公司自從3月開始,輸出流量開始異常.不知為何?
因為3月公司有買進4台中古電腦(公司電腦全部都是中古的),所以我去查這4台電腦.但看不出異常..
我請我懷疑的那四台每天一台不關機(星期一~四),但流量都正常..
可是今天我看流量嚇了一跳....本來是上班才會有大量輸出流量..這周竟然誇張到離譜..尤其是下班時間電腦都關機了..
明明都沒電腦開機啊(server除外)...雖然我在4/13有新裝了一台win2008,4/19在這台上又裝了
sql2008+erp..可異常是在3月初就開始..應該不是我新莊的這台有問題吧~~
今天的流量超恐怖的
請問藍色流量到底是怎麼產生的??要怎麼檢查與排除啊???
公司除了mail,沒有對外的輸出啊?
目前頻寬是 1m/m 對稱式~~
已邀請的邦友 {{ invite_list.length }}/5
既然有資安艦隊提供的FG-60B就不要浪費
下載這個安裝在PC... 三十天試用 應該夠你查明原因了
Full functional 30 days Evaluation license for free trial.
http://www.manageengine.com/products/firewall/download.html
去FG-60B 把Log導到那台PC... (試過80C & 50A都OK)
用Sniffer軟體接在Core switch或Router上port mirror看看有啥不知名的流量在吃頻寬
從防火牆的LOG上也可以看出一些問題~
看來都是在上傳喔
這個看來比較像是對外攻擊
或是如果有架設MAIL的話
就是廣發垃圾郵件吧
如果沒有網管設備可以察看LOG
網路上很多免費的單機流量軟體
自己架一台linux放在LAN和GW間當bridge,然後跑ntop之類觀察觀察吧
....
可以使用currports軟體觀察本機對外的連線狀態,
或是安裝wireshark軟體抓取網路封包後,
再點選[Statistics] --> [Converstations],
可以更詳細看出網路連線的狀態。
因為貴公司有使用中古電腦,
所以如果有早期一般非Switch的HUB,
也可以臨時串接在Gateway上,
則可以從其他port抓取進出的封包。
另外提醒如果有架設無線網路AP,
也要注意是否有被侵入連線的問題。
排除client端的電腦,可能就是你新上機的那台server吧
erp是公司自已寫的嗎?還是買的
是否會上傳資料到廠商那邊(備份?)
mail server有查看過log檔了嗎
如果網路有區分server和client
可以用中斷網路的方式
監測流量是否有降下來
明確找出兇手
不然封包分析也是個方法
以你的內容來看
兇手應該是mail server
可能是被當跳板吧
防火牆規則一條條關掉然後觀察流量看看先!
這是我的建議,當然如果原本規則包含的來源範圍太大,則自行細拆規則抓毛病,因為forti的報表真的挺不容易看的~~~
常常看到友邦有購買資安X隊後
雖然有送Fortigate產品
還是遇到很多資安問題與困擾
如果這樣把UTM拿來當IP分享器用
感覺真的不如當初找一家專業一點的廠商
跟他購買UTM產品並做好服務
預算還花的值得一點
關於所提問題,我有以下看法
Fortigate在設備初始值中
本就已經內定一條Internal(Lan)=> WAN1的防火牆政策
只是其中你有沒有購買UTM服務的授權
如果有UTM授權,
可以同時啟動AV,IPS,AC,WF功能
會有極佳的防護效果
(AC= Application control, WF= Web Filter)
如果需要找出問題的員工
記得要開啟UTM Log(特別在100以下的機型)
因為很多Log相關設定內建是disable,需要手動啟動
"常常定期"仔細觀察LOG記錄
不但可以發掘問題,
同時可以知道網路使用的情況
對公司管理網路有莫大的幫助
以上是小弟的淺見
iThome鐵人賽
看影片追技術