El navegador web inicia la conexión en puertos no estándar. ¿Debería estar bloqueado?

0

Estoy haciendo un seguimiento de egreso en mi computadora. Una vez cada pocos días, encontraría algunas conexiones extrañas que se están registrando, las cuales creo que las inicia el navegador web a través de una conexión HTTP relacionada (pero no establecida).

IN= OUT=eth0 SRC=192.168.1.2 DST=54.242.237.165 PROTO=TCP SPT=33001 DPT=843 SYN URGP=0
IN= OUT=eth0 SRC=192.168.1.2 DST=69.46.36.10 PROTO=TCP SPT=57002 DPT=4000 SYN URGP=0

¿Debería haber algún motivo de preocupación, desde el punto de vista de la seguridad, de que estas conexiones esporádicas se realicen en puertos no estándar (es decir, no en 80,443)?

    
pregunta Question Overflow 07.09.2014 - 11:23
fuente

1 respuesta

1

Lo que debe hacer es resolver las direcciones IP para ver quién las usa y verificar las designaciones de puertos (IANA). Luego, agregar reglas de auditoría (aunque solo para clientes locales) le brinda al menos una marca de tiempo, proceso e identificación del usuario, forzar a los clientes a través de un proxy le otorga al menos una marca de tiempo y un nombre de host y paquetes de captura (ulogd, tcpdump, regla de Snort) Puede proporcionar detalles de la sesión. Combinado, eso debería proporcionar una mejor base para el análisis, ya que una dirección IP y un combo de puerto por sí solos no necesariamente demuestran mucho en estos días.

    
respondido por el unSpawn 07.09.2014 - 13:33
fuente

Lea otras preguntas en las etiquetas