Re: [問題] 請問二題實作上的問題

看板Network作者wst2080 (有寶妮小天使真棒)時間15年前 (2010/06/23 15:23)推噓4(4推 0噓 5→)

留言9則, 4人參與討論串2/2 (看更多)

※ 引述《stator (別急著吃棉花糖)》之銘言： : 這二題是屬於問答題~題目沒有一定答案 : 因為較無網管的經驗，所以po上來和各位前輩及w版大請教 : 1.電腦病毒和木馬程式氾濫，如果校內某部電腦中毒，將導致整個校園網路擁塞和攤瘓 : 若您是學校網管，要如何解決這個問題(需確實可行且成本符合學校負擔範圍) : 今天請教了學校的網管人員，它說可由二個部份，第一是先從各單位各棟大樓的 : switch來監視封包流量是否異常。若某台主機發送大量封包，必須先將這台主機在 : firewall的rule裡 disabled 掉。(這是屬於內部的部份)、 : 第二是從firewall來看對外的流量是否異常~ : 感覺以上的方法較籠統~不知是否有更具體的意見或解決方法能提供我參考呢??謝謝這個在業界還蠻常碰到的... XDDD 我說一下我在公司的經驗好了~ 可能公司的架構與佈建還算完善~ 所以我怕我說的會不會太深入我就不得而知了~ XDDD 若有更好的方式~ 我想可以請更先進的技術來加以指導~ 畢竟每間公司採取的手段與手腕都是不盡相同的~~~ 當然這可能牽扯到"政治"、"預算"、"架構"...等等的問題~ OK 廢話不多說了~ 其實在於當初規劃的架構與建置的部份~ 一般來說木馬中毒之後~ 會對外主動連線的狀況居多~ 這時候通常都是分析firewall的log~ 來看一下連線的紀錄等等~ (這種方法既傳統又費時) 後來比較專業的都會使用MRTG (這個是免費的,而且比看firewall Log來的輕鬆) 以圖形的UI顯示~ 或者是列出異常連線數的部份... 再說以前Blaster的年代~ 當初公司剛好建置了ISS的RealSecure的系統~ 所以哪台機器有感染了Blaster~ 上頭就會直接顯示出相關的警告訊息~ 其實你可以發現有些木馬會使用特定的連接埠(現在的比較活潑會更換) 來對外一些IP有一些惡意的連線 or Attack~ 若真的金額足夠的話,像我現在的公司已經設置NAC與UTM的部份~ (當然搭配IDS與IPS) 這些機制~ 我想種種的警告作為都可以提醒網管人員~ 當然有一些中央集控式防毒軟體(公司也佈建)~ 會主動發現主動切斷受害者機器的網路連線並提出警告給中央控制台~ (或者有能力就佈建 ISS SiteProtector,這套系統也有這樣的功能) PS: 公司的機器(除了行動裝置)之外,都已經部署中央集控式防毒與IDS的系統! 然而會針對行動裝置的網段~ 首先設計成"閘道驗證"再搭配"靜態ARP指派" 然後行動裝置要連線出去的網段~ 通常都會經過透通Proxy 來進行對外的存取使用防火牆進行封鎖該網段對於其他的區域與外部的連線來進行區隔一般來說~ 經過Proxy的管控~ 就可以查到該用戶的帳號的連線IP與連線時間~ 相關的網路連線紀錄等等~~~ 這都已經不是問題了~ 而且若是行動用戶要郵寄信件出去~ 都得透過內部的專屬行動伺服DMZ來進行服務~ 至於telnet外部等等~~ 通常都是封鎖~ 可能是公司都以web來進行內部的作業居多~ 不需要提供其他的服務(不必要)給員工 *** 以上都是經驗談~ 說的很凌亂~ 不過就是這樣的經驗!!! : 2.若上課時間員警來校表示由163.32.95.x這個真實ip在網路上進行不當言論或違法行為 : ，請貴單位調查當時使用者是誰，若您是網管人員，請問要如何追查 : (已確定員警是有權利追查的條件) : 我的想法是知道了這個真實ip，也就知道了這個ip是分配給哪個單位(假設是學務處) : 底下的ip皆為虛擬ip，請問要如何知道是哪個人呢?? : firewall是否都有提供了封包記錄追蹤的軟體介面，能讓網管人員知道這組虛擬ip : 在當時去了哪些網站。 : 若是您，您會怎麼提供追蹤方法呢??以上二題，謝謝各位前輩這要看你在內部有無設置連線的log server 以前公司就是沒有設置,然後公司的核心資料外流~ 造成重大損失~ 老闆火大~ 直接下令~ 要把這部份的資訊安全能量建立起來! 若是內部採用private ip跑NAT的PAT機制的話~ 其實問題稍微麻煩一點~ 一般來說~ 你要看你的DHCP Server有沒有核發紀錄~ 通常DHCP都是透過廣播來進行要求網路組態的部份~ 所以這個部份的重點應該是在於 DHCP的伺服器~ (若不是使用DHCP的機制,那問題比較簡單易點~ 通常都在L2 Switch當中設置Port-Security的功能就可以了~) 至於上網的機制監控~ 你得設置 sniffer ~ 像CA公司有出的ETrust~ 他就有一套蠻完整的log紀錄~ 公司就是建置這套系統再搭配某套能夠像後門的agent來回報用戶端的狀況 OK 先回歸正題~ 一般而言~ 會建置這套系統~ 通常都是觀看用戶端的連線紀錄、流量、封包內容等等... (這套的前身為Session Wall,有興趣的人自己去google就知道了) 當然我沒記錯的話,現在國內不少網通廠也有開發log server 建置在機房網路端的咽喉點來監控各個用戶的連線紀錄與情形~~~ 若比較沒有經費的公司~ 可以採用透通式Proxy~ 這樣也可以記錄用戶端的網路使用記錄~ 不過這要有相當的能力建置與觀看log 畢竟這部份的UI 還是遠比上面說的專人開發的UI還是有相當程度的差異~~~ 一般來說~ 若NAT設備擁有DHCP功能的話,就要看該設備是否支援log的功能... 來記錄所有的系統紀錄~ 這樣反而會比較好查看~ 我沒記錯的話, Linux 的 DHCP 服務有這樣的功能會去log用戶端每個要的IP等等其實若firewall為透通式的部份,通常都會放在WAN的部份~ 所以進出流量應該都是Log在於LAN的部份~ 之前公司有內部員工使用行動裝置來惡意攻擊內部的web server...(所謂的hack tool) 是沒有對web server造成什麼傷害~ 不過是沒有牽扯到WAN的部份~ 都是LAN端的事情~ 這樣查起來很快~ 那時候就是看 Web Server的LOG 上面有IP紀錄~ 然後針對IP去查詢DHCP的LOG(因為公司使用DHCP指派與加入靜態table) 這時候就會從DHCP伺服器知道MAC-Address了... 那時候就從65下手~ 先去看mac table之後~ 在去查那個port所連到底下的Switch... 之後在sh mac-add tab 之後~~~ 就知道哪個孔了~~~ 知道哪個孔之後~ 兇手就抓的到了... XDDD (剛好是NB插上行動區網的Switch Port) 其實調查這東西好像跟柯南一樣要全盤了解公司的網路運作架構之外~ 更要有清晰的頭腦~ 與冷靜的判斷力再搭配良好的邏輯推斷~~~ 才能夠抽絲剝繭的把問題找出來~~~ 然後針對問題進行Troubleshooting的動作 PS:以上均為經驗談~ 若有更好的先進~ 可以多多指導~ 感謝! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.116.248.253

推

stator

06/23 16:48, , 1^F

06/23 16:48, 1^F

→

stator

06/23 16:48, , 2^F

06/23 16:48, 2^F

推

stator

06/23 16:51, , 3^F

06/23 16:51, 3^F