IP sconosciuto nel mio log VPN IPsec. Come?

0

Sto lavorando su una VPN site-to-site dal nostro sito principale / hub (Untangle NG Firewall) e un nuovo sito co-lo / remoto (Cisco ASA 5505). Ho problemi a portare il tunnel, quindi sto copiando / incollando i log in Notepad ++ e trovo questo IP che non riconosco: 216.218.206.86 (dal log) Jan 27 18:26:33 Untangle charon: 07[NET] sending packet: from 192.168.100.0[500] to 216.218.206.86[40383] (40 bytes)

La ricerca GeoIP (tramite MaxMind.com) lo elenca come link da Fremont, CA. Ho letto cosa fanno e apparentemente sono bravi ragazzi in InfoSec (dal loro sito):
"La Fondazione Shadowserver sta attualmente intraprendendo un progetto per cercare dispositivi accessibili pubblicamente che abbiano servizi in esecuzione che non dovrebbero essere esposti perché sono triviali da sfruttare o sfruttare. L'obiettivo di questo progetto è identificare gli host che hanno esposto questi tipi di servizi e segnalarli ai proprietari della rete per la riparazione. "

Tutto sommato va bene, suppongo, ma qualcuno può dirmi: come è arrivato questo IP nel mio log IPvpn? Untangle partecipa volentieri a ricognizione con loro? Sembra strano che lo facciano e informano i loro clienti paganti, se così fosse. Grazie.

    
posta SamAndrew81 29.01.2017 - 23:19
fonte

1 risposta

1

Non mi fiderei troppo in un sito web solo perché affermano di essere "i bravi ragazzi". Se avessi un server malevolo, scriverò sicuramente la stessa cosa. Riesci a rintracciare quale delle tue macchine interne sta generando il traffico? Se sì, ecco alcuni suggerimenti:

  • Accedi alla macchina ed esegui una query netstat (netstat -ano), quindi sarai in grado di trovare quale processo si connette a quell'IP in quella porta.
  • Assicurati di avere un antivirus installato sulla macchina, se necessario, aggiornalo ed esegui una scansione completa.

Se non sei in grado di determinare l'origine del traffico, puoi catturare il traffico sul firewall e utilizzare wireshark per analizzare il tipo di dati che vengono trasmessi.

    
risposta data 30.01.2017 - 12:19
fonte

Leggi altre domande sui tag