În 2018-11-01 19:31, Mihai Osian a scris:
Salut,
Am o retea intr-o mica firma cu vreo 20 de calculatoare. In ultima
luna firma a fost listata de mai multe ori pe Spamhaus, care pretinde
ca a depistat conexiuni de la IP-ul nostru la un sinkhole pe portul
80. Pt curiosi, Spamhaus zice ca adresa de sinkhole e 184.105.192.2,
care corespunde unui botnet controlat de la 'differentia.ru'. PC-urile
interne au antivirusi si update-uri la zi, nici unul nu spune nimic.
In momentul de fata cele 20 de PC-uri se conecteaza la internet
printr-un router TP-Link.
Uite o alta varianta:
- iei un router Mikrotik de cam 300 lei(hex S)
- si acolo poti face usor regulile pe care le vrei si care poate fi si
jurnalizat pe router,
si log-le de pe ruter le trimiti pe masina linux(scop de arhivare sau
inspectare ulterioara)
- tot pe router mere facuta o inregistrare statica in dns care sa indice
host-ul 'differentia.ru'
catre un IP inexistent
- poti face pe ruter si inspectie de trafic(in gen tcpdump) real-time
- si multe altele(port mirroring catre un IDS pe linux gen suricata)
In reteaua interna exista si un server Linux care ofera servicii de
mail/web/etc pentru domeniul firmei. Ma gandesc sa pun Linuxul pe post
de router si sa incerc sa aflu care statie de lucru initiaza conexiuni
spre IP-ul mentionat de Spamhaus. Am nevoie de o sugestie referitor la
ce s-ar putea folosi pentru a monitoriza traficul prin router. Imi
trebuie ceva care sa inregistreze perechi de IP-uri sursa (interna) -
destinatie. As putea sa crosetez niste scripturi cu tcpdump sau
iptables, dar ma gandesc ca probabil exista deja ceva gata scris. Idei
?
Multumesc,
Mihai
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro