Trattare con le porte "trojan"

2

Abbiamo un SOC che "monitora" la nostra attività di rete, fondamentalmente raccoglie tutti i log da tutti i nostri firewall e crea report.

Abbiamo una rete enorme con centinaia di server e fino a 2000 utenti e tutte le nostre subnet / filiali sono firewall. Questi firewall si alimentano in arcsight al SOC che a sua volta torna da noi come report.

Questi rapporti contengono tutte le informazioni di source:port e dest:port da tutte le nostre sottoreti.

Ho controllato questi dati e ho visto che molti di questi porti sono classificati come "trojan", "minaccia" ecc. Allo stesso tempo molti di questi sono necessari per gli usi quotidiani.

Quali sono le migliori pratiche in merito?

    
posta allwynmasc 03.08.2016 - 13:20
fonte

1 risposta

4

Verifica che l'host segnalato esegua un'applicazione legittima sulla porta.

Ad esempio, la porta 8080tcp è la porta alternativa predefinita per HTTP. È utilizzato da molte applicazioni legittime.

Cerca ciò che l'host di destinazione dovrebbe essere in esecuzione nel tuo database di gestione della configurazione (tu fai hai un CMDB, vero?). Quando deve essere eseguito, ad esempio, un server delle applicazioni Apache Tomcat (che utilizza la porta 8080), questo è inteso come comportamento e innocuo. Verifica che il server Tomcat funzioni effettivamente. Quando lo fa, significa che la porta è in uso e non può essere utilizzata da alcun malware senza dover uccidere il processo Tomcat, e ciò provocherebbe un reclamo da parte di chiunque ne avesse bisogno. Aggiungi una regola di filtro al tuo sistema di reporting per impedire ulteriori rapporti su quel server e sulla porta 8080 da mostrare. Tali regole di filtro sono importanti perché i falsi positivi presenti nei rapporti distraggono semplicemente da eventuali aspetti positivi. Potresti anche voler aggiungere una regola al tuo sistema di segnalazione che genera un avviso quando la combinazione ip: port non non compare più. Significa che il server è inattivo o che è stato riproposto per non eseguire più quell'applicazione e devi aggiornare le regole del filtro e il tuo CMDB.

Tuttavia, quando trovi quella porta aperta su un host che non dovrebbe eseguire nulla che potrebbe usare 8080, vale la pena investigare. Accedere al server, eseguire netstat e verificare quale applicazione ha aperto quella porta. Quindi usa il tuo stesso giudizio per decidere se è legittimo o meno.

    
risposta data 03.08.2016 - 17:12
fonte

Leggi altre domande sui tag