Re: [rlug] Monitorizare trafic prin router
În 2018-11-01 19:31, Mihai Osian a scris: Salut, Am o retea intr-o mica firma cu vreo 20 de calculatoare. In ultima luna firma a fost listata de mai multe ori pe Spamhaus, care pretinde ca a depistat conexiuni de la IP-ul nostru la un sinkhole pe portul 80. Pt curiosi, Spamhaus zice ca adresa de sinkhole e 184.105.192.2, care corespunde unui botnet controlat de la 'differentia.ru'. PC-urile interne au antivirusi si update-uri la zi, nici unul nu spune nimic. In momentul de fata cele 20 de PC-uri se conecteaza la internet printr-un router TP-Link. Uite o alta varianta: - iei un router Mikrotik de cam 300 lei(hex S) - si acolo poti face usor regulile pe care le vrei si care poate fi si jurnalizat pe router, si log-le de pe ruter le trimiti pe masina linux(scop de arhivare sau inspectare ulterioara) - tot pe router mere facuta o inregistrare statica in dns care sa indice host-ul 'differentia.ru' catre un IP inexistent - poti face pe ruter si inspectie de trafic(in gen tcpdump) real-time - si multe altele(port mirroring catre un IDS pe linux gen suricata) In reteaua interna exista si un server Linux care ofera servicii de mail/web/etc pentru domeniul firmei. Ma gandesc sa pun Linuxul pe post de router si sa incerc sa aflu care statie de lucru initiaza conexiuni spre IP-ul mentionat de Spamhaus. Am nevoie de o sugestie referitor la ce s-ar putea folosi pentru a monitoriza traficul prin router. Imi trebuie ceva care sa inregistreze perechi de IP-uri sursa (interna) - destinatie. As putea sa crosetez niste scripturi cu tcpdump sau iptables, dar ma gandesc ca probabil exista deja ceva gata scris. Idei ? Multumesc, Mihai ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Monitorizare trafic prin router
On Thu, 1 Nov 2018 19:55:19 +0100, Mihai Osian wrote: > On 11/1/18 7:14 PM, Dumitru Mișu Moldovan wrote: […] > > Dar s-ar putea să vrei mai mult de atât, anume să previi așa ceva de acum > > înainte. Pentru asta ai varii soluții de tip IDS: SNORT, Suricata și or > > mai fi… > > > Intr-adevar, pentru problema curenta ajunge o linie in iptables dar ma > gandesc la prevenit/detectat chestii similare in viitor. Mersi de > Snort/Suricata - ma apuc de citit. O soluție alternativă (poate mai simplă) ar fi reguli pentru firewall pentru a evita conexiunile la domeniile și IP-urile problematice. La o primă căutare am găsit https://iplists.firehol.org/. Poate are altcineva experiență cu ceva de genul ăsta… pgpwfIbFcTSgt.pgp Description: PGP signature ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Monitorizare trafic prin router
On 11/1/18 7:04 PM, Adrian Minta wrote: Salut, daca stii exact adresa destinatie e suficient sa faci o regula de iptables cu log. Daca sunt suficiente resurse analiza unor astfel de probleme se poate face folosind captura de flow-uri: http://www.linux-magazine.com/Issues/2016/185/Metadata-Analysis De asemenea, daca sunt $$ si daca aspectul securitatii conteaza, se recomanda folosirea unui UTM cu abonament la o lista de botneti. Chiar si cu un pfSense poti face destul de multe lucruri: https://www.networkcomputing.com/careers/using-open-source-tools-malware-detection/605957275 https://www.raedts.biz/security/recommended-blocklists-for-pfblocker-pfsense/ Salut, Mersi de linkuri, o sa le studiez. Softflow pare interesant. Securitatea conteaza intotdeauna dar bugetul e limitat. E o firma de instalatii sanitare, nu vor decat "sa mearga mailurile" si sa isi poata face facturile. Mihai ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Monitorizare trafic prin router
On 11/1/18 7:14 PM, Dumitru Mișu Moldovan wrote: On Thu, 1 Nov 2018 18:31:09 +0100, Mihai Osian wrote: Am o retea intr-o mica firma cu vreo 20 de calculatoare. In ultima luna firma a fost listata de mai multe ori pe Spamhaus, care pretinde ca a depistat conexiuni de la IP-ul nostru la un sinkhole pe portul 80. Pt curiosi, Spamhaus zice ca adresa de sinkhole e 184.105.192.2, care corespunde unui botnet controlat de la 'differentia.ru'. PC-urile interne au antivirusi si update-uri la zi, nici unul nu spune nimic. In momentul de fata cele 20 de PC-uri se conecteaza la internet printr-un router TP-Link. In reteaua interna exista si un server Linux care ofera servicii de mail/web/etc pentru domeniul firmei. Ma gandesc sa pun Linuxul pe post de router si sa incerc sa aflu care statie de lucru initiaza conexiuni spre IP-ul mentionat de Spamhaus. Am nevoie de o sugestie referitor la ce s-ar putea folosi pentru a monitoriza traficul prin router. Imi trebuie ceva care sa inregistreze perechi de IP-uri sursa (interna) - destinatie. As putea sa crosetez niste scripturi cu tcpdump sau iptables, dar ma gandesc ca probabil exista deja ceva gata scris. Idei ? Nici nu trebuie să „croșetezi” prea mult. Cu iptables poți face DROP la pachetele către acel IP (eventual în combinație cu portul 80?), iar acțiunea o poți înregistra în logul de sistem. Dar s-ar putea să vrei mai mult de atât, anume să previi așa ceva de acum înainte. Pentru asta ai varii soluții de tip IDS: SNORT, Suricata și or mai fi… Intr-adevar, pentru problema curenta ajunge o linie in iptables dar ma gandesc la prevenit/detectat chestii similare in viitor. Mersi de Snort/Suricata - ma apuc de citit. Mihai ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Monitorizare trafic prin router
On Thu, 1 Nov 2018 18:31:09 +0100, Mihai Osian wrote: > > Am o retea intr-o mica firma cu vreo 20 de calculatoare. In ultima > luna firma a fost listata de mai multe ori pe Spamhaus, care pretinde ca > a depistat conexiuni de la IP-ul nostru la un sinkhole pe portul 80. Pt > curiosi, Spamhaus zice ca adresa de sinkhole e 184.105.192.2, care > corespunde unui botnet controlat de la 'differentia.ru'. PC-urile > interne au antivirusi si update-uri la zi, nici unul nu spune nimic. In > momentul de fata cele 20 de PC-uri se conecteaza la internet printr-un > router TP-Link. > > In reteaua interna exista si un server Linux care ofera servicii de > mail/web/etc pentru domeniul firmei. Ma gandesc sa pun Linuxul pe post > de router si sa incerc sa aflu care statie de lucru initiaza conexiuni > spre IP-ul mentionat de Spamhaus. Am nevoie de o sugestie referitor la > ce s-ar putea folosi pentru a monitoriza traficul prin router. Imi > trebuie ceva care sa inregistreze perechi de IP-uri sursa (interna) - > destinatie. As putea sa crosetez niste scripturi cu tcpdump sau > iptables, dar ma gandesc ca probabil exista deja ceva gata scris. Idei ? Nici nu trebuie să „croșetezi” prea mult. Cu iptables poți face DROP la pachetele către acel IP (eventual în combinație cu portul 80?), iar acțiunea o poți înregistra în logul de sistem. Dar s-ar putea să vrei mai mult de atât, anume să previi așa ceva de acum înainte. Pentru asta ai varii soluții de tip IDS: SNORT, Suricata și or mai fi… pgpMDPqp64xeI.pgp Description: PGP signature ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
Re: [rlug] Monitorizare trafic prin router
Salut, daca stii exact adresa destinatie e suficient sa faci o regula de iptables cu log. Daca sunt suficiente resurse analiza unor astfel de probleme se poate face folosind captura de flow-uri: http://www.linux-magazine.com/Issues/2016/185/Metadata-Analysis De asemenea, daca sunt $$ si daca aspectul securitatii conteaza, se recomanda folosirea unui UTM cu abonament la o lista de botneti. Chiar si cu un pfSense poti face destul de multe lucruri: https://www.networkcomputing.com/careers/using-open-source-tools-malware-detection/605957275 https://www.raedts.biz/security/recommended-blocklists-for-pfblocker-pfsense/ -- Best regards, Adrian Minta ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug_lists.lug.ro
