Tratar con puertos "troyanos"

2

Tenemos un SOC que "supervisa" nuestra actividad de red, básicamente recopila todos los registros de todos nuestros cortafuegos y crea informes.

Tenemos una gran red con cientos de servidores y hasta 2000 usuarios, y todas nuestras subredes / sucursales tienen firewall. Estos cortafuegos se activan en el punto de mira en el SOC que a su vez nos devuelve informes.

Estos informes contienen toda la información de source:port y dest:port de todas nuestras subredes.

Revisé estos datos y veo que muchos de estos puertos están clasificados como "troyano", "amenaza", etc. Al mismo tiempo, muchos de estos son necesarios para el uso diario.

¿Cuáles son entonces las mejores prácticas para tratar esto?

    
pregunta allwynmasc 03.08.2016 - 13:20
fuente

1 respuesta

4

Verifique que el host reportado ejecute una aplicación legítima en el puerto.

Por ejemplo, el puerto 8080tcp es el puerto alternativo predeterminado para HTTP. Es utilizado por muchas aplicaciones legítimas.

Busque lo que se supone que el host de destino debe estar ejecutando en su base de datos de administración de configuración (usted tiene tiene un CMDB, ¿verdad?). Cuando se supone que se ejecuta, por ejemplo, un servidor de aplicaciones Apache Tomcat (que utiliza el puerto 8080), se trata de un comportamiento intencionado e inofensivo. Verifique que el servidor Tomcat esté funcionando. Cuando lo hace, significa que el puerto está en uso y no puede ser usado por ningún malware sin tener que detener el proceso de Tomcat, y eso causaría que quien lo necesite se queje. Agregue una regla de filtro a su sistema de informes para evitar que aparezcan más informes sobre ese servidor y el puerto 8080. Dichas reglas de filtro son importantes porque los falsos positivos que aparecen en sus informes simplemente distraen de cualquier positivo real. También es posible que desee agregar una regla a su sistema de informes que genere una alerta cuando esa combinación de ip: port ya no aparezca ya . Significaría que el servidor está inactivo o que fue rediseñado para que ya no se ejecute esa aplicación y que necesita actualizar sus reglas de filtro y su CMDB.

Sin embargo, cuando encuentras que el puerto está abierto en un host que no debe ejecutar nada que pueda usar 8080, vale la pena investigar. Inicie sesión en el servidor, ejecute netstat y verifique qué aplicación abrió ese puerto. Luego use su propio juicio para decidir si es legítimo o no.

    
respondido por el Philipp 03.08.2016 - 17:12
fuente

Lea otras preguntas en las etiquetas