Indicación interna de IP a IP externas desconocidas

Creo que la mejor manera es usar el análisis de NetFlow para el monitoreo a gran escala. Si tiene un enrutador Cisco, tienen la colección NetFlow incorporada y puede combinarla con el conjunto de herramientas de código abierto SiLK para su análisis enlace

NetFlow fue desarrollado inicialmente por Cisco para fines de facturación y no recopila nada de la carga útil, solo información resumida como:

• IP de origen
• Dest IP
• puerto de origen
• Puerto de destino
• Paquetes
• bytes
• hora de inicio
• Hora de finalización
• Banderas
• etc ...

Con esto, puede analizar rápidamente grandes cantidades de datos, tengo una instalación de SiLK utilizando el IPFix de reemplazo de NetFlow de código abierto del IETF que obtiene 150,000 eventos por segundo.

Hay un manual gratuito para comenzar: enlace

Esto haría exactamente lo que desea y proporcionaría beneficios de seguridad a largo plazo, como tendencias y detección de anomalías.

Otra opción, si desea hacer esto solo una vez, configure un puerto de tramo en el punto de egreso y recopile datos usando tcpdump por un corto período. Solo asegúrese de eliminar el PCAP cuando haya terminado, ya que puede contener PII.

" Probing " es la palabra clave aquí.

Si a sus usuarios se les permite navegar en la web, entonces todo el tráfico a través de UDP 53, TCP 80/443 probablemente puede descartarse como un problema de "análisis de inmersión profunda" (Los análisis de flujo de red y la detección automática de anomalías pueden ayudar aquí si el conjunto de datos es masivo).

Sus sistemas conocidos (con IP conocidas) pueden conectarse legítimamente a otros servicios en IP conocidas. Aquellos pueden ser en la lista blanca .

Lo que queda son los bits interesantes (tráfico inesperado, no web). Y no importa cuán grande sea su red, todo lo que queda requiere investigación (y generalmente no hay mucha). Si después de la investigación, encuentra tráfico legítimo, puede agregarlo a la lista blanca y continuar el ciclo.