iT邦幫忙

0

防火牆抓到不存在的內部IP,如何處理呢??

公司防火牆是100D
最近看流量報告有某個IP特別高
由於我司內部是關DHCP採用固定虛擬IP
查一下IP表並無設定這個IP
而且也完全PING不到!!?

進了防火牆看一下這ip的確有持續在進行活動
接著就把這ip對外一律deny
但還是看的到這ip還在繼續嘗試連線

想請問這種情況如何處理?
這是user電腦中毒導致的嗎??
要從何查起是哪台電腦呢??

chsinzk iT邦新手 3 級 ‧ 2019-10-24 09:20:16 檢舉
交換器上面看的到哪一PORT用哪一個IP嗎?
竹本立里 iT邦研究生 5 級 ‧ 2019-10-24 09:30:57 檢舉
http://ms7.fhsh.tp.edu.tw/blog/shyong/archives/570
0
hsiang11
iT邦研究生 2 級 ‧ 2019-10-23 20:13:28

都關DHCP了 我想也是你們內部的人設上IP才可以連線
所以內部電腦中毒的機率很高
很多公司稍微大一點後就會出現神秘的電腦事件
部分電腦藏的到處都是 或是根本不知道那一台做啥用的
這還是要靠妥善的規劃和紀錄以後才會比較好控管
比方設上IT資產編號為電腦名稱
可以靠著資產表的電腦名稱反查誰在使用
另外網段如果有切部門或者區域樓層
更可以簡單地知道哪一塊出問題 找起來也比較容易

如果還是沒辦法乾脆連內部都鎖 鎖到讓使用者自己來找你

5
raytracy
iT邦大神 1 級 ‧ 2019-10-23 20:32:08

你有沒有先研究一下:
他對外的連線是在幹嘛?....

  1. 不是所有設備都會回應 ping, Windows 若調成 Public Network, 預設是不回應的, 很多 IoT 設備預設也是不回應的.
  2. 用 ARP 解析出他的 Mac address, 從網管 Switch 上面去看, 這個 Mac 是從哪一個 port 上來的? 順藤摸瓜就抓到了...
1
mytiny
iT邦大師 1 級 ‧ 2019-10-23 21:11:49

樓主公司IP表並無設定這個IP
並不表示是不存在的內部IP
可能只是它不讓ping而已
這個叫做"私接設備"
在一般公司很常見

封鎖IP可能作用不太大
有心人既然敢私接,封IP換個IP就是了
最好的辦法就是有接入管制
樓主用的FG-100D有設備辨識功能(BYOD)
如果用了資安鐵三角,基本上想要偷接入也是不能

但只有FG-100D肯定是不夠的
內網照樣流竄,病毒照樣橫行
建議樓主找原來的供貨SI好好研究一下
如果覺得技術服務不到位,還可以直接問原廠
網路基礎建設技術同樣也是日新月異
只是近些年大家忽略也不重視罷了

參考影片如下:(建議開啟字幕並翻譯成中文)
Fortinet Secure Access Architecture Solution
Fortinet's Secure Access Solution

我要發表回答

立即登入回答