小弟還是SE小菜雞一名,目前駐點單位有使用趨勢DDI及Tipping point,上禮拜將中繼站加入IPS後發現domain內有設備走53port進行中繼站的連線,目前紀錄到的IP為GATEWAY IP,該IP是在外點經由GSN VPN回來到我這邊解析出外網,因DDI未安裝至端點PC上,所以查到的GATEWAY IP只能大概知道是哪個外點有問題,還是無法明確的確認是哪一台PC有進行違規行為,目前已經有先使用T-Clean來搜集LOG提供給ESO做分析,但client pc有30台,就算都提供做分析想必還是需要一陣子,雖然連線要連外的時候被block掉了,但還是想盡快找到問題點。
以上說明目前的狀況
IPS
DDI
我想詢問的是:
1.趨勢support說可以用DNS誘補的方式查,讓clinet pc連線中繼站時轉址到假IP,及TP上設Reputation來catch IP,我只知道DNS內新增一條zone及IPS上加Reputation, 但該怎麼將連線至中繼站的clinet IP導到假IP這段我還是想不出來,求各位前輩指教
2.除了第一點的方式有什麼其他的方式能夠去反查出正確的來源IP呢?
已邀請的邦友 {{ invite_list.length }}/5
找個工具裝在192.168.110.4那部機上,用port forwarding把訪問該機53 port的流量複製一份到你已經準備好可以用來偵聽的電腦上(例如192.168.110.5:80你自己的電腦上裝了wireshark之類的),直接把流量轉到可以監聽的電腦上當然也可以,前提是你那台電腦的53 port也必須提供跟192.168.110.4一樣的service
然後有個終極辦法也可以達到類似的效果
在這條DDI路徑上設定一台防火牆,設個rule直接把這條路封殺
如果是正常的user應該這時候就會呱呱叫了
如果是別有用心的user,那也可以避免他再繼續不守規定
建議樓主向趨勢support問清楚
畢竟他們是原廠才清楚
要怎樣才能收集到DDI需要的明確資料
按樓主字面描述的意思,很有可能是要
以上是在下的猜測,希望有幫助
你如果要快速查的話, 就直接上 Packet Sniffer:
找個 Switch Port 去 Mirror VPN Gateway 的流量, 然後用 Wireshark 或是 tcpdump 直接過濾 port 53 的流量出來看封包內容, 就可以知道 IP 了.....
不過, 我猜你只有駐點的授權, 可能不夠權限做這件事情, 所以把需求呈報給上面, 請 Infra Team 的人幫忙處理就好了.....
假設:有沒有可能是在資安設備內設定[惡意中繼站網址],資安設備必須解析出IP。
所以才看到是 gateway 到 DNS主機查詢。
iThome鐵人賽
看影片追技術