公司內網出現異常IP

網路入侵網路異常資安管理

lht61527 2019-10-08 16:33:51 ‧ 3215 瀏覽

分享至

公司內網最近出現一個異常IP。這個ＩＰ一看就不是我司內網設備使用的ＩＰ。而且它上面看起來有在跑snmp連到我們其它電腦。本來想說直接在防火牆上把這個IP的流量封鎖。但又怕打草驚蛇。想請教各位，如果是各位的公司遇到這種狀況。大家會怎麼處理？

lard0921 iT邦新手 4 級 ‧ 2019-10-08 17:09:44 檢舉

直接封鎖

michaelwan iT邦高手 1 級 ‧ 2019-10-08 17:19:42 檢舉

追蹤到那個網點在那個位置.

補覺鳴詩 iT邦高手 1 級 ‧ 2019-10-08 17:32:03 檢舉

IP mask 、路由表不對的話
這設備應該無法正常連線

如果是從外部進來的???
不太可能吧那代表防火牆這設定出大包了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

李大瑋

iT邦好手 1 級 ‧ 2019-10-08 17:27:32

直接封鎖MAC
最好找出哪個員工(如果是員工)
然後開紅單
資安不容緩
全公司中毒就有你玩得了

回應 1
分享
檢舉

lht61527 iT邦新手 5 級 ‧ 2019-10-09 09:31:18 檢舉

謝謝

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2019-10-08 20:44:46

樓主還是先研究清楚這台設備在哪裡?
它到底有連結過什麼其他設備?

雖然Fortigate可以Ban IP
如果沒有用FortiSwitch走FortiLink
是沒辦法從Fortigate將設備封鎖在交換器上的
(只能去交換器上下指令想辦法了)
結果就是內網有資安風險
建議趕緊弄清楚位置找出來再做處理

如果有開設備辨識，在同網段情況下
可以查查看它是什麼設備，是啥MAC

回應 3
分享
檢舉

lht61527 iT邦新手 5 級 ‧ 2019-10-09 09:58:38 檢舉

它現在怪的地方就是它顯示出來的IP是不同網段IP，但在防火牆卻又顯示它有用snmp連到我司的一些電腦。本來想用fortigate上設policy去封鎖。但我在Policy上沒看到可以設mac來阻擋。所以才想上來問問大家。謝謝您的回覆。感恩！

mytiny iT邦超人 1 級 ‧ 2019-10-09 22:19:10 檢舉

在用戶與設備 > 設備清單中
用搜尋尋找IP
可以發現它的MAC

啟動設備辨識功能可以做禁止接入
但是是禁止入防火牆
它在交換器那一層還是會自由流動

所以，可以找原廠研究一下資安鐵三角
可以快速尋找，快速禁制在交換器上
有專人負責Fortinet資安鐵三角專案

lht61527 iT邦新手 5 級 ‧ 2019-10-14 08:56:07 檢舉

謝謝您的分享，感恩！

登入發表回應

竹本立里

iT邦好手 1 級 ‧ 2019-10-09 09:39:45

先調MAC TABLE 確認機器位子

這是門神的文章
https://ithelp.ithome.com.tw/articles/10212830

這是我看到一半的文章
http://ms7.fhsh.tp.edu.tw/blog/shyong/archives/570

但我自己是用 HP 的switch

回應 1
分享
檢舉

lht61527 iT邦新手 5 級 ‧ 2019-10-09 10:00:30 檢舉

謝謝分享，感恩！

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2019-10-09 10:24:51

這個ＩＰ一看就不是我司內網設備使用的ＩＰ

那這個IP到底是什麼, 如果是169.254.X.X

就是你網路出問題了喔

回應
分享
檢舉

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22202 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙