iT邦幫忙

0

公司內網出現異常IP

公司內網最近出現一個異常IP。這個IP一看就不是我司內網設備使用的IP。而且它上面看起來有在跑snmp連到我們其它電腦。本來想說直接在防火牆上把這個IP的流量封鎖。但又怕打草驚蛇。想請教各位,如果是各位的公司遇到這種狀況。大家會怎麼處理?

lard0921 iT邦新手 5 級 ‧ 2019-10-08 17:09:44 檢舉
直接封鎖
追蹤到那個網點在那個位置.
IP mask 、路由表不對的話
這設備應該無法正常連線

如果是從外部進來的???
不太可能吧 那代表防火牆這設定出大包了
1
李大瑋
iT邦研究生 3 級 ‧ 2019-10-08 17:27:32

直接封鎖MAC
最好找出哪個員工(如果是員工)
然後開紅單
資安不容緩
全公司中毒就有你玩得了

lht61527 iT邦新手 5 級 ‧ 2019-10-09 09:31:18 檢舉

謝謝

1
mytiny
iT邦大師 1 級 ‧ 2019-10-08 20:44:46

樓主還是先研究清楚這台設備在哪裡?
它到底有連結過什麼其他設備?

雖然Fortigate可以Ban IP
如果沒有用FortiSwitch走FortiLink
是沒辦法從Fortigate將設備封鎖在交換器上的
(只能去交換器上下指令想辦法了)
結果就是內網有資安風險
建議趕緊弄清楚位置找出來再做處理

如果有開設備辨識,在同網段情況下
可以查查看它是什麼設備,是啥MAC

lht61527 iT邦新手 5 級 ‧ 2019-10-09 09:58:38 檢舉

它現在怪的地方就是它顯示出來的IP是不同網段IP,但在防火牆卻又顯示它有用snmp連到我司的一些電腦。本來想用fortigate上設policy去封鎖。但我在Policy上沒看到可以設mac來阻擋。所以才想上來問問大家。謝謝您的回覆。感恩!

mytiny iT邦大師 1 級 ‧ 2019-10-09 22:19:10 檢舉

用戶與設備 > 設備清單
用搜尋尋找IP
可以發現它的MAC

啟動設備辨識功能可以做禁止接入
但是是禁止入防火牆
它在交換器那一層還是會自由流動

所以,可以找原廠研究一下資安鐵三角
可以快速尋找,快速禁制在交換器上
有專人負責Fortinet資安鐵三角專案

lht61527 iT邦新手 5 級 ‧ 2019-10-14 08:56:07 檢舉

謝謝您的分享,感恩!

2
竹本立里
iT邦研究生 5 級 ‧ 2019-10-09 09:39:45

先調MAC TABLE 確認機器位子

這是門神的文章
https://ithelp.ithome.com.tw/articles/10212830

這是我看到一半的文章
http://ms7.fhsh.tp.edu.tw/blog/shyong/archives/570

但我自己是用 HP 的switch

lht61527 iT邦新手 5 級 ‧ 2019-10-09 10:00:30 檢舉

謝謝分享,感恩!

0
bluegrass
iT邦研究生 1 級 ‧ 2019-10-09 10:24:51

這個IP一看就不是我司內網設備使用的IP

那這個IP到底是什麼, 如果是169.254.X.X

就是你網路出問題了喔

我要發表回答

立即登入回答