контента.
  • Поисковые запросы от компьютерных программ для определения позиций страниц и сайтов в результатах Google поиска.

При решении этой проблемы бывает, что проверочное слово или цифры не отображаются (captcha), тогда Google советует перезагрузить роутер, проверить компьютер на наличие вирусов и вредоносного ПО.

Также Google пишет о том, что если подобные сообщения сопровождаются незнакомыми объявлениями, вместо стартовой страницы и появился неизвестный сайт, то скорее всего, на вашем компьютере установлено вредоносное программное обеспечение (ПО).

Решение проблемы подозрительного трафика.

На сайте support.google.com/chrome/answer/6086368 есть инструмент очистки Chrome для Windows. Если вы используете Google Chrome браузер, то скачайте и запустите инструмент для удаления программ от Google.

Приложение сканирует систему и удаляет ПО, которое может помешать работе Chrome. Нажмите «Скачать».

Теперь прочитав Условия предоставления услуг Google Chrome, нажмите «Принять и скачать».

Скачивание началось. Спасибо, что скачали инструмент очистки Chrome.

Запустите инструмент очистки Chrome, он автоматически начнёт поиск вредоносных программ.

Если ничего не будет найдено, то вы увидите это сообщение.

Далее вам предложат сбросить настройки Google Chrome. Нажмите «сбросить», чтобы сбросить и удалить временные и кэшированные данные, такие как файлы cookie, а также содержание и данные сайтов. Только вспомните все свои пароли от соц. сетей и аккаунтов на сайтах, так как их надо будет вводить заново.

В основном достаточно просто подождать пока снимут блокировку с вашего iP адреса и вы вновь сможете пользоваться Google. Просто подождите минут 5-10 и с вас снимут бан.

Вот видео про подозрительный трафик исходящий из вашей сети.

Другие статьи на подобную тему:

  • Как решить проблему подключение ограничено
  • У вас нет разрешения на открытие этого файла

Автоматически блокируйте подозрительный трафик с помощью AWS Network Firewall и Amazon GuardDuty

к
Алекс Томич и
Кэмерон Уоррелл | на
| в
Amazon GuardDuty, сетевой брандмауэр AWS, пошаговые функции AWS, безопасность, идентификация и соответствие требованиям |
Постоянная ссылка |
Комментарии |
Делиться

Согласно Руководству по реагированию на инциденты безопасности AWS, используя автоматизацию реагирования на инциденты безопасности, вы можете увеличить как масштаб, так и эффективность операций по обеспечению безопасности. Автоматизация также помогает применять более активный подход к защите рабочих нагрузок в AWS. Например, вместо того, чтобы тратить время на ручное реагирование на оповещения системы безопасности, вы можете вместо этого сосредоточиться на таких действиях, как расширение уровней защиты приложений и улучшение вашей программы безопасности.

В этой записи блога мы покажем вам, как использовать сетевой брандмауэр AWS для автоматического реагирования на потенциальные события безопасности в вашей среде Amazon Web Services (AWS), обнаруженные Amazon GuardDuty. Цель состоит в том, чтобы быстро локализовать влияние событий безопасности, предоставляя при этом дополнительное время для последующего расследования.

За счет кодирования шагов ответа с помощью таких сервисов, как AWS Lambda и AWS Step Functions, время ответа можно сократить до минут или даже секунд. Это время ответа отличается от ручного ответа, который часто может занять несколько часов или больше. В этом блоге приведен пример использования автоматизации для масштабирования процессов безопасности в облаке.

При планировании ответов на события безопасности рекомендуется документировать процедуры реагирования в модулях Runbook. В модулях Runbook подробно описаны этапы процедуры и порядок их выполнения. Шаги могут быть как ручными, так и выраженными в коде и автоматизированными; реализация по крайней мере некоторых шагов в коде гарантирует, что эти шаги выполняются последовательно.

Обзор решения

Пример автоматизации, который мы приводим в этом сообщении блога, направлен на блокирование трафика в и из подозрительных удаленных узлов, например, на IP-адреса, связанные с известными серверами управления и контроля для бот-сетей. Обнаружение GuardDuty непреднамеренной связи с удаленными хостами запускает ряд шагов, включая блокировку сетевого трафика на эти хосты с помощью сетевого брандмауэра и уведомление операторов безопасности.
 

Рисунок 1: Общий обзор решения

Вот основные строительные блоки в этом сообщении блога:

Сетевой брандмауэр AWS — это управляемый сервис, который упрощает развертывание основных сетевых средств защиты для всех ваших виртуальных частных облаков (VPC). Сервис автоматически масштабируется вместе с вашим сетевым трафиком, поэтому вам не нужно беспокоиться о развертывании и управлении какой-либо инфраструктурой. Гибкий механизм правил сетевого брандмауэра позволяет вам определять правила брандмауэра, которые дают вам детальный контроль над сетевым трафиком. В дополнение к фильтрации входящего трафика сетевой брандмауэр обеспечивает фильтрацию исходящего трафика по URL-адресам, IP-адресам и доменам, чтобы помочь вам соответствовать требованиям, предотвратить непреднамеренный доступ к данным и заблокировать связь с неавторизованными удаленными хостами.

Сетевой брандмауэр состоит из трех основных компонентов:

  • Группа правил  – содержит многоразовый набор критериев для проверки трафика и обработки пакетов и потоков трафика, соответствующих критериям проверки. Решение, описанное в этом сообщении блога, автоматически добавляет правила в группу правил без сохранения состояния при обнаружении подозрительной связи. Процесс периодической очистки автоматически удаляет правила из этой группы правил по истечении указанного периода хранения.
  • Политика брандмауэра  – определяет многоразовый набор групп правил без отслеживания и с отслеживанием состояния, а также некоторые параметры поведения на уровне политики. Вы можете использовать группу правил, управляемую этим решением, как часть одной или нескольких политик брандмауэра.
  • Брандмауэр — подключает правила проверки в политике брандмауэра к VPC, защищаемому этими правилами.

Amazon GuardDuty — это служба непрерывного мониторинга безопасности, которая анализирует и обрабатывает данные из журналов потоков Amazon Virtual Private Cloud (Amazon VPC), журналов DNS, событий управления AWS CloudTrail и событий данных AWS CloudTrail S3. Основываясь на этих данных, GuardDuty обеспечивает анализ и обнаружение с помощью каналов аналитики угроз, сигнатур, обнаружения аномалий и машинного обучения в облаке AWS. В этом решении именно обнаружение угроз с помощью GuardDuty запускает автоматическую процедуру исправления, описанную в этом посте.

AWS Step Functions — это бессерверный сервис оркестровки, который позволяет комбинировать функции AWS Lambda и другие сервисы AWS для создания критически важных бизнес-приложений. В этом решении используются пошаговые функции и службы Lambda, чтобы обеспечить выполнение шагов реагирования на инциденты в правильном порядке. Служба Step Functions также обеспечивает логику повторных попыток и обработки ошибок, а функции Lambda взаимодействуют с сетевыми элементами управления для блокировки трафика и с базой данных для хранения данных о заблокированных удаленных IP-адресах.

Как это работает

На рис. 2 подробно показан автоматизированный рабочий процесс исправления.
 

Рисунок 2: Подробная схема рабочего процесса: автоматическая блокировка подозрительного трафика с помощью сетевого брандмауэра и GuardDuty

Решение реализовано следующим образом:

  1. GuardDuty обнаруживает непредвиденное поведение, включающее IP-адрес удаленного узла. GuardDuty генерирует вывод в формате JSON, который включает в себя такие сведения, как задействованный идентификатор экземпляра EC2 (если применимо), информацию об учетной записи, тип атаки, удаленный IP-адрес и другие сведения. Ниже приведен пример вывода (некоторые поля удалены для краткости).
     {
      "версия схемы": "2.0",
      "accountId": "123456789012",
      "id": "0123442370ea5fc5c29aa8a8e72abcde",
      "type": "Бэкдор:EC2/C&CActivity.B",
      "услуга": {
        "serviceName": "гвардия",
        "действие": {
          "actionType": "СЕТЬ_СОЕДИНЕНИЕ",
          "remoteIpDetails": {
            "ipAddressV4": "198.51.100.0"
          }
        }
      }
    }
     
  2. Security Hub принимает результаты, созданные GuardDuty, и объединяет их с данными, полученными от других сервисов безопасности AWS. Security Hub также публикует содержимое обнаружения в шине по умолчанию в Amazon EventBridge. Ниже приведен фрагмент примера события, опубликованного в Amazon EventBridge.
     {
      "id": "12345abc-ca56-771b-cd1b-710550598e37",
      "detail-type": "Выводы Security Hub — импортированы",
      "источник": "aws. securityhub",
      "счет": "123456789012",
      "время": "2021-01-05T01:20:33Z",
      "регион": "сша-восток-1",
      "деталь": {
        "Выводы": [ {
          "ProductArn": "arn:aws:securityhub:us-east-1::product/aws/guardduty",
          «Типы»: [«Проверки программного обеспечения и конфигурации/бэкдор: EC2.C&CActivity.B»],
          "LastObservedAt": "2021-01-05T01:15:01.549З",
          "ProductFields": {"aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "198.51.100.0"}
     }]}}
     
  3. EventBridge имеет правило с шаблоном событий, который соответствует событиям GuardDuty, содержащим удаленный IP-адрес. Когда событие, соответствующее шаблону, публикуется на шине по умолчанию, EventBridge направляет это событие в назначенную цель, в данном случае в конечный автомат Step Functions. Ниже приведен фрагмент кода AWS CloudFormation, который определяет правило EventBridge.
     # Правило события EventBridge — для события Security Hub, опубликованного в EventBridge:
    GuardDutytoFirewallStateMachineEvent:
      Тип: «AWS::Events::Правило»
      Характеристики:
        Описание: "Находки Security Hub GuardDuty с удаленным IP"
        Шаблон события:
          источник:
          - aws. securityhub
          деталь:
            Выводы:
              ProductFields: aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4:
                  - "существует": правда
        Состояние: "ВКЛЮЧЕНО"
        Цели:
          -
            Арн: !GetAtt GuardDutytoFirewallStateMachine.Arn
            RoleArn: !GetAtt GuardDutytoFirewallStateMachineEventRole.Arn
            Идентификатор: "GuardDutyEvent-StepFunctions-Trigger"
     
  4. Конечный автомат Step Functions принимает сведения об обнаружении Security Hub, опубликованном в EventBridge, и координирует ответ на исправление с помощью определенного рабочего процесса. На рис. 3 показано графическое изображение рабочего процесса конечного автомата.
     

    Рис. 3. Рабочий процесс конечного автомата AWS Step Functions

  5. На первом этапе конечного автомата «Запись IP-адреса в БД» вызывается функция Lambda, которая создает запись в таблице Amazon DynamoDB с важными сведениями, такими как IP-адрес подозреваемого вредоносного хоста и отметка времени последнего действия. Конечный автомат очистки (обсуждается в разделе «Удаление старых записей» этого блога) использует эту метку времени для удаления устаревших записей из сетевого брандмауэра. Ниже приведен пример элемента, хранящегося в таблице DynamoDB ( Поле CreatedAt представляет собой отметку времени в формате Unix).
     

    Рис. 4. Запись таблицы DynamoDB

  6. Следующий шаг, «Блокировка трафика», вызывает функцию Lambda, которая обновляет группу правил сетевого брандмауэра правилом без сохранения состояния, блокирующим трафик на удаленный IP-адрес. Ниже приведен пример правила без сохранения состояния, которое будет добавлено в группу правил сетевого брандмауэра.
     

    Рис. 5. Примеры правил в группе правил сетевого брандмауэра

    Если этот шаг выполняется успешно, конечный автомат переходит к шагу «Уведомление об успехе».

  7. Шаг «Уведомление об успешном завершении» конечного автомата использует тему Amazon Simple Notification Service (Amazon SNS) для отправки сообщения о том, что автоматическое исправление
     От: Уведомления AWS  amazonaws.com>
    Тема: Уведомление AWS
    Тело:
    {"Заблокировано":"true","Input":{"HostIp":"198.51.100.0","FindingId":"12345abc-ca56-771b-cd1b-710550598e37","Timestamp":"2021-01-05T01:10:28.891Z","AccountId":"123456789012","Регион":"us-east-1"}}
     
  8. Если произошел сбой на шагах «Запись IP» или «Блокировка трафика», то конечный автомат выполнит шаг «Уведомить об ошибке». Конечный автомат публикует сообщение в теме SNS о том, что автоматизированный рабочий процесс исправления не удалось завершить и что может потребоваться ручное вмешательство.
     От: Уведомления AWS 
    Тема: Уведомление AWS
    Тело:
    {"Заблокировано":"false","Ввод":{"HostIp":"198.51.100.0","FindingId":"12345abc-ca56-771b-cd1b-710550598e37","Timestamp":"2021-01-05T01:10:28.891Z","AccountId":"123456789012","Регион": "сша-восток-1"}}
     

Теперь, когда вы понимаете, как работает решение, вы можете приступить к его тестированию в своей учетной записи AWS.

Развертывание решения

Настройка этого решения включает следующие шаги:

  1. Проверьте предварительные условия в своей учетной записи AWS.
  2. Разверните шаблон CloudFormation.
  3. Создайте тестовое событие Security Hub.
  4. Подтвердите запись в группе правил сетевого брандмауэра.
  5. Подтвердите уведомление SNS.
  6. Примените группу правил к ресурсам с помощью сетевого брандмауэра.

Шаг 1. Проверьте предварительные условия в своей учетной записи AWS

Для примера решения, представленного в этом блоге, необходимо активировать GuardDuty и Security Hub в своей учетной записи AWS. Если какая-либо из этих служб не активирована в вашей учетной записи, выполните следующие действия:

  • GuardDuty: узнайте больше о бесплатной пробной версии и ценах на эту службу, а также следуйте инструкциям в документации Amazon GuardDuty, чтобы настроить службу и начать отслеживать свою учетную запись.
  • Security Hub: узнайте больше о бесплатной пробной версии и ценах на этот сервис, а также следуйте инструкциям в документации AWS Security Hub, чтобы активировать и настроить сервис.

Примечание: Решение предназначено для применения в существующей конфигурации сетевого брандмауэра. Хотя вы можете протестировать автоматические действия по исправлению этого решения без создания брандмауэра через сетевой брандмауэр, он необходим для полной реализации решения. Вы можете узнать больше о концепциях сетевого брандмауэра и о том, как начать работу, в документации.

Шаг 2. Разверните шаблон AWS CloudFormation

Для этого следующего шага убедитесь, что вы развернули шаблон в учетной записи AWS и в регионе AWS, где вы хотите отслеживать результаты GuardDuty.

Чтобы развернуть стек CloudFormation
  1. Нажмите кнопку Запустить стек , чтобы запустить стек CloudFormation в вашей учетной записи:
  2. Примечание: Стек будет запущен в регионе Северной Вирджинии (us-east-1). Завершение работы стека CloudFormation занимает около 15 минут. Чтобы развернуть это решение в других регионах AWS, загрузите шаблон решения CloudFormation и разверните его в выбранном регионе. Сетевой брандмауэр в настоящее время доступен не во всех регионах. Дополнительные сведения о том, где он доступен, см. в списке конечных точек службы.

  3. В консоли AWS CloudFormation выберите форму Select Template , а затем выберите Next .
  4. На странице Specify Details укажите следующие входные параметры. Вы можете изменить значения по умолчанию, чтобы настроить решение для своей среды.

    Входной параметр Описание входного параметра
    Электронная почта администратора Адрес электронной почты для получения уведомлений. Адрес эл. почты должен быть действительным. Нет значения по умолчанию.
    Приоритет группы правил Приоритет, который будет использоваться для правил, добавленных этим решением в группу правил сетевого брандмауэра. Выберите значение, которое не будет конфликтовать с правилами, введенными вне этого решения. Значение по умолчанию — 30000.
    Группа правил Емкость Значение по умолчанию — 2000. Обратите внимание, что каждое правило блокировки, созданное этим решением, использует две единицы емкости. Дополнительные сведения см. в разделе Емкость группы правил в сетевом брандмауэре AWS.
    Ретенция Как долго хранить IP-адреса в черном списке (в пределах группы правил). Значение по умолчанию — 720 минут (12 часов).
    Частота обрезки Как часто конечный автомат сокращения удаляет старые записи из черного списка в группе правил. По умолчанию каждые 15 минут.

    На рис. 6 показан пример значений, введенных на экране Параметры .
     

    Рис. 6. Пример параметров стека AWS CloudFormation

  5. После того, как вы ввели значения для всех входных параметров, выберите  Next .
  6. На странице Параметры оставьте значения по умолчанию, а затем выберите Далее .
  7. На обзоре  в разделе Возможности установите флажок рядом с пунктом «Я признаю, что AWS CloudFormation может создавать ресурсы IAM». а затем выберите  Создать .
     

    Рис. 7. Подтверждение возможностей AWS CloudFormation

  8. Во время создания стека проверьте почтовый ящик, соответствующий значению, которое вы указали для параметра адреса AdminEmail . Найдите сообщение электронной почты с темой «Уведомление AWS — подтверждение подписки». Выберите ссылку, чтобы подтвердить подписку на тему SNS. Вы должны увидеть подтверждающее сообщение, подобное следующему.
     

    Рис. 8. Пример подтверждения подписки на Amazon SNS

После того, как поле Status для стека CloudFormation изменится на CREATE_COMPLETE , как показано на рисунке 9, решение реализовано и готово к тестированию.
 

Рис. 9. Развертывание стека AWS CloudFormation завершено

Шаг 3. Создайте тестовое событие Security Hub

После завершения развертывания стека CloudFormation вы можете протестировать функциональность, создав тестовое событие в том же формате, который будет опубликован Security Hub.

Чтобы создать тестовый прогон решения
  1. В Консоли управления AWS выберите  Services  >  CloudFormation  >  NetworkFW-GDuty-Demo stack .
  2. На вкладке Outputs для стека найдите запись GuardDutytoFirewallStateMachine . Это должно выглядеть примерно так, как показано на следующем снимке экрана.
     

    Рис. 10. Выходные данные стека AWS CloudFormation

  3. Выберите ссылку в записи. Вы будете перенаправлены на консоль Step Functions с уже открытым конечным автоматом, как показано на следующем снимке экрана. Выберите Начать выполнение .
     

    Рис. 11. Конечный автомат AWS Step Functions

  4. Для облегчения тестирования мы предоставили тестовый файл событий. На странице Начать выполнение в разделе Ввод вставьте предоставленный JSON-файл тестового события.
  5. Около строки 55 найдите eventLastSeen и измените метку времени на текущее время в часовом поясе UTC+0. Обратите внимание на IP-адрес 198.51.100.0 удаленного узла, указанного в результатах поиска GuardDuty в тестовом событии в строке 44. Решение должно заблокировать трафик с этого IP-адреса на следующих шагах.
     

    Рис. 12. Пример ввода для выполнения конечного автомата Step Functions

  6. Выберите Начать выполнение , чтобы начать обработку тестового события.
  7. Теперь вы можете отслеживать обработку конечного автомата тестового события. Обработка должна завершиться в течение нескольких секунд. Вы можете выбрать различные шаги в визуальном Инспекторе графиков для просмотра входных и выходных данных. В следующем примере показаны входные данные для шага Block Traffic , который запускает функцию Lambda, взаимодействующую с сетевым брандмауэром.
     

    Рис. 13. Детали шага конечного автомата Step Functions

Шаг 4: Подтвердите запись в группе правил сетевого брандмауэра

Теперь, когда тестовое событие было обработано конечным автоматом, вы можете проверить, будет ли группа правил сетевого брандмауэра блокировать трафик на удаленный IP-адрес, указанный в выводе GuardDuty.

Для проверки записей в группе правил сетевого брандмауэра
  1. В Консоли управления AWS выберите Services , а затем выберите VPC . В сетевом брандмауэре на левой панели навигации выберите Группы правил сетевого брандмауэра .
  2. Выберите группу правил, созданную решением.
     

    Рис. 14. Выбор группы правил сетевого брандмауэра

  3. Подтвердите, что правила, блокирующие трафик от источника и к IP-адресу назначения, которые вы указали в тестовом событии, были созданы. Список групп правил должен выглядеть примерно так, как показано на следующем снимке экрана.
     

    Рис. 15. Проверка записей в группе правил сетевого брандмауэра

Шаг 5. Подтвердите уведомление SNS

На этом шаге вы увидите SNS-уведомление, отправленное на указанный вами адрес электронной почты.

Проверьте в почтовом ящике значение, которое вы указали для параметра AdminEmail , и найдите сообщение со строкой темы «Сообщение уведомления AWS». Содержание сообщения от Amazon SNS должно быть примерно следующим.

 {"Заблокировано":"true","Input":{"HostIp":"198.51.100.0","FindingId":"cab084b3-6241-d898-ebc4-8a04d4a839a5","Временная метка":"2020-12-13T16:25:14.621Z","AccountId":" 123456789012","Регион": "сша-восток-1"}}
 

Шаг 6. Примените группу правил к ресурсам с помощью сетевого брандмауэра

Последняя задача — связать группу правил с присоединенными политиками брандмауэра к брандмауэрам сетевого брандмауэра, которые вы хотите автоматически обновлять с помощью этого решения. Чтобы узнать, как выполнить эту задачу, см. Политики брандмауэра в AWS Network Firewall.

После того, как у вас будет правильно построенная политика брандмауэра, вы можете применить эти политики к сетевому брандмауэру для защиты ресурсов в ваших VPC. См. раздел Модели развертывания для AWS Network Firewall, чтобы изучить варианты интеграции Network Firewall с несколькими различными шаблонами сетевой архитектуры.

Поздравляем! Вы успешно развернули и протестировали автоматическое исправление с помощью GuardDuty и сетевого брандмауэра. Чтобы полностью реализовать это решение, вам потребуется добавить группу правил в конфигурацию сетевого брандмауэра в VPC. Если вы еще не развернули сетевой брандмауэр, вы можете узнать больше о концепциях и начале работы в документации по сетевому брандмауэру.

Удаление старых записей

Периодически запускается конечный автомат очистки для удаления старых записей из черного списка. Он удаляет записи как из таблицы DynamoDB, так и из группы правил сетевого брандмауэра. Период хранения и частота операции сокращения настраиваются с помощью входных параметров для стека CloudFormation. Если вы просмотрите предыдущие запуски конечного автомата обрезки, вы сможете увидеть диаграмму инспектора графов , похожую на следующую.
 

Рисунок 16: Step Functions сокращает поток конечного автомата

Резюме

Вы узнали, как интегрировать сетевой брандмауэр AWS и Amazon GuardDuty для автоматического исправления событий безопасности. Вы можете использовать этот образец решения для автоматической блокировки связи с подозрительными хостами, обнаруженными GuardDuty, и применить эти блокировки ко всем настроенным брандмауэрам сетевого брандмауэра в вашей учетной записи.

Весь код этого решения доступен на GitHub. Не стесняйтесь играть с кодом; мы надеемся, что это поможет вам узнать больше об автоматизированном восстановлении безопасности. Вы можете настроить код так, чтобы он лучше соответствовал вашей уникальной среде, или расширить код дополнительными шагами. Например, вы можете изменить решение, чтобы использовать группу правил с отслеживанием состояния, чтобы включить ведение журнала фильтрации трафика, или вы можете добавить шаг для создания заявки в системе управления инцидентами для лучшего отслеживания и документирования процесса реагирования на инциденты.

Если у вас есть комментарии к этому сообщению в блоге, отправьте их в разделе Комментарии ниже. Если у вас есть вопросы об использовании этого решения, начните обсуждение на форумах Network Firewall или GuardDuty или обратитесь в службу поддержки AWS.

Хотите больше инструкций по AWS Security, новостей и анонсов функций? Следуйте за нами на Twitter.

Алекс Томич

Алекс — архитектор корпоративных решений AWS, специализирующийся на вопросах безопасности и соответствия требованиям. Он присоединился к AWS в 2014 году.

Кэмерон Уоррелл

Кэмерон — архитектор решений, страстно увлеченный вопросами безопасности и трансформации предприятия. Он присоединился к AWS в 2015 году.

ТЕГИ:
Amazon GuardDuty, сетевой брандмауэр AWS, исправление, блог о безопасности, пошаговые функции

Как остановить уведомления «Подозрительное подключение заблокировано»

Уведомление «Подозрительное подключение заблокировано» запускается модулем предотвращения онлайн-угроз Bitdefender при каждой попытке доступа к домену HTTPS, у которого есть проблемы с сертификатом безопасности. В отличие от HTTP (протокол передачи гипертекста), HTTPS (более безопасный стандарт HTTP Secure, HTTPS) шифруется с использованием безопасности транспортного уровня (TLS), защищая связь между вашим компьютером и посещаемыми вами веб-сайтами.

HTTPS обозначается маленьким символом замка, который появляется перед адресной строкой при каждом посещении веб-сайта. Замок обычно означает, что сайт имеет действующий сертификат HTTPS, домен сайта проверен на соответствие имени в сертификате, а соединение с веб-сайтом зашифровано. Другими словами, информация, которой обмениваются вы и этот домен, представлена ​​не в виде открытого текста, а в зашифрованном виде. Небезопасные домены — это внешние ссылки на веб-сайты, которые не имеют сертификата безопасности, выданного доверенным центром сертификации, имеют несоответствующий или просроченный сертификат безопасности и могут содержать фишинговые, вредоносные или нежелательные программы.

В этой статье мы покажем вам, как узнать, какой веб-сайт выдает предупреждение о «Подозрительном соединении заблокировано», и как действовать, если потребуются дальнейшие действия.

 

Узнайте, что вызывает уведомление «Подозрительное соединение заблокировано»

Уведомления являются важным инструментом для мониторинга и управления защитой Bitdefender. Например, вы можете легко проверить, было ли обновление успешно выполнено, были ли обнаружены угрозы или уязвимости на вашем компьютере и т. д. Кроме того, вы можете предпринять дальнейшие действия, если это необходимо, или изменить действия, предпринятые Bitdefender.

Чтобы найти сайт, о котором вас предупреждает Bitdefender, нажмите «Подробнее», когда в углу экрана появится сообщение «Подозрительное соединение заблокировано».

Если окно сообщения мигает слишком быстро и вы не можете открыть его вовремя, перейдите в свой журнал уведомлений: откройте журнал уведомлений:

1. Нажмите «Уведомления»

в меню в левой части Bitdefender. интерфейс. Каждый раз, когда происходит критическое событие, на значке колокольчика можно заметить счетчик.

2. В зависимости от типа и серьезности уведомления Bitdefender сгруппированы по трем вкладкам: Критические, Предупреждения и Информация. Перейдите на вкладку Критические, чтобы найти дополнительные сведения о сгенерированном событии.

3. Нажмите, чтобы развернуть последнее уведомление под названием «Подозрительное соединение заблокировано». Появится краткое описание со следующей информацией:

  • Дата уведомления (например, 13 минут назад)
  • Функция Bitdefender, которая заблокировала соединение (например, Предотвращение онлайн-угроз)
  • Имя процесса, пытающегося подключиться к подозрительной ссылке (например, msedge.exe — Microsoft Edge)
  • Причина, по которой соединение было заблокировано (например, просроченный сертификат)
  • URL-адрес, заблокированный Bitdefender из-за проблем с сертификатом (например, extensionwebstorebase.edgesv.net )

В приведенном выше примере вы заметите, что функция Bitdefender Online Threat Prevention заблокировала 13 минут назад подозрительное подключение msedge.exe (процесс Microsoft Edge) к расширениеwebstorebase.edgesv.net . Соединение было заблокировано, так как срок действия сертификата сайта истек.

Это простой способ узнать, какой URL вызывает уведомление «Подозрительное соединение заблокировано».

 

Что делать, если появляется уведомление «Подозрительное соединение заблокировано»

Это предупреждение появляется при попытке посетить защищенный веб-сайт (HTTPS) с недействительным сертификатом безопасности. Как правило, это веб-сайты с большим количеством рекламы, такие как новостные веб-сайты, и аналитические компании с просроченным сертификатом, пытающиеся установить соединение. При желании вы можете проверить их SSL-сертификаты на странице https://www.sslshopper.com/.

Во избежание риска для безопасности рекомендуется сразу закрыть страницу, которую вы собираетесь посетить. Это так просто. Никаких дополнительных действий с вашей стороны не требуется.

 

Вместо этого, если вы не переходите на веб-сайт, указанный в уведомлениях Bitdefender, или если сертификат сайта кажется действительным, но вы по-прежнему получаете всплывающие окна о заблокированных подозрительных подключениях, проблема может заключаться в вашем устройстве. Попробуйте выполнить следующие предварительные действия:

  1. Убедитесь, что дата и время на компьютере указаны правильно. Если часы ПК настроены так, что дата/время позже даты истечения срока действия SSL-сертификата веб-сервера, вы столкнетесь с ошибками сертификата безопасности.
  2. Откройте решение для обеспечения безопасности Bitdefender и запустите полное сканирование системы, чтобы проверить компьютер на наличие угроз. Дождитесь окончания сканирования, затем перезапустите Windows.

 

Если ситуация не изменится, ваш браузер, скорее всего, подключается к этим URL-адресам либо через разрешенные уведомления, либо через сторонние панели инструментов/расширения. Вот следующие шаги:

 

Решение для веб-браузера

Чтобы решить эту проблему, удалите все неизвестные программы и надстройки браузера со своего компьютера, отмените разрешения Web Push для сайтов, которым разрешено отображать сообщения на вашем экране, перезагрузите браузер и установите блокировщик рекламы. Подробные инструкции см. в разделе Удаление рекламного ПО, всплывающих окон и перенаправлений браузера с вашего ПК.

 

Решение для приложения электронной почты

Если вы используете почтовый клиент, такой как Microsoft Outlook или Mozilla Thunderbird, очистите свой почтовый ящик, удалив электронные письма от неизвестных отправителей. Удалите также весь СПАМ/мусор. Наконец, очистите корзину в своей учетной записи электронной почты.

 

Добавить в исключения Bitdefender

В качестве альтернативы, если вы хотите получить доступ к веб-сайту с проблемным SSL-сертификатом на свой страх и риск, вы можете добавить исключение для этого адреса в Bitdefender. Подробные инструкции см. в разделе Белый список безопасных веб-сайтов в Windows.

 

Отключение уведомлений «Подозрительные соединения заблокированы»

Уведомления могут появляться при обнаружении других уязвимостей или вредоносных программ, чтобы предупредить пользователя о потенциальных угрозах.

This entry was posted in Популярное