作者wst2080 (有宝妮小天使真棒)
看板Network
标题Re: [问题] 请问二题实作上的问题
时间Wed Jun 23 15:23:41 2010
※ 引述《stator (别急着吃棉花糖)》之铭言:
: 这二题是属於问答题~题目没有一定答案
: 因为较无网管的经验,所以po上来和各位前辈及w版大请教
: 1.电脑病毒和木马程式泛滥,如果校内某部电脑中毒,将导致整个校园网路拥塞和摊痪
: 若您是学校网管,要如何解决这个问题(需确实可行且成本符合学校负担范围)
: 今天请教了学校的网管人员,它说可由二个部份,第一是先从各单位各栋大楼的
: switch来监视封包流量是否异常。若某台主机发送大量封包,必须先将这台主机在
: firewall的rule里 disabled 掉。(这是属於内部的部份)、
: 第二是从firewall来看对外的流量是否异常~
: 感觉以上的方法较笼统~不知是否有更具体的意见或解决方法能提供我参考呢??谢谢
这个在业界还蛮常碰到的... XDDD
我说一下我在公司的经验好了~ 可能公司的架构与布建还算完善~ 所以我怕我说的
会不会太深入我就不得而知了~ XDDD 若有更好的方式~ 我想可以请更先进的技术
来加以指导~ 毕竟每间公司采取的手段与手腕都是不尽相同的~~~
当然这可能牵扯到"政治"、"预算"、"架构"...等等的问题~
OK 废话不多说了~ 其实在於当初规划的架构与建置的部份~
一般来说木马中毒之後~ 会对外主动连线的状况居多~
这时候通常都是分析firewall的log~ 来看一下连线的纪录等等~
(这种方法既传统又费时)
後来比较专业的都会使用MRTG (这个是免费的,而且比看firewall Log来的轻松)
以图形的UI显示~ 或者是列出异常连线数的部份...
再说以前Blaster的年代~ 当初公司刚好建置了ISS的RealSecure的系统~
所以哪台机器有感染了Blaster~ 上头就会直接显示出相关的警告讯息~
其实你可以发现有些木马会使用特定的连接埠(现在的比较活泼 会更换)
来对外一些IP有一些恶意的连线 or Attack~
若真的金额足够的话,像我现在的公司已经设置NAC与UTM的部份~
(当然搭配IDS与IPS) 这些机制~ 我想种种的警告作为都可以提醒网管人员~
当然有一些中央集控式防毒软体(公司也布建)~
会主动发现 主动切断受害者机器的网路连线并提出警告给中央控制台~
(或者有能力就布建 ISS SiteProtector,这套系统也有这样的功能)
PS: 公司的机器(除了行动装置)之外,都已经部署中央集控式防毒与IDS的系统!
然而会针对行动装置的网段~ 首先设计成"闸道验证"再搭配"静态ARP指派"
然後行动装置要连线出去的网段~ 通常都会经过 透通Proxy 来进行对外的存取
使用防火墙进行封锁该网段对於其他的区域与外部的连线来进行区隔
一般来说~ 经过Proxy的管控~ 就可以查到该用户的帐号的连线IP与连线时间~
相关的网路连线纪录等等~~~ 这都已经不是问题了~
而且若是行动用户要邮寄信件出去~ 都得透过内部的专属行动伺服DMZ来进行服务~
至於telnet外部等等~~ 通常都是封锁~
可能是公司都以web来进行内部的作业居多~ 不需要提供其他的服务(不必要)给员工
*** 以上 都是经验谈~ 说的很凌乱~ 不过就是这样的经验!!!
: 2.若上课时间员警来校表示由163.32.95.x这个真实ip在网路上进行不当言论或违法行为
: ,请贵单位调查当时使用者是谁,若您是网管人员,请问要如何追查
: (已确定员警是有权利追查的条件)
: 我的想法是知道了这个真实ip,也就知道了这个ip是分配给哪个单位(假设是学务处)
: 底下的ip皆为虚拟ip,请问要如何知道是哪个人呢??
: firewall是否都有提供了封包记录追踪的软体介面,能让网管人员知道这组虚拟ip
: 在当时去了哪些网站。
: 若是您,您会怎麽提供追踪方法呢??以上二题,谢谢各位前辈
这要看你在内部有无设置连线的log server
以前公司就是没有设置,然後公司的核心资料外流~ 造成重大损失~
老板火大~ 直接下令~ 要把这部份的资讯安全能量建立起来!
若是内部采用private ip跑NAT的PAT机制的话~ 其实问题稍微麻烦一点~
一般来说~ 你要看你的DHCP Server有没有核发纪录~
通常DHCP都是透过广播来进行要求网路组态的部份~
所以这个部份的重点应该是在於 DHCP的伺服器~
(若不是使用DHCP的机制,那问题比较简单易点~ 通常都在L2 Switch当中
设置Port-Security的功能就可以了~)
至於上网的机制监控~ 你得设置 sniffer ~
像CA公司有出的ETrust~ 他就有一套蛮完整的log纪录~
公司就是建置这套系统 再搭配某套能够像後门的agent来回报用户端的状况
OK 先回归正题~ 一般而言~
会建置这套系统~ 通常都是观看用户端的连线纪录、流量、封包内容等等...
(这套的前身为Session Wall,有兴趣的人自己去google就知道了)
当然我没记错的话,现在国内不少网通厂也有开发log server
建置在机房网路端的咽喉点来监控各个用户的连线纪录与情形~~~
若比较没有经费的公司~ 可以采用透通式Proxy~
这样也可以记录用户端的网路使用记录~ 不过这要有相当的能力建置与观看log
毕竟这部份的UI 还是远比上面说的专人开发的UI还是有相当程度的差异~~~
一般来说~ 若NAT设备拥有DHCP功能的话,就要看该设备是否支援log的功能...
来记录所有的系统纪录~ 这样反而会比较好查看~
我没记错的话, Linux 的 DHCP 服务有这样的功能 会去log用户端每个要的IP等等
其实若firewall为透通式的部份,通常都会放在WAN的部份~
所以进出流量应该都是Log在於LAN的部份~
之前公司有内部员工使用行动装置来恶意攻击内部的web server...(所谓的hack tool)
是没有对web server造成什麽伤害~
不过是没有牵扯到WAN的部份~ 都是LAN端的事情~ 这样查起来很快~
那时候就是看 Web Server的LOG 上面有IP纪录~
然後针对IP去查询DHCP的LOG(因为公司使用DHCP指派与加入静态table)
这时候就会从DHCP伺服器知道MAC-Address了...
那时候就从65下手~ 先去看mac table之後~ 在去查那个port所连到底下的Switch...
之後在sh mac-add tab 之後~~~ 就知道哪个孔了~~~
知道哪个孔之後~ 凶手就抓的到了... XDDD
(刚好是NB插上行动区网的Switch Port)
其实调查这东西 好像跟柯南一样 要全盘了解公司的网路运作架构之外~
更要有清晰的头脑~ 与冷静的判断力 再搭配良好的逻辑推断~~~
才能够抽丝剥茧的把问题找出来~~~ 然後针对问题进行Troubleshooting的动作
PS:以上均为经验谈~ 若有更好的先进~ 可以多多指导~ 感谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 122.116.248.253
1F:推 stator:谢谢W大,那像是若在网咖,使用的人不断在更换,若有心人士 06/23 16:48
2F:→ stator:要做违法的事,当查到为该电脑所为,要怎麽知道是该人所做? 06/23 16:48
3F:推 stator:所以最重要的还是看DHCP sever的里面的纪录比对mac位址 06/23 16:51
4F:→ stator:也学了不少,谢谢w大 06/23 16:51
5F:→ wst2080:设定每台机器为保留区啊 指派固定的IP 收回网咖的管理权限 06/23 17:01
6F:→ wst2080:不要给使用者去更改 这样就OK啦 06/23 17:01
7F:→ wst2080:写的还蛮乱的... 不太想写以前公司的ISO文件的模式 XDD 06/23 17:01
8F:推 xxoo1122:防火墙可以开启syslog,每条连线都会纪录.... 06/24 22:36
9F:推 SmallBeeWayn:网咖电脑比较少...只要知道事发时间应该就能对应 06/25 04:26