On Thu, 1 Nov 2018 18:31:09 +0100, Mihai Osian <mihai.os...@gmail.com> wrote: > > Am o retea intr-o mica firma cu vreo 20 de calculatoare. In ultima > luna firma a fost listata de mai multe ori pe Spamhaus, care pretinde ca > a depistat conexiuni de la IP-ul nostru la un sinkhole pe portul 80. Pt > curiosi, Spamhaus zice ca adresa de sinkhole e 184.105.192.2, care > corespunde unui botnet controlat de la 'differentia.ru'. PC-urile > interne au antivirusi si update-uri la zi, nici unul nu spune nimic. In > momentul de fata cele 20 de PC-uri se conecteaza la internet printr-un > router TP-Link. > > In reteaua interna exista si un server Linux care ofera servicii de > mail/web/etc pentru domeniul firmei. Ma gandesc sa pun Linuxul pe post > de router si sa incerc sa aflu care statie de lucru initiaza conexiuni > spre IP-ul mentionat de Spamhaus. Am nevoie de o sugestie referitor la > ce s-ar putea folosi pentru a monitoriza traficul prin router. Imi > trebuie ceva care sa inregistreze perechi de IP-uri sursa (interna) - > destinatie. As putea sa crosetez niste scripturi cu tcpdump sau > iptables, dar ma gandesc ca probabil exista deja ceva gata scris. Idei ?
Nici nu trebuie să „croșetezi” prea mult. Cu iptables poți face DROP la pachetele către acel IP (eventual în combinație cu portul 80?), iar acțiunea o poți înregistra în logul de sistem. Dar s-ar putea să vrei mai mult de atât, anume să previi așa ceva de acum înainte. Pentru asta ai varii soluții de tip IDS: SNORT, Suricata și or mai fi…
pgpMDPqp64xeI.pgp
Description: PGP signature
_______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro