IP interno per la ricerca di IP esterni sconosciuti

0

Recentemente ho preso una classe CEH e hanno menzionato il controllo della ricerca di IP interni su IP esterni sconosciuti per determinare un attacco. Quale sarebbe il modo migliore per raccogliere e analizzare questi tipi di problemi? Soprattutto quando hai una grande rete come fai a tenerne traccia?

    
posta john_zombie 17.07.2018 - 16:43
fonte

2 risposte

1

Penso che il modo migliore sia utilizzare l'analisi NetFlow per il monitoraggio su larga scala. Se si dispone di un router Cisco, la raccolta NetFlow è integrata ed è possibile combinarla con la suite di strumenti open source SiLK per l'analisi link

NetFlow è stato inizialmente sviluppato da Cisco per scopi di fatturazione e non raccoglie nessuno dei payload, ma solo informazioni di riepilogo come:

  • Source IP
  • Dest IP
  • Porta di origine
  • Porta Dest
  • I pacchetti
  • Byte
  • Ora di inizio
  • Ora di fine
  • Bandiere
  • ecc.

Con questo è possibile analizzare rapidamente grandi quantità di dati, ho una installazione di SiLK usando l'IPFix di sostituzione NetFlow open source da IETF che riceve 150.000 eventi al secondo.

C'è un manuale gratuito per iniziare: link

Ciò farebbe esattamente ciò che si desidera e fornire vantaggi di sicurezza a lungo termine come il rilevamento delle tendenze e delle anomalie.

Un'altra opzione se vuoi farlo solo una volta, configura una porta span sul punto di uscita e raccogli dati usando tcpdump per un breve periodo. Assicurati di eliminare il PCAP quando hai finito dato che potrebbe contenere PII.

    
risposta data 17.07.2018 - 17:13
fonte
1

" Probing " è la parola chiave qui.

Se i tuoi utenti sono autorizzati a navigare sul Web, allora tutto il traffico su UDP 53, TCP 80/443 può probabilmente essere respinto come un problema di "analisi approfondita" (L'analisi di Netflow e il rilevamento automatico delle anomalie possono aiutare qui se il set di dati è enorme).

I tuoi sistemi noti (con IP noti) potrebbero legittimamente connettersi ad altri servizi su IP noti. Queste possono essere autorizzate .

Ciò che ti rimane sono i bit interessanti (traffico inaspettato, non web). E non importa quanto sia grande la tua rete, tutto ciò che è rimasto richiede un'indagine (e di solito non ce ne sono molte). Se, dopo un'indagine, trovi il traffico legittimo, puoi autorizzarlo e continuare il ciclo.

    
risposta data 17.07.2018 - 17:26
fonte

Leggi altre domande sui tag