Detectando actividad de red inusual

3

Tengo una red de pequeñas empresas que consta de ca. 15 dispositivos, unos conmutadores y dos enrutadores. Recientemente, se me ocurrió que todas las medidas de seguridad que he estado tomando no son muy productivas: o bien bloquean algunos puertos (o, para ser más específicos, todos los puertos excepto algunos) o monitorizo de forma retroactiva lo que sucede en la red.

Por ejemplo, tengo un dispositivo NAS que normalmente no tiene comunicación con Internet. Soy el único que inicia sesión en él (lo que también podría confirmar desde los registros del servidor). Sin embargo, al usar las herramientas de monitoreo de tráfico en mi Ubiquiti EdgeRouter Lite, pude ver que el dispositivo tenía comunicación SSL con algo / alguien en algún lugar. Como no tengo ningún rastreo permanente de tráfico, no tengo ni idea ni forma de averiguar por qué o con quién sucedió esto.

¿Existe una solución factible para que una pequeña empresa maneje mejor este tipo de situaciones, por ejemplo? ¿Establece algunos patrones de comportamiento habituales para dispositivos de red y comienza a monitorearlos y crea alertas cuando el comportamiento observado se desvía de los patrones habituales asumidos? Por ejemplo, me gustaría especificar que si el servidor en 192.168.199.100 se comunica con cualquier dispositivo en Internet, debería recibir un correo electrónico, o si el servidor en 192.168.199.101 usa cualquier protocolo excepto FTP con un servidor fuera de un país específico se debe impedir que se comunique con Internet.

    
pregunta simon 03.03.2016 - 22:45
fuente

1 respuesta

2

Creo que es factible para una pequeña empresa siempre que alguien pueda dedicar una cantidad de tiempo a configurar una herramienta gratuita con las reglas que necesita para su entorno (estoy pensando en Snort ). Veo que eres un desarrollador de tu reputación en SO, así que asumo que hay alguien que puede hacer eso. Es solo una cuestión de pasar el tiempo para poner la herramienta en su lugar y escribir las reglas (y mantenerlas actualizadas y responder a las alertas).

Dicho esto, Snort hará exactamente lo que quieras. Tiene alertas en tiempo real que pueden enviar correos electrónicos y bloquear el tráfico no deseado. Los conjuntos de reglas de snort son a menudo la base para otros sistemas de Detección / Prevención de Intrusos.

Un buen ejemplo del trabajo que podría estar haciendo se revela en estas preguntas: enlace

enlace

enlace

    
respondido por el mcgyver5 03.03.2016 - 23:53
fuente

Lea otras preguntas en las etiquetas