Come può un utente malintenzionato conoscere gli IP del gateway di 2 endpoint VPN?

2

Il mio ufficio ha due router Sonicwall ciascuno in una posizione fisica diversa e con due ISP diversi.

C'è un tunnel SSL-VPN tra i due.

Oggi ho notato che lo stesso indirizzo IP cinese ha tentato di connettersi agli IP esterni di entrambi questi dispositivi quando provenivano dalla stessa porta.

Fonte: porta 61.160.213.108 10000 Destinazione: ogni IP esterno delle nostre SonicWalls e diverse porte

Qualche idea su come potrebbero sapere che c'era una relazione tra i due router?

    
posta e_hoog 17.12.2014 - 20:37
fonte

2 risposte

1

Si presume che l'attaccante abbia conoscenza di entrambi i dispositivi. L'indirizzo particolare che hai elencato non è estraneo a attacchi casuali . SANS Internet Storm Center lo elenca, è apparso anche su altri watch list. Si può concludere che questo è parte di una botnet o di qualche altra macchina automatica di scansione / hacker / cattivi.

Botnet, macchine compromesse, ecc. hanno la tendenza a generare enormi quantità di scansioni di ricognizione contro numerose quantità di macchine. Pensaci, se tu fossi un aggressore, perché non dovresti sfruttare una macchina per scansionare molti? Ciò che queste macchine fanno, è setacciare casualmente, e o definire blocchi di rete, enumerare ciò che è visibile, ciò che non lo è e passare a volte altre macchine per eseguire lo sfruttamento.

Considera quanto segue:

Attacker Botnet
Recon machine: 61.160.213.108
Exploit machine: 10.10.1.2

La macchina di ricognizione esce perlustrando la rete per potenziali vittime. Quando / se li trova, di solito li trasferisce su un'altra macchina per eseguire un exploit o un attacco bruteforce. Nel caso in cui tu fossi vigile e notassi una sonda, potresti bloccare la Macchina di Ricognizione, ma la realtà è che la macchina exploit probabilmente parteciperà o implementerà l'attacco.

Mentre percepisci che la Recon Machine è a conoscenza della tua infrastruttura, c'è un'alta probabilità che la sonda iniziale sia casuale. Quindi ovviamente c'è l'alternativa. Qualcuno sta prendendo di mira la tua rete. Nel caso in cui lo fossero, non è difficile ottenere informazioni sulle società e sulle reti ad esse associate. Considera una compagnia casuale: ACME, se io stessi prendendo di mira la loro rete, potrei usare Arin e dire semplicemente: "Hey Arin, mostrami quali reti potrebbero essere associate ad ACME" e con queste informazioni, posso scegliere come target ogni rete che trovo: / p>

Ci sono molti modi in cui qualcuno può bersagliarti, ma la mia ipotesi è che ogni tua rete trovata fosse probabilmente casuale.

    
risposta data 17.12.2014 - 22:26
fonte
0

Una probabile possibilità è che stessero semplicemente scansionando tutti gli indirizzi IP per quel particolare servizio e colpissero entrambi i sistemi. ZMap afferma di poter eseguire la scansione dell'intero spazio IPv4 in meno di 45 minuti.

    
risposta data 17.12.2014 - 22:23
fonte

Leggi altre domande sui tag