Bloquea todo tipo de consultas desde ip [cerrado]

-2

Quiero verificar mi sistema de detección de intrusiones en la red (intrusiones físicas como dispositivos o dispositivos no autorizados en wifi / Ethernet). Hasta ahora todo está bien, pero me preguntaba si bloquearía cada consulta en mi servidor con iptables, mi servidor todavía detectará la intrusión. ¿Hay una manera de probar esto o es simplemente ridículo?

Aclaración:

Utilizo un servidor que sigue explorando toda la red (utilizando pings y escuchando paquetes que usan tcpdump) en busca de cualquier dispositivo nuevo que se conecte a la red y genere un informe. Lo que estoy intentando probar es que si configuro un dispositivo para ignorar las sondas del servidor, ¿aún se puede detectar?

Explicación extensa:

En realidad, hago pasivo y activo escaneando la red. Pasivo, escuchando paquetes extraños de dispositivos no autorizados y haciendo ping a direcciones aleatorias activas para encontrar a alguien que pueda estar simplemente escuchando. Entonces, ¿es realmente seguro, no?

    
pregunta Braiam 06.07.2013 - 01:57
fuente

2 respuestas

0

Si estoy leyendo esto correctamente (tiene un servidor rastreando el tráfico en una red y desea probar la configuración mediante una lista negra del servidor en un dispositivo cliente "no autorizado").

El servidor sniffing debería poder captar el tráfico de difusión como DHCPREQUEST y ARP del cliente, incluso si el cliente no responde directamente al servidor sniffing de cualquier manera.

Sus sondas activas pueden ser bloqueadas activamente por un usuario malintencionado y un dispositivo cliente. Si el dispositivo hace ALGO en la red o en Internet mientras está conectado, la escucha pasiva debe encontrar al menos las solicitudes de ARP del dispositivo no autorizado. Será MUY difícil detectar un dispositivo fraudulento que SOLO esté escuchando y que nunca envíe tráfico por cable.

    
respondido por el Daniel Widrick 06.07.2013 - 08:29
fuente
0

Una vez que haya incluido en la lista negra una IP determinada, ha detenido la intrusión: no hay nada que detectar porque se rechaza la conexión.

Puedes REGISTRAR paquetes desde un servidor dado (incluso aquellos que son rechazados); recibirá un mensaje enviado a syslog que puede analizar utilizando la herramienta o su elección y tomar la acción que elija.

Algo como esto:

# Log TCP SYN packets from SOURCE_IP sent to DEST_PORT
iptables -I INPUT -s ${SOURCE_IP} -p tcp --dport ${DEST_PORT} --syn -j LOG
    
respondido por el tylerl 06.07.2013 - 03:39
fuente

Lea otras preguntas en las etiquetas