Rilevamento di attività di rete insolite

3

Ho una piccola rete aziendale di ca. 15 dispositivi, alcuni switch e due router. Recentemente mi è venuto in mente che tutte le misure di sicurezza che ho fatto non sono molto produttive: blocco alcune porte (o per essere più specifico, tutte le porte tranne alcune) o monitoro retro-attivamente ciò che sta accadendo nella rete. / p>

Ad esempio, ho un dispositivo NAS che normalmente non ha alcuna comunicazione con Internet. Sono l'unico che lo registra (che potrei anche confermare dai log del server). Tuttavia, utilizzando gli strumenti di monitoraggio del traffico nel mio Ubiquiti EdgeRouter Lite ho potuto vedere che il dispositivo aveva comunicazioni SSL con qualcosa / qualcuno da qualche parte. Poiché non ho alcun traffico permanente che annusa, non ho idea né modo di scoprire perché o con chi sia successo.

Esiste una soluzione fattibile per una piccola impresa per gestire meglio questo tipo di situazioni, ad es. impostare alcuni modelli di comportamento abituali per i dispositivi di rete e iniziare a monitorarli e creare avvisi quando il comportamento osservato si discosta dai modelli abituali presunti? Ad esempio, vorrei specificare che se il server 192.168.199.100 comunica con qualsiasi dispositivo in Internet, dovrei ricevere un messaggio di posta elettronica, o se il server 192.168.199.101 utilizza qualsiasi protocollo eccetto FTP con un server al di fuori di un paese specifico dovrebbe essere bloccato dalla comunicazione con Internet.

    
posta simon 03.03.2016 - 22:45
fonte

1 risposta

2

Penso che sia fattibile per una piccola impresa a condizione che qualcuno possa dedicare un po 'di tempo a creare uno strumento gratuito con le regole necessarie per il proprio ambiente (sto pensando a Snort ). Vedo che sei uno sviluppatore della tua reputazione su SO, quindi presumo che ci sia qualcuno che possa farlo. È solo questione di passare il tempo a mettere a posto lo strumento e scrivere le regole (e tenerle aggiornate e rispondere agli avvisi).

Detto questo, Snort farà esattamente quello che vuoi. Ha avvisi in tempo reale che possono inviare e-mail e bloccare il traffico indesiderato. I set di regole Snort sono spesso alla base di altri sistemi di Intrusion Detection / Prevent.

Un buon esempio del lavoro che potresti fare è rivelato in queste domande: link

link

link

    
risposta data 03.03.2016 - 23:53
fonte

Leggi altre domande sui tag