請問企業網路由內部攻擊外部怎麼處理？

網路資訊安全攻擊

cat00814 2014-05-19 17:01:43 ‧ 9956 瀏覽

分享至

各位好，我是新手，如果有提問不周，還請見諒。

是這樣的，最近我們公司接受到報告，內部攻擊外部事件頻繁，光上星期就有9,000多次/攻擊流量有500,000(Bytes)，而外部攻擊內部只有40幾次...

之前有發現病毒，但並沒有這幾個星期以來這麼嚴重的攻擊報告，且病毒已刪除，也沒有再發現過，但現在如此頻繁，我認為是內部有電腦中毒，於是：
1.全部內部同仁的電腦都有裝卡巴斯基，也再次掃毒過，沒發現。
2.Server本身有裝趨勢，也再掃毒過，也沒有發現。
3.目標IP都是同一個，但Port不同。
4.來源IP雖說有重覆，但並不是都同一個。

我的問題：

我應該要提出什麼資訊才方便大家看問題點？
這個應該要怎麼查？掃毒都掃不到...不知道該怎麼去查是哪一台呢…要每一台都去.."whatismyip"嗎？
還是有什麼指令方法可以用呢？

謝謝！

看更多先前的討論...收起先前的討論...

hon2006 iT邦大師 1 級 ‧ 2014-05-19 17:08:39 檢舉

你有什麼防火牆或是有網管功能的 switch 嗎?
或是你家的路由器是 cisco 的嗎?
防火牆可以看session數有沒有異常
如果你的 switch 或是 router 有 netflow 的功能就好辦多了

cat00814 iT邦新手 5 級 ‧ 2014-05-19 17:30:22 檢舉

有防火牆, 有流量監控：
但因為我們的電腦並沒有設定固定IP，所以不知道哪台是誰？-->需要設置固定IP？然後記錄IP嗎？
防火牆廠牌：FortiWifi 60C

我們的路由器不是CISCO的。
恩..剛發現到，好像有很多都是內部攻擊內部，因為被視為內部攻擊外部的事件，目的IP是我們內部的IP。似乎這個在報告上會被視為內部攻擊外部的樣子...。

.....~不好意思，其實我不是學這相關的，但我覺得只要有興趣+多接觸再加上努力，我還是可以成功的，最近剛好這事情交到我手上，有幸可以向前輩們學習，只是現在才入門..，還要請前輩們多多耐心幫忙！小妹在此先謝謝了！ :)

hon2006 iT邦大師 1 級 ‧ 2014-05-19 17:49:20 檢舉

如果是用 FortiWifi 60C 作 dhcp server ,
可以設定保留,ip 就會固定下來,

hon2006 iT邦大師 1 級 ‧ 2014-05-19 17:58:31 檢舉

然後去 https://www.forticloud.com 註冊一個帳號,
把 FortiWifi 60C 的記錄送到雲端去分析
設定可以參考
https://fams.fortinet.com/help/online_help.html
報表大概長這樣

林門神JanusLin iT邦超人 1 級 ‧ 2014-05-19 20:43:13 檢舉

cat00814提到：
最近我們公司接受到報告，內部攻擊外部事件頻繁，光上星期就有9,000多次/攻擊流量有500,000(Bytes)，而外部攻擊內部只有40幾次...

我比較好奇這個
有報告

這報告那邊來的
不能再詳細一點嗎

cat00814 iT邦新手 5 級 ‧ 2014-05-20 08:28:33 檢舉

是中華電信hinet入侵防護服務週報表

cat00814 iT邦新手 5 級 ‧ 2014-05-20 08:35:55 檢舉

hon2006提到：
可以設定保留,IP就會固定下來

請問這邊是要每一台都設置固定IP嗎？

謝謝..

林門神JanusLin iT邦超人 1 級 ‧ 2014-05-20 09:00:25 檢舉

cat00814提到：
中華電信hinet入侵防護服務週

資安鑑隊可以跟他要詳細一點的報告

GJ iT邦好手 1 級 ‧ 2014-05-20 09:21:56 檢舉

要不試試用wireshark抓封包分析看看

我遇過是switch的問題

當我關閉這台switch下所有電腦還一直狂送封包出去

次數多到被當成惡意攻擊

cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:11:25 檢舉

有的，它有詳細報表，來源IP->目標IP，還有Port
大多傳都是0byte,但也是有的有數據的...
可是這個和我防火牆看到的大同小異...

我...我不知道怎麼去查問題...

林門神JanusLin iT邦超人 1 級 ‧ 2014-05-20 10:16:57 檢舉

他既然是算次的
也有可能誤判
"防火牆看到的大同小異"
就抓那個次數高的Lan IP

cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:18:40 檢舉

switch嗎？？那是否可以在一般的switch上直接封鎖發大量封包的IP呢？
另外，不知P2P軟體是否會造成這種情況發生？
像是PPS、大陸線上看影片之類的軟體或下載？

arvin423 iT邦新手 4 級 ‧ 2014-05-20 10:22:29 檢舉

有時候我會去看switch的燈號,看有沒有閃爍異常的
再去查看是接到那一台電腦
你們公司大概多少台電腦呢?

hon2006 iT邦大師 1 級 ‧ 2014-05-20 10:23:11 檢舉

如果可以的話,最好每台都設定

GJ iT邦好手 1 級 ‧ 2014-05-20 10:34:50 檢舉

如果你是有網管型的功能
可以限制流量看看
貴司該不會可以給大家使用PPS，或下載軟體自行安裝吧?
這些軟體通常含有木馬也許是原因之一

hon2006 iT邦大師 1 級 ‧ 2014-05-20 10:37:34 檢舉

找出有問題的電腦
作業系統安全性更新到最新
除了防毒軟體之外,
可以使用掃木馬的軟體在掃看看
https://www.raymond.cc/blog/is-your-computer-a-zombie-bot-being-controlled-by-hackers/

http://www.azofreeware.com/2013/10/malwarebytes-anti-malware-free-17501300.html

丹尼爾 iT邦研究生 2 級 ‧ 2014-05-20 10:37:36 檢舉

為什麼沒有限制內部使用者連出的 Port ?
連出的 IP 可以不限制，但是連出的 Port 一定就要限制!
只開放低於 1024 的基本埠口，高於 1024 的則必需要另做設定，限制目地IP區段等等。

攻擊行為並不是全都是由外部來攻擊的，不少都是內部攻擊所造成。
先去設定好 Firewall 的 policy 吧...

Server 端也開啟防火牆的封包過濾的記錄...
這樣也可以藉由記錄檔來分析內部 Client 是否有不正常的攻擊行為。

cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:52:02 檢舉

我們的switch沒有網管功能..只是基本型的switch..
恩...我們的確是會讓使用者不能安裝軟體，因為公司使用的某個軟體必須要是管理者才可使用，否則會有問題，所以用戶電腦都只能設管理者了 ..

此外，公司政策~中午時間並無禁止同仁看影片，所以可能部份同仁會使用線上看影片我想甚至會裝PPS...或風行網之類的。

cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:53:06 檢舉

我們作業幾乎都在Server上直接作業，所以一直以來燈號都差不多..一直閃...
不知您所說的閃爍異常是？

cat00814 iT邦新手 5 級 ‧ 2014-05-20 11:04:39 檢舉

連出的 Port 一定就要限制!
只開放低於 1024 的基本埠口，高於 1024 的則必需要另做設定，限制目地IP區段等等。

請問這個是指在firewall裡的policy裡設嗎？？
可是，一般使用者不是都是使用大於1024 port對外連線嗎？
您說須另做設定，限制目地IP區段...是指例如我只讓他們上yahoo及google-->設定只能接這二個，其餘一律不能上的意思？ ...對不起..這我無法了解.....

hon2006 iT邦大師 1 級 ‧ 2014-05-20 13:42:56 檢舉

你可以新增一條政策先擋住連到你去攻擊的ip

GJ iT邦好手 1 級 ‧ 2014-05-21 09:58:33 檢舉

polic預設第一條都是DENY all 不是嗎
再GOOGLE一下看看大家都開哪些PORT就行了
其餘有需要再開

mytiny iT邦超人 1 級 ‧ 2014-06-02 20:58:54 檢舉

FortiWiFi-60C管理網路介面上會有Wan1,Wan2,DMZ,Internal四個介面
除非改變了Internal的狀態為各自獨立
不然那五個網路switch埠，實際視為同一個交換機
設備都接在上面，也就是內部的PC可以直接感染病毒給Server
而防火牆是幫不了你什麼忙，因為制定不了什麼資安政策
所以建議應該把Server的網線改接到DMZ埠，
這樣才能建立 Internal > DMZ 的資安政策

另外出現anomaly異常警告，且數字很高
非常有可能是因為被入侵當跳板而發動DoS攻擊
雖然設備FortiWiFi可以做防護功能
但是都必須使用CLI的指令(而且還是進階隱藏版:手冊上沒寫的)
這樣不如回頭正本清源
建立好正確的網路架構及安全防護
再把Server整理過一遍重新安置
雖然聽起來有點鴕鳥心態
但是MIS維持網路正常運作為主要工作
只要順暢運行，中XX信沒拿報表威脅斷線就好

cat00814 iT邦新手 5 級 ‧ 2014-06-02 21:12:00 檢舉

通常要提供給外界存取的 Server 我會把它放到 DMZ，例如：Web, FTP, DNS 等等，而這些 Server 都有幾個共同點：
1. 提供服務給外界存取。
2. Server 內沒有任何機密資料。
3. 這些 Server 是可以被入侵的，可以被病毒感染的。

並不是說放在 DMZ 的 Server 就是直接對外，你還是要開 port 還是要應對 IP，因此基本的安全性還是有的，但是這些 Server (Web, FTP, DNS) 又提供服務給外界『所有』人存取（包含駭客、病毒），因此這些 Server 的風險是比較高的。

如果將這些高風險的電腦，跟你的資料庫，或是其他機密資料放在同一個區域，這樣豈不是更危險呢？因此，在『兩害取其輕』的原則下，才會有 DMZ 這個區域的誕生。

如果你的內網都是一些不重要的 Server，或是你認為即使被入侵也無所謂，那你就可以不需要區分 DMZ 通通放在內網就好了！

在邦友發文中，看到此文，看起來不那麼適合我們。
因為我們的這台SERVER同時也是FILE SERVER，裡面的資料很重要。

謝謝您的回答。
我想，也許我應該要把DNS、WEBService、WIKI設為同一台，然後接到DMZ，再把資料移轉到另一台SERVER上，可能會比較好？

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

rogeryao

iT邦超人 7 級 ‧ 2014-05-29 18:01:42

最佳解答

1.記錄與報表->流量記錄->本地流量
2.記錄與報表->記錄設定->設定告警電子郵件
3.規則->防火牆策略->防火牆策略->internal to win1->安全防禦配置設定(依需求啟動) <=會造成內網上網速度變慢
4.可將 3 的 internal to win1 設定只開啟常用的對外 port

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

cat00814 iT邦新手 5 級 ‧ 2014-05-30 10:15:29 檢舉

恩...謝謝各位前輩的幫忙，經過幾天查看後，最後發現是我們的其中一台server中毒了...
現在掃毒後觀察中。
我想，本身內部中毒去設定防火牆擋往外會不會只是治標不治本呢~??

不過我倒是想要另外知道，user存取server，是否會留下痕跡？
因為發現有病毒刪了後，又馬上被補回... 我想是不是某user中了毒，在存取server時又傳到server上了？
想找出源頭..像查詢擁有者/作者之類的...有可行嗎？
P.s. 我們的server 是 mac os X server ,謝謝。

jason1966 iT邦新手 1 級 ‧ 2014-05-30 14:20:10 檢舉

你應該需要使用一些工具去找出server上的毒怎麼來的，不然你只是移除並沒有治本.
user 存取留下紀錄? 要看是那一種的存取.
x server ? 不是太常見國內有在玩的人數不多. 我是有朋友在做啦真的有需要顧問的話..我再介紹.

mytiny iT邦超人 1 級 ‧ 2014-05-30 19:02:20 檢舉

你如果要讓Server受到保護
就要讓流量先經過FortiWiFi-60C
意思就是要把 X Server網路線直接接防火牆DMZ埠
開啟相關防毒及IPS功能，常看Log紀錄，這樣才有用
話說回來，
那個資X艦隊也太兩光，光提供一些沒幫助的報表
設備給了就當個IP分享器用
好歹也提供點設定建議吧

cat00814 iT邦新手 5 級 ‧ 2014-05-31 18:25:13 檢舉

你應該需要使用一些工具去找出server上的毒怎麼來的，不然你只是移除並沒有治本.

關於這個我也想，但是不知什麼工具可以找出來？所以才想說可能查user存取留下的紀錄…像是檔案的持有(擁有者)/作者之類的，(像是我今天建立了一個word檔，那麼作者就是我，那我可以去查可能是這個user的電腦可能中毒了)…我是這樣想的@@…
顧問…可能…哈，我只想知道是否有相關指令可以去查而已？我只知道怎麼查權限…mac的指令和liunx相仿，不知是否有前輩知道如果liunx系統要查file的作者(擁有者)是誰要怎麼查？
謝謝！

cat00814 iT邦新手 5 級 ‧ 2014-05-31 18:40:55 檢舉

X Server網路線直接接防火牆DMZ埠，開啟相關防毒及IPS功能

恩…我們出去一律都會經過60C…我應該要寫我們內部的佈置才對，抱歉！
我們現在的接法是這樣：(我們上網有二個：ADSL及專線)
專線-->60C-->Switch3-->Switch2-->Switch1-->"WIFI-->ADSL"
| | | |
X Server(DNS/Web) user user WIFI/DHCP
(WIFI接四條網路線：ADSL、Switch1.2.3) 只是為了表示整個網路有串連起來上面才這樣表示。
這描述有不清楚的部份，還請提出，馬上補上，謝謝！
基本上，我覺得只是多走SWITCH3這裡而已，那請教這樣該怎麼修正較能保護server的安全性呢？謝謝！！

cat00814 iT邦新手 5 級 ‧ 2014-05-31 18:47:05 檢舉

補充一下：我們內部攻擊外部的
攻擊名稱：Anomay-UDP-dest-port-0
風險：Low
有時一天會攻擊個…上百甚至上千…冏..

登入發表回應

jerryyan

iT邦新手 2 級 ‧ 2014-05-19 22:28:00

沒有任何的資安閘道設備可以提供你相關的連線資訊嗎?
除非貴公司每一台電腦都有問題,否則應該會知道發起攻擊的範圍吧
不管是從MAC或是連線數都應該有基本的工具可以協助
能否先說明有什麼資安的資源,大家也好幫忙判斷

回應 1
分享
檢舉

cat00814 iT邦新手 5 級 ‧ 2014-05-20 08:33:14 檢舉

您好，我們有防火牆：FortiWifi 60C
有流量報告，但是不管是流量報告，其他的報表，都是顯示外部IP...
相關的連線資訊或是範圍，不知道該怎麼去查？
我們只有幾台是發固定IP，其餘的都是自動發IP的...(不知這有無相關？)
要找到那一台或哪一個發起攻擊的範圍...我是要先建立公司每一台電腦的外部IP表嗎？

謝謝！

登入發表回應