iT邦幫忙

0

請問企業網路由內部攻擊外部怎麼處理?

各位好,我是新手,如果有提問不周,還請見諒。

是這樣的,最近我們公司接受到報告,內部攻擊外部事件頻繁,光上星期就有9,000多次/攻擊流量有500,000(Bytes),而外部攻擊內部只有40幾次...

之前有發現病毒,但並沒有這幾個星期以來這麼嚴重的攻擊報告,且病毒已刪除,也沒有再發現過,但現在如此頻繁,我認為是內部有電腦中毒,於是:
1.全部內部同仁的電腦都有裝卡巴斯基,也再次掃毒過,沒發現。
2.Server本身有裝趨勢,也再掃毒過,也沒有發現。
3.目標IP都是同一個,但Port不同。
4.來源IP雖說有重覆,但並不是都同一個。

我的問題:

  1. 我應該要提出什麼資訊才方便大家看問題點?
  2. 這個應該要怎麼查?掃毒都掃不到...不知道該怎麼去查是哪一台呢…要每一台都去.."whatismyip"嗎?
    還是有什麼指令方法可以用呢?

謝謝!

看更多先前的討論...收起先前的討論...
hon2006 iT邦大師 1 級 ‧ 2014-05-19 17:08:39 檢舉
你有什麼防火牆或是有網管功能的 switch 嗎?
或是你家的路由器是 cisco 的嗎?
防火牆可以看session數有沒有異常
如果你的 switch 或是 router 有 netflow 的功能就好辦多了
cat00814 iT邦新手 5 級 ‧ 2014-05-19 17:30:22 檢舉
有防火牆, 有流量監控:
但因為我們的電腦並沒有設定固定IP,所以不知道哪台是誰?-->需要設置固定IP?然後記錄IP嗎?
防火牆廠牌:FortiWifi 60C

我們的路由器不是CISCO的。
恩..剛發現到,好像有很多都是內部攻擊內部,因為被視為內部攻擊外部的事件,目的IP是我們內部的IP。似乎這個在報告上會被視為內部攻擊外部的樣子...。

.....~不好意思,其實我不是學這相關的,但我覺得只要有興趣+多接觸再加上努力,我還是可以成功的,最近剛好這事情交到我手上,有幸可以向前輩們學習,只是現在才入門..,還要請前輩們多多耐心幫忙!小妹在此先謝謝了! :)
hon2006 iT邦大師 1 級 ‧ 2014-05-19 17:49:20 檢舉
如果是用 FortiWifi 60C 作 dhcp server ,
可以設定保留,ip 就會固定下來,
hon2006 iT邦大師 1 級 ‧ 2014-05-19 17:58:31 檢舉
然後去 https://www.forticloud.com 註冊一個帳號,
把 FortiWifi 60C 的記錄送到雲端去分析
設定可以參考
https://fams.fortinet.com/help/online_help.html
報表大概長這樣
cat00814提到:
最近我們公司接受到報告,內部攻擊外部事件頻繁,光上星期就有9,000多次/攻擊流量有500,000(Bytes),而外部攻擊內部只有40幾次...


我比較好奇這個
有報告

這報告那邊來的
不能再詳細一點嗎 XD
cat00814 iT邦新手 5 級 ‧ 2014-05-20 08:28:33 檢舉
是中華電信hinet入侵防護服務週報表 汗
cat00814 iT邦新手 5 級 ‧ 2014-05-20 08:35:55 檢舉
hon2006提到:
可以設定保留,IP就會固定下來

請問這邊是要每一台都設置固定IP嗎?落寞
謝謝..
cat00814提到:
中華電信hinet入侵防護服務週


資安鑑隊可以跟他要詳細一點的報告
GJ iT邦好手 1 級 ‧ 2014-05-20 09:21:56 檢舉
要不試試用wireshark抓封包分析看看

我遇過是switch的問題

當我關閉這台switch下所有電腦還一直狂送封包出去

次數多到被當成惡意攻擊Orz
cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:11:25 檢舉
有的,它有詳細報表,來源IP->目標IP,還有Port
大多傳都是0byte,但也是有的有數據的...
可是這個和我防火牆看到的大同小異... 臉紅 我...我不知道怎麼去查問題...
他既然是算次的
也有可能誤判
"防火牆看到的大同小異"
就抓那個次數高的Lan IP
cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:18:40 檢舉
switch嗎?? 那是否可以在一般的switch上直接封鎖發大量封包的IP呢?
另外,不知P2P軟體是否會造成這種情況發生?
像是PPS、大陸線上看影片之類的軟體或下載?
arvin423 iT邦新手 4 級 ‧ 2014-05-20 10:22:29 檢舉
有時候我會去看switch的燈號,看有沒有閃爍異常的
再去查看是接到那一台電腦
你們公司大概多少台電腦呢?
hon2006 iT邦大師 1 級 ‧ 2014-05-20 10:23:11 檢舉
如果可以的話,最好每台都設定
GJ iT邦好手 1 級 ‧ 2014-05-20 10:34:50 檢舉
如果你是有網管型的功能
可以限制流量看看
貴司該不會可以給大家使用PPS,或下載軟體自行安裝吧?
這些軟體通常含有木馬也許是原因之一
hon2006 iT邦大師 1 級 ‧ 2014-05-20 10:37:34 檢舉
找出有問題的電腦
作業系統安全性更新到最新
除了防毒軟體之外,
可以使用掃木馬的軟體在掃看看
https://www.raymond.cc/blog/is-your-computer-a-zombie-bot-being-controlled-by-hackers/

http://www.azofreeware.com/2013/10/malwarebytes-anti-malware-free-17501300.html
丹尼爾 iT邦研究生 2 級 ‧ 2014-05-20 10:37:36 檢舉
為什麼沒有限制內部使用者連出的 Port ?
連出的 IP 可以不限制,但是連出的 Port 一定就要限制!
只開放低於 1024 的基本埠口,高於 1024 的則必需要另做設定,限制目地IP區段等等。

攻擊行為並不是全都是由外部來攻擊的,不少都是內部攻擊所造成。
先去設定好 Firewall 的 policy 吧...

Server 端也開啟防火牆的封包過濾的記錄...
這樣也可以藉由記錄檔來分析內部 Client 是否有不正常的攻擊行為。
cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:52:02 檢舉
我們的switch沒有網管功能..只是基本型的switch..
恩...我們的確是會讓使用者不能安裝軟體,因為公司使用的某個軟體必須要是管理者才可使用,否則會有問題,所以用戶電腦都只能設管理者了 .. Orz
此外,公司政策~中午時間並無禁止同仁看影片,所以可能部份同仁會使用線上看影片 我想甚至會裝PPS...或風行網之類的。噎到
cat00814 iT邦新手 5 級 ‧ 2014-05-20 10:53:06 檢舉
我們作業幾乎都在Server上直接作業,所以一直以來燈號都差不多..一直閃...
不知您所說的閃爍異常是?
cat00814 iT邦新手 5 級 ‧ 2014-05-20 11:04:39 檢舉

連出的 Port 一定就要限制!
只開放低於 1024 的基本埠口,高於 1024 的則必需要另做設定,限制目地IP區段等等。


請問這個是指在firewall裡的policy裡設嗎??
可是,一般使用者不是都是使用大於1024 port對外連線嗎?
您說須另做設定,限制目地IP區段...是指例如我只讓他們上yahoo及google-->設定只能接這二個,其餘一律不能上的意思? Orz ...對不起..這我無法了解.....汗

hon2006 iT邦大師 1 級 ‧ 2014-05-20 13:42:56 檢舉
你可以新增一條政策先擋住連到你去攻擊的ip
GJ iT邦好手 1 級 ‧ 2014-05-21 09:58:33 檢舉
polic預設第一條都是DENY all 不是嗎
再GOOGLE一下看看大家都開哪些PORT就行了
其餘有需要再開
mytiny iT邦超人 1 級 ‧ 2014-06-02 20:58:54 檢舉
FortiWiFi-60C管理網路介面上會有Wan1,Wan2,DMZ,Internal四個介面
除非改變了Internal的狀態為各自獨立
不然那五個網路switch埠,實際視為同一個交換機
設備都接在上面,也就是內部的PC可以直接感染病毒給Server
而防火牆是幫不了你什麼忙,因為制定不了什麼資安政策
所以建議應該把Server的網線改接到DMZ埠,
這樣才能建立 Internal > DMZ 的資安政策

另外出現anomaly異常警告,且數字很高
非常有可能是因為被入侵當跳板而發動DoS攻擊
雖然設備FortiWiFi可以做防護功能
但是都必須使用CLI的指令(而且還是進階隱藏版:手冊上沒寫的)
這樣不如回頭正本清源
建立好正確的網路架構及安全防護
再把Server整理過一遍重新安置
雖然聽起來有點鴕鳥心態
但是MIS維持網路正常運作為主要工作
只要順暢運行,中XX信沒拿報表威脅斷線就好
cat00814 iT邦新手 5 級 ‧ 2014-06-02 21:12:00 檢舉

通常要提供給外界存取的 Server 我會把它放到 DMZ,例如:Web, FTP, DNS 等等,而這些 Server 都有幾個共同點:
1. 提供服務給外界存取。
2. Server 內沒有任何機密資料。
3. 這些 Server 是可以被入侵的,可以被病毒感染的。

並不是說放在 DMZ 的 Server 就是直接對外,你還是要開 port 還是要應對 IP,因此基本的安全性還是有的,但是這些 Server (Web, FTP, DNS) 又提供服務給外界『所有』人存取(包含駭客、病毒),因此這些 Server 的風險是比較高的。

如果將這些高風險的電腦,跟你的資料庫,或是其他機密資料放在同一個區域,這樣豈不是更危險呢?因此,在『兩害取其輕』的原則下,才會有 DMZ 這個區域的誕生。

如果你的內網都是一些不重要的 Server,或是你認為即使被入侵也無所謂,那你就可以不需要區分 DMZ 通通放在內網就好了!


在邦友發文中,看到此文,看起來不那麼適合我們。
因為我們的這台SERVER同時也是FILE SERVER,裡面的資料很重要。

謝謝您的回答。
我想,也許我應該要把DNS、WEBService、WIKI設為同一台,然後接到DMZ,再把資料移轉到另一台SERVER上,可能會比較好?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

4
rogeryao
iT邦超人 8 級 ‧ 2014-05-29 18:01:42
最佳解答

1.記錄與報表->流量記錄->本地流量
2.記錄與報表->記錄設定->設定告警電子郵件
3.規則->防火牆策略->防火牆策略->internal to win1->安全防禦配置設定(依需求啟動) <=會造成內網上網速度變慢
4.可將 3 的 internal to win1 設定只開啟常用的對外 port

看更多先前的回應...收起先前的回應...
cat00814 iT邦新手 5 級 ‧ 2014-05-30 10:15:29 檢舉

恩...謝謝各位前輩的幫忙,經過幾天查看後,最後發現是我們的其中一台server中毒了...驚
現在掃毒後觀察中。
我想,本身內部中毒去設定防火牆擋往外會不會只是治標不治本呢~??

不過我倒是想要另外知道,user存取server,是否會留下痕跡?
因為發現有病毒刪了後,又馬上被補回...囧 我想是不是某user中了毒,在存取server時又傳到server上了?
想找出源頭..像查詢擁有者/作者 之類的...有可行嗎?
P.s. 我們的server 是 mac os X server ,謝謝。

jason1966 iT邦新手 1 級 ‧ 2014-05-30 14:20:10 檢舉

你應該需要使用一些工具去找出server上的毒怎麼來的,不然你只是移除並沒有治本.
user 存取留下紀錄? 要看是那一種的存取.
x server ? 不是太常見 國內有在玩的人數不多. 我是有朋友在做啦 真的有需要顧問的話..我再介紹.

mytiny iT邦超人 1 級 ‧ 2014-05-30 19:02:20 檢舉

你如果要讓Server受到保護
就要讓流量先經過FortiWiFi-60C
意思就是要把 X Server網路線直接接防火牆DMZ埠
開啟相關防毒及IPS功能,常看Log紀錄,這樣才有用
話說回來,
那個資X艦隊也太兩光,光提供一些沒幫助的報表
設備給了就當個IP分享器用
好歹也提供點設定建議吧遜

cat00814 iT邦新手 5 級 ‧ 2014-05-31 18:25:13 檢舉

你應該需要使用一些工具去找出server上的毒怎麼來的,不然你只是移除並沒有治本.

關於這個我也想,但是不知什麼工具可以找出來?所以才想說可能查user存取留下的紀錄…像是檔案的持有(擁有者)/作者之類的,(像是我今天建立了一個word檔,那麼作者就是我,那我可以去查可能是這個user的電腦可能中毒了)…我是這樣想的@@…
顧問…可能…哈,我只想知道是否有相關指令可以去查而已?我只知道怎麼查權限…mac的指令和liunx相仿,不知是否有前輩知道如果liunx系統要查file的作者(擁有者)是誰要怎麼查?
謝謝!

cat00814 iT邦新手 5 級 ‧ 2014-05-31 18:40:55 檢舉

X Server網路線直接接防火牆DMZ埠,開啟相關防毒及IPS功能

恩…我們出去一律都會經過60C…我應該要寫我們內部的佈置才對,抱歉!
我們現在的接法是這樣:(我們上網有二個:ADSL及專線)
專線-->60C-->Switch3-->Switch2-->Switch1-->"WIFI-->ADSL"
| | | |
X Server(DNS/Web) user user WIFI/DHCP
(WIFI接四條網路線:ADSL、Switch1.2.3) 只是為了表示整個網路有串連起來上面才這樣表示。
這描述有不清楚的部份,還請提出,馬上補上,謝謝!
基本上,我覺得只是多走SWITCH3這裡而已,那請教這樣該怎麼修正較能保護server的安全性呢?謝謝!!

cat00814 iT邦新手 5 級 ‧ 2014-05-31 18:47:05 檢舉

補充一下:我們內部攻擊外部的
攻擊名稱:Anomay-UDP-dest-port-0
風險:Low
有時一天會攻擊個…上百甚至上千…冏..

6
jerryyan
iT邦新手 2 級 ‧ 2014-05-19 22:28:00

沒有任何的資安閘道設備可以提供你相關的連線資訊嗎?
除非貴公司每一台電腦都有問題,否則應該會知道發起攻擊的範圍吧
不管是從MAC或是連線數都應該有基本的工具可以協助
能否先說明有什麼資安的資源,大家也好幫忙判斷

cat00814 iT邦新手 5 級 ‧ 2014-05-20 08:33:14 檢舉

您好,我們有防火牆:FortiWifi 60C
有流量報告,但是不管是流量報告,其他的報表,都是顯示外部IP...
相關的連線資訊或是範圍,不知道該怎麼去查?
我們只有幾台是發固定IP,其餘的都是自動發IP的...(不知這有無相關?)
要找到那一台或哪一個發起攻擊的範圍...我是要先建立公司每一台電腦的外部IP表嗎?

謝謝!

我要發表回答

立即登入回答