Come rilevare / mitigare la scansione delle porte UDP usando OpenBSD e pf

Question

Come rilevare / mitigare la scansione delle porte UDP usando OpenBSD e pf

#1 da (1 voti)

1

Uno dei nostri firewall OpenBSD ha subito un flusso di traffico UDP da un host compromesso all'interno della nostra rete interna. Il traffico è stato scambiato tra l'host interno compromesso e un singolo host esterno ma attraverso un gran numero di porte UDP.

(traffico di esempio, i nomi sono stati modificati per proteggere gli innocenti)

all udp 1.2.3.4:7613 <- 10.0.0.10:49520       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:49520 -> 1.2.3.4:7613       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:4097 <- 10.0.0.10:60908       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:60908 -> 1.2.3.4:4097       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:32541 <- 10.0.0.10:37535       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:37535 -> 1.2.3.4:32541       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:33677 <- 10.0.0.10:59357       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:59357 -> 1.2.3.4:33677       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:37129 <- 10.0.0.10:51998       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:51998 -> 1.2.3.4:37129       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:22155 <- 10.0.0.10:57033       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:57033 -> 1.2.3.4:22155       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:43867 <- 10.0.0.10:60893       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:60893 -> 1.2.3.4:43867       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:52591 <- 10.0.0.10:53902       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:53902 -> 1.2.3.4:52591       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:32984 <- 10.0.0.10:56988       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:56988 -> 1.2.3.4:32984       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:38585 <- 10.0.0.10:56435       NO_TRAFFIC:SINGLE
all udp 10.0.0.10:56435 -> 1.2.3.4:38585       SINGLE:NO_TRAFFIC
all udp 1.2.3.4:8121 <- 10.0.0.10:41506       NO_TRAFFIC:SINGLE

Come possiamo rilevare automaticamente questo tipo di traffico abusivo (date le capacità di OpenBSD / pf) e quindi reagire in modo appropriato vietando l'IP incriminato?

Abbiamo già una tabella di regole e pf che contiene indirizzi IP vietati. Sarebbe ideale se una soluzione potesse sfruttare questo costrutto esistente.

(Mi sembra che questa domanda potrebbe essere più adatta per unix.SE, l'ho postata qui a causa della natura specifica della sicurezza e della sua relazione con i firewall / ID. Se appartiene da quelle parti, lascia che sia così!)

firewalls ids openbsd

posta Jeff Stice-Hall 23.10.2014 - 22:52

fonte

1 risposta

Leggi altre domande sui tag firewalls ids openbsd

bit.ly non è sicuro e una pagina di attacco? [duplicare] Come gestire le credenziali di accesso all'account del sito Web legacy

score 1 · Answer 1

Dai un'occhiata alla regola sfPortscan per Snort. È progettato per rilevare il traffico su molte porte diverse. Questo normalmente indicherebbe uno strumento di portscanning come nmap è in uso, ma dovrebbe attivarsi sulla situazione che descrivi.

D'altra parte, dal momento che hai già rilevato l'attacco, presumo che tu abbia già eliminato la minaccia (cancellato il disco rigido del PC infetto o qualsiasi altra cosa.) Quali sono le probabilità che questa stessa vulnerabilità venga sfruttata allo stesso modo di nuovo dallo stesso malware? La buona notizia è che se installi un IDS come Snort e ti iscrivi alle loro regole, ti aiuterà a proteggerti continuamente dalle nuove minacce.