Localizando um IP do host privado (NAT) usando dados de destino histórico

Navegue suas respostas
3

A questão:
Um cliente privado (NAT) desconhecido está infectado com malware e está tentando acessar um servidor Bot em datas / horários aleatórios.

Como sabemos sobre isso:
Recebemos avisos / alertas de tráfego de bots de REN-ISAC . Infelizmente, não os recebemos até o dia seguinte após o ocorrido. O que eles nos fornecem é:

  • O endereço de origem (do firewall)
  • Os endereços de destino (varia, mas eles estão indo para a sub-rede alocada para um ISP alemão)
  • A porta de origem (que varia - portas dinâmicas).

Pergunta:
Qual seria a melhor abordagem para encontrar esse host interno (historicamente) com um Cisco ASA como firewall?

Estou chutando bloqueando qualquer coisa para o (s) endereço (s) de destino, e registrar esse tipo de tráfego / acesso pode me permitir encontrar o host de origem, mas não tenho certeza de qual ferramenta comando seria o mais útil.

Eu vi o Netflow gerar algumas respostas quando se trata de registro, mas estou confuso com sua associação de Registro em log, NAL e nBAR e como eles se relacionam com o Netflow.

    
por l0c0b0x 29.05.2010 / 00:58

1 resposta

1

Em relação a perguntas do @jowqwerty, estou assumindo que você é responsável pelo Cisco ASA e pela rede interna por trás dele, correto?

Se sim, você está no caminho certo. Eu recomendaria usar os recursos de registro e / ou captura do ASA para diminuir o tráfego.

Quanto mais você puder restringir o destino, melhor. Você menciona ter a sub-rede de destino, você tem o protocolo / porta (s) de destino também? Eu criaria uma ACL que correspondesse ao destino e registrasse ocorrências.

Por exemplo: 

ip access-list extended find_infected
 permit <tcp/udp> any <destination subnet> <destination mask> eq <destination port> log

Em seguida, aplique uma tal ACL à interface interna do ASA. Em seguida, faça referência cruzada a futuros relatórios de abuso com suas entradas de registro.

O recurso de captura se baseia nessa técnica de solução de problemas, permitindo que você capture o tráfego no formato PCAP. Então você pode analisá-lo ainda mais com ferramentas como o WireShark.

ASA / PIX / FWSM: Captura de pacotes usando o exemplo de configuração CLI e ASDM

    
por 30.06.2010 / 18:18

Tags

QoS - dividir a largura de banda em todos os IPs durante alta carga Estratégias de backup para servidores de arquivos baseados em linux