Alguna sugerencia como bloqueo las conexiones DNS que vengan con el puerto de origen 4444?.
Muchas gracias,
JCG.-
Consultas DNS de puerto de origen 4444
-
- Mensajes: 9
- Registrado: 17 Sep 2015, 13:27
Re: Consultas DNS de puerto de origen 4444
Hola, el puerto de origen en dinamico...
cual es la idea?
son conexiones desde el exterior?
cual es la idea?
son conexiones desde el exterior?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
- Mensajes: 9
- Registrado: 17 Sep 2015, 13:27
Re: Consultas DNS de puerto de origen 4444
Si son consultas externas.
Doy un ejemplo:
de 100 consultas DNS el 10% de ellas provienen distintas drecciones IP pero con el puerto de origen 4444. El resto (90% restante) ninguna repite el puerto. Una sola de ese 10 % consulta envia 1000 veces mas de bytes que todo el 90% restante, es decir si la suma del 90 % envió 10KB una sola de las consultas cuyo origen es 4444 pesa 10MB. (Solo son cifras figurativas).
La idea es que estas no me consuman ancho de banda.
JCG.-
Doy un ejemplo:
de 100 consultas DNS el 10% de ellas provienen distintas drecciones IP pero con el puerto de origen 4444. El resto (90% restante) ninguna repite el puerto. Una sola de ese 10 % consulta envia 1000 veces mas de bytes que todo el 90% restante, es decir si la suma del 90 % envió 10KB una sola de las consultas cuyo origen es 4444 pesa 10MB. (Solo son cifras figurativas).
La idea es que estas no me consuman ancho de banda.
JCG.-
Re: Consultas DNS de puerto de origen 4444
Hola, es que el puerto de origen lo establece en este caso el fortigate.
Se me ocurre bajar el tiempo de esas sessiones de dns
y dns lo abris a internet por que motivo?
Se me ocurre bajar el tiempo de esas sessiones de dns
y dns lo abris a internet por que motivo?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
- Mensajes: 9
- Registrado: 17 Sep 2015, 13:27
Re: Consultas DNS de puerto de origen 4444
Es el dns publico del dominio registrado por la empresa. El puerto de origen no lo pone el fortinet. Lo verifique por sniffeo la interface externa y las consultas viene con ese puerto.
Donde bajo el tiempo de las sessiones de DNS? En el IPS?
JCG.-
Donde bajo el tiempo de las sessiones de DNS? En el IPS?
JCG.-
Re: Consultas DNS de puerto de origen 4444
# config system session-ttl
(session-ttl) # set default 300 [ default 3600 ]
(session-ttl) # config port
(port) # edit 0 (*2)
(1) # set protocol 17
(1) # set timeout 10
(1) # set end-port 53
(1) # set start-port 53
# end
(session-ttl) # end
(session-ttl) # set default 300 [ default 3600 ]
(session-ttl) # config port
(port) # edit 0 (*2)
(1) # set protocol 17
(1) # set timeout 10
(1) # set end-port 53
(1) # set start-port 53
# end
(session-ttl) # end
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst