monitorizza la scansione delle porte sullo stesso segmento

Question

monitorizza la scansione delle porte sullo stesso segmento

#1 da (2 voti)
#2 da (2 voti)

4

se c'è una scansione delle porte sullo stesso segmento e non raggiunge affatto il firewall, non è rilevabile da nulla. c'è qualche soluzione a questo? magari usando Windows FW su una stazione di lavoro per monitorare? C'è un modo per creare magari una regola definita dall'utente che utilizza un firewall di Windows predefinito, che rileva quando ci sono molti tentativi di connessione all'host utilizzando molte porte e quindi crea un evento di sicurezza? qualcosa del genere può essere applicato usando gpo o qualcosa del genere?

windows monitoring firewalls

posta Chechik 14.12.2014 - 13:13

fonte

2 risposte

Leggi altre domande sui tag windows monitoring firewalls

Sicurezza del database Vulnerabilità XSS nella risposta allo script non elaborato?

score 2 · Answer 1

Non sono sicuro di quello che stai chiedendo, quindi risponderò in base a ciò che capisco:

if theres a port scan on the same segment and it does not reach the firewall at all, it is not detectable by anything.

Questo ha poco senso. Se è presente una scansione delle porte sullo stesso NETWORK e non raggiunge il firewall, non è rilevabile da nulla? Considera la seguente rete interna:

Network     10.10.10.0
Subnet      255.255.255.0
Router      10.10.10.1
Firewall    10.10.10.2

Se sono su 10.10.10.3 e eseguo la scansione 10.10.10.4, la mia scansione della porta potrebbe non essere rilevata sul firewall a seconda della configurazione. C'era una volta, c'era la scansione della porta " PortMagic " rivelatore per Windows, ma non lo installerei su QUALSIASI ma un PC di casa. Non è uno strumento commerciale, e anche se lo fosse, probabilmente confonderai i tuoi utenti o li rendi paranoici.

In secondo luogo, gli utenti malintenzionati possono manipolare il portscanning usando i decoy e, a meno che non si configurino correttamente questi strumenti automatici, si sta facendo più male che bene. Ad esempio, se hai configurato un blocco automatico, considera che eseguo la scansione della macchina con l'IP di 10.10.10.10 con la seguente sintassi:

nmap -sS -vvv -D 10.10.10.2,10.10.10.1 10.10.10.10

-D 10.10.10.2,10.10.10.1 questi decoy che sto usando saranno bloccati dal 10.10.10.10, il che significa che la macchina sarà offline. Solo perché una macchina viene sottoposta a portscanning, non significa che qualcuno HA hackerare quella macchina. Tutto si riduce a stabilire se la macchina è vulnerabile e se tale vulnerabilità è EXPLOITABLE .

Pensa a una casa. Ogni casa ha finestre. Ogni casa è vulnerabile . La tua casa ha una guardia di sicurezza di turno, con i Rottweiler all'interno di una recinzione attorno al perimetro. Posso assicurarti che la tua casa non è sfruttabile. Almeno non facile come la casa senza protezioni. Tuttavia, anche questa analogia non è eccezionale perché alcune case hanno più finestre di altre. Cosa c'è dietro quelle finestre? (ad esempio, quali servizi stai eseguendo che qualcuno può sfruttare).

score 2 · Answer 2

In breve , dovrai utilizzare uno sniffer di pacchetti per rilevare il traffico non è destinato al tuo computer. Ciò richiede che l'interfaccia di rete sia impostata in modalità "monitor" per sfruttare il modo in cui le reti instradano i pacchetti. Non tutte le schede wireless possono farlo, dovrai vedere se il tuo è compatibile.

Due esempi di sniffer di rete sono Wireshark e tcpdump .

Se vuoi fare un ulteriore passo avanti, utilizza un IDS come Snort , come mostrato in questi esempi di topologia di rete . Questo sarebbe il modo ottimale per identificare e proteggere il traffico dannoso destinato alla tua rete.