El vie, 18-09-2009 a las 11:45 -0300, Hernan G. Diaz escribió: > Alfredo Daniel Rezinovsky escribió: > > El vie, 18-09-2009 a las 10:54 -0300, Roberto Meyer escribió: > >> Estimados, > >> > >> Tanto Conficker y otros trojanos dando vueltas por las redes MS que > >> quisiera implementar un scanner de red para prevenir mejor futuras > >> infecciones, por lo general los antivirus reaccionan tarde. > >> > >> Veo que en los úlitmos años las reglas y plugins para nessus y otros > >> son pagas, ¿alguien podría recomendarme lo que considera la solución > >> más económica y completa posible? > > > > La mayoria de estos virus escanean la red en busca de victimas. > > > > Si tu gateway es 192.168.1.1 y el 192.168.1.2 no existe, nadie tendria > > por qué apuntar ni buscar al 192.168.1.2 > > > > con: > > > > tshark -n -i ethloquesea host 192.168.1.2 and arp > > > > podrias ver las IPs que estan escaneando tu red. Todo lo que tenes que > > hacer es mandar la salida de eso a un grep, parsearlo en tiempo real y > > ejecutar algo. > > > > Entiendo que lo que busca Roberto, es escanear o filtrar cosas que > "pasan" por la red, más que sólo "detectar" cual windows de la red tiene > problemas. Ya que posiblemente cuando se detecte el problema las > máquinas windows ya se esten atacando e infectando entre ellas. Para > detectar y ver reportes yo uso snort + acidbase y he encontrado muchas > cosas a tiempo. > Eso si... requiere tiempo y tiempo y más tiempo para analizar y > principalmente "entender" que es lo que se ve en las toneladas de logs > que se generan. > > Yo también ando en busca de algo similar a lo que entiendo está buscando > Roberto. Básicamente busco algo tipo bridge (transparente) que se pueda > poner "entre" dos swiches (o vlans) y escanee todo el tráfico que pasa > por alli. > > Actualmente en una empresa estoy probando un equipo IBM Proventia, que > hace justamente eso que yo busco, pero yo me interesaría hacerlo con > alguna solución Open Source. Es un bridge, transparente para la lan > (hadware con aparincia de switch con tunning) con un IPS (Intrusion > Prevention System) y Antivirus e (ambos a nivel ethernet) y tiene otras > funciones que no yo requiero. > > Avanzando un poco más con snort, se pueden hacer "acciones" al detectar > cierto tráfico (por ejemplo poner una regla en el firewall para > evitarlo). Pero todavía no estoy usando esa parte.
Justamente ese "Hacer algo" del que yo hablaba, puede ir desde modificar el dhcp para aislar el equipo. filtrarle internet para obligarlo a preguntar e identificarlo fisicamente, etc.
