Gran cantidad de IPs extrañas que impactan contra el firewall, ¿son estos análisis automáticos o estamos bajo ataque?

Navega tus respuestas
1

Me acaban de poner a cargo de una red. En los registros de nuestro servidor de seguridad noté que teníamos una gran cantidad de máquinas que intentaban conectarse al puerto 53 y también a una docena de otros puertos. ¿Son estos análisis automáticos, PC con malware o estamos bajo algún tipo de ataque?

La mayoría de estos IP no son de los Estados Unidos, he visto Rusia, Corea del Sur y Pakistán, además de otros países. Borre el registro y al instante comencé a rellenar una copia de seguridad.

Además, lo que debería ser el próximo paso, voy a ver si este firewall tiene algún tipo de registro que muestre las conexiones internas que intentan salir o las conexiones activas. Es un Zywall USG 50.

actualizar

Hapasadounahorayelfirewallhasidogolpeado289veces,esonocuentaparaqueseeliminenvariospaquetes(comoendrop=2,3,4ect).


actualización 2

así que lo único extraño que puedo encontrar, es el tráfico UDP extraño en el puerto 80 para el DMZ que no configuré. Hablaré con el cliente mañana y veré si saben qué hay en la DMZ (no lo harán). Aparte de eso, tengo una gran cantidad de tráfico que llega al firewall en el puerto 53, pero ninguna de las conexiones / sesiones activas o los datos que inicié sesión en la red parecen apuntar a nada.

    
pregunta Levi 22.07.2015 - 03:27
fuente

3 respuestas

4

Ser golpeado cientos o miles de veces por día es completamente normal, y no me preocuparía en absoluto. Hay algunas fuentes importantes de tráfico sospechoso:

  • escáneres automatizados. Varias organizaciones "mapean" Internet y producen una tonelada de tráfico. Lo hacen más o menos al azar. He recibido mucho tráfico en los puertos 80 y 443 a pesar de que en realidad no tengo un sitio web.
  • Sistemas mal configurados. Las computadoras son complicadas y es fácil comenzar a molestar accidentalmente a los servidores de otros usuarios.
  • Script para niños. Algunos atacantes destruirán una gran cantidad de objetivos potenciales, con la esperanza de alcanzar un sistema sin parches.

El puerto 53 se utiliza para DNS . Es posible que alguien simplemente esté mapeando servidores DNS. También es posible que un atacante intente explotar sus sistemas, siempre y cuando esté actualizado sobre los parches, no es un problema.

Así que para reiterar, no me preocuparía en absoluto por esto. Sin embargo, debe preocuparse si comienza a ver suficientes solicitudes entrantes para constituir una denegación de servicio.

    
respondido por el etherealflux 22.07.2015 - 03:54
fuente
1

¿Cómo diagnosticar si estás bajo una exploración bruta o un ataque dirigido?

Si tiene la posibilidad de hacerlo, mantenga libre un @IP público específico dentro de su red. Regístrelo correctamente en el DNS como un nombre típico para una web servidor. Pero no atribuya este @IP a ninguna máquina real dentro de su red. Quiero decir, no ir tan lejos como para crear una olla de miel, solo crea una trampa @IP.

Luego inserte una regla específica en su firewall para bloquear y registrar cualquier tráfico hacia este @IP (algo como deny ip any any log ).

IF obtienes mucho tráfico hacia esta trampa @IP,

THEN eres el objetivo de los escáneres o el objetivo de los escáneres antes de un ataque real,

observe los puertos típicos escaneados en su captura @IP para poder eliminarlos de los archivos de registro de su firewall para enfocarse en ataques reales

ELSE lo más probable es que estés bajo un ataque más específico.

    
respondido por el daniel Azuelos 22.07.2015 - 14:33
fuente
0

Es difícil saber si te están apuntando específicamente. Es muy probable que esté siendo golpeado con escaneos automáticos que pueden ser ignorados siempre y cuando haya configurado su firewall para bloquear todo el tráfico entrante. Los ataques de phishing y las conexiones salientes a sitios maliciosos son mucho más graves, ya que tienen más probabilidades de éxito. Aquí hay una buena guía sobre los tipos populares de ataques que son exitosos y por lo tanto ampliamente empleados: enlace

  1. Mantenga su firewall parchado
  2. Utilice otros productos de seguridad como IDS / IPS / SIEM para detectar anomalías
respondido por el Scott 22.07.2015 - 04:02
fuente

Lea otras preguntas en las etiquetas

¿Por qué hay una preferencia por frases de contraseña largas en lugar de aumentar las iteraciones de hash? ¿Hay una manera de almacenar de forma segura las contraseñas sin sal?