Alfredo Daniel Rezinovsky escribió:
El vie, 18-09-2009 a las 11:45 -0300, Hernan G. Diaz escribió:
Alfredo Daniel Rezinovsky escribió:
El vie, 18-09-2009 a las 10:54 -0300, Roberto Meyer escribió:
Estimados,
Tanto Conficker y otros trojanos dando vueltas por las redes MS que
quisiera implementar un scanner de red para prevenir mejor futuras
infecciones, por lo general los antivirus reaccionan tarde.
Veo que en los úlitmos años las reglas y plugins para nessus y otros
son pagas, ¿alguien podría recomendarme lo que considera la solución
más económica y completa posible?
La mayoria de estos virus escanean la red en busca de victimas.
Si tu gateway es 192.168.1.1 y el 192.168.1.2 no existe, nadie tendria
por qué apuntar ni buscar al 192.168.1.2
con:
tshark -n -i ethloquesea host 192.168.1.2 and arp
podrias ver las IPs que estan escaneando tu red. Todo lo que tenes que
hacer es mandar la salida de eso a un grep, parsearlo en tiempo real y
ejecutar algo.
Entiendo que lo que busca Roberto, es escanear o filtrar cosas que
"pasan" por la red, más que sólo "detectar" cual windows de la red tiene
problemas. Ya que posiblemente cuando se detecte el problema las
máquinas windows ya se esten atacando e infectando entre ellas. Para
detectar y ver reportes yo uso snort + acidbase y he encontrado muchas
cosas a tiempo.
Eso si... requiere tiempo y tiempo y más tiempo para analizar y
principalmente "entender" que es lo que se ve en las toneladas de logs
que se generan.
Yo también ando en busca de algo similar a lo que entiendo está buscando
Roberto. Básicamente busco algo tipo bridge (transparente) que se pueda
poner "entre" dos swiches (o vlans) y escanee todo el tráfico que pasa
por alli.
Actualmente en una empresa estoy probando un equipo IBM Proventia, que
hace justamente eso que yo busco, pero yo me interesaría hacerlo con
alguna solución Open Source. Es un bridge, transparente para la lan
(hadware con aparincia de switch con tunning) con un IPS (Intrusion
Prevention System) y Antivirus e (ambos a nivel ethernet) y tiene otras
funciones que no yo requiero.
Avanzando un poco más con snort, se pueden hacer "acciones" al detectar
cierto tráfico (por ejemplo poner una regla en el firewall para
evitarlo). Pero todavía no estoy usando esa parte.
Justamente ese "Hacer algo" del que yo hablaba, puede ir desde modificar
el dhcp para aislar el equipo. filtrarle internet para obligarlo a
preguntar e identificarlo fisicamente, etc.
Buenisima idea. ese "hacer algo" es lo que todavía no termino de hacer
con snort, pero a eso quiero apuntar, que se transforme de un monitor a
un monitor/activo.
Alfredo, me gustó lo de modificar el dhcp... no se me habia ocurrido. Lo
cual resultaría muy bueno, porque se le puede dar una direccion de otra
red a esos windows malignos, con lo que automáticamente dejaría de
atacar a sus pares windows.
--
Hernán
