Indicación interna de IP a IP externas desconocidas

0

Hace poco tomé una clase de CEH y mencionaron la verificación del sondeo de IP interna a IP desconocidas externas para determinar un ataque. ¿Cuál sería la mejor manera de reunir y analizar este tipo de problemas? Especialmente cuando tienes una red grande, ¿cómo haces un seguimiento de esto?

    
pregunta john_zombie 17.07.2018 - 16:43
fuente

2 respuestas

1

Creo que la mejor manera es usar el análisis de NetFlow para el monitoreo a gran escala. Si tiene un enrutador Cisco, tienen la colección NetFlow incorporada y puede combinarla con el conjunto de herramientas de código abierto SiLK para su análisis enlace

NetFlow fue desarrollado inicialmente por Cisco para fines de facturación y no recopila nada de la carga útil, solo información resumida como:

  • IP de origen
  • Dest IP
  • puerto de origen
  • Puerto de destino
  • Paquetes
  • bytes
  • hora de inicio
  • Hora de finalización
  • Banderas
  • etc ...

Con esto, puede analizar rápidamente grandes cantidades de datos, tengo una instalación de SiLK utilizando el IPFix de reemplazo de NetFlow de código abierto del IETF que obtiene 150,000 eventos por segundo.

Hay un manual gratuito para comenzar: enlace

Esto haría exactamente lo que desea y proporcionaría beneficios de seguridad a largo plazo, como tendencias y detección de anomalías.

Otra opción, si desea hacer esto solo una vez, configure un puerto de tramo en el punto de egreso y recopile datos usando tcpdump por un corto período. Solo asegúrese de eliminar el PCAP cuando haya terminado, ya que puede contener PII.

    
respondido por el Joe M 17.07.2018 - 17:13
fuente
1

" Probing " es la palabra clave aquí.

Si a sus usuarios se les permite navegar en la web, entonces todo el tráfico a través de UDP 53, TCP 80/443 probablemente puede descartarse como un problema de "análisis de inmersión profunda" (Los análisis de flujo de red y la detección automática de anomalías pueden ayudar aquí si el conjunto de datos es masivo).

Sus sistemas conocidos (con IP conocidas) pueden conectarse legítimamente a otros servicios en IP conocidas. Aquellos pueden ser en la lista blanca .

Lo que queda son los bits interesantes (tráfico inesperado, no web). Y no importa cuán grande sea su red, todo lo que queda requiere investigación (y generalmente no hay mucha). Si después de la investigación, encuentra tráfico legítimo, puede agregarlo a la lista blanca y continuar el ciclo.

    
respondido por el schroeder 17.07.2018 - 17:26
fuente

Lea otras preguntas en las etiquetas