DNS de Google en los registros de Firewall

1

Estaba viendo mis registros de firewall y encontré la IP 8.8.8.8. Verificación adicional revela que pertenece a Google DNS. Y este tipo de tráfico ha estado saliendo de algunas de nuestras PC de segmento LAN. De aquí en adelante, ¿cómo debo determinar si se trata de tráfico legal? Todavía no tengo ningún producto SIEM instalado. Lo mejor que se puede hacer es ir físicamente a cada PC y verificar? Por otro lado, ¿el uso de alguna versión de un navegador web causaría esto?

    
pregunta dorothy 25.02.2015 - 01:44
fuente

2 respuestas

5

Lo más probable es que otro administrador o algunos de sus usuarios hayan configurado sus computadoras para usar el servicio DNS de Google (ubicado en las direcciones IP 8.8.8.8 y 8.8.4.4). Probablemente no sea nada de qué preocuparse. Si su firewall tiene capacidades de captura de paquetes, puede intentar ejecutar una captura y luego abrir el archivo de captura en Wireshark para inspeccionar el tráfico y asegurarse de que realmente es DNS y que las consultas no son para dominios de malware. Si ninguno de sus firewalls / enrutadores puede realizar capturas de paquetes, puede ser más fácil ir físicamente a las computadoras y mirar la configuración del DNS o preguntar a los usuarios si los han cambiado.

    
respondido por el tlng05 25.02.2015 - 06:23
fuente
1

Puede elegir el proveedor de DNS que desee en su computadora si se le otorgan derechos administrativos.

El único propósito de la solicitud de DNS es obtener la IP de un nombre de dominio completo (FQDN), es decir, traducir www.google.fr a alguna dirección IP.

Si administra una red de máquinas, es posible que desee:

  • bloquear completamente la solicitud de DNS en un servidor no autorizado (por ejemplo, si está hospedando su propio servidor DNS)
  • compruebe si el tráfico al servidor DNS son realmente solicitudes de DNS, ya que tienen un formato común
  • asegúrese de proporcionar una entrada de DNS en sus respuestas DHCP para que el cliente que utiliza la configuración de IP automática reciba la dirección de un servidor DNS autorizado.
respondido por el M'vy 25.02.2015 - 17:13
fuente

Lea otras preguntas en las etiquetas