¿Cómo sabría un atacante los IP de Gateway de los 2 puntos finales de VPN?

2

Mi oficina tiene dos enrutadores Sonicwall cada uno en una ubicación física diferente y con dos ISP diferentes.

Hay un túnel SSL-VPN entre los dos.

Hoy me di cuenta de que la misma dirección IP china intentó conectarse a las IP externas de ambos dispositivos desde el mismo puerto.

Fuente: 61.160.213.108 puerto 10000 Destino: cada IP externa de nuestros SonicWalls y diferentes puertos

¿Alguna idea de cómo podrían saber que existía una relación entre los dos enrutadores?

    
pregunta e_hoog 17.12.2014 - 20:37
fuente

2 respuestas

1

Está asumiendo que el atacante tiene conocimiento de ambos dispositivos. La dirección particular que has anotado no es ajena a ataques aleatorios . SANS Internet Storm Center lo enumera, también ha aparecido en otras listas de vigilancia. Se puede llegar a la conclusión de que esto es parte de una botnet o de alguna otra máquina de escaneo / piratería informática / badguy automatizada.

Las botnets

, las máquinas comprometidas, etc., tienen una tendencia a disparar enormes cantidades de exploraciones de reconocimiento contra numerosas cantidades de máquinas. Piénsalo, si fueras un atacante, ¿por qué no aprovecharías una máquina para escanear muchas? Lo que hacen estas máquinas, es recorrer aleatoriamente, y / o definir bloques de red, enumerar lo que es visible, lo que no lo es, y pasar esto a veces a otras máquinas para realizar la explotación.

Considera lo siguiente:

Attacker Botnet
Recon machine: 61.160.213.108
Exploit machine: 10.10.1.2

La máquina de reconocimiento sale de la red en busca de posibles víctimas. Cuando / si los encuentra, por lo general lo pasa a otra máquina para realizar una explotación o un ataque de fuerza bruta. En el caso de que estuvieras atento y notaras una sonda, podrías bloquear la Máquina de Recon, pero la realidad es que la máquina de explotación probablemente participará o implementará el ataque.

Si bien percibe que la Máquina de reconocimiento sabe acerca de su infraestructura, existe una alta probabilidad de que la sonda inicial fuera aleatoria. Entonces, por supuesto, está la alternativa. Alguien está apuntando a su red. En el caso de que lo fueran, no es difícil obtener información sobre las empresas y las redes asociadas con ellas. Considere una compañía aleatoria: ACME, si estuviera apuntando a su red, podría usar Arin y simplemente decir: "Oye Arin, muéstrame qué redes podrían estar asociadas con ACME" y con esa información, puedo apuntar a cada red que encuentre:

Hay muchas maneras en que alguien puede apuntarte, pero supongo que cada red tuya que encontraste fue probablemente aleatoria.

    
respondido por el munkeyoto 17.12.2014 - 22:26
fuente
0

Una posibilidad probable es que simplemente estuvieran escaneando todas las direcciones IP para ese servicio en particular y afectaran a ambos sistemas. ZMap afirma poder escanear todo el espacio IPv4 en menos de 45 minutos.

    
respondido por el Vahid 17.12.2014 - 22:23
fuente

Lea otras preguntas en las etiquetas