Consultas DNS de puerto de origen 4444

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
adminedensa
Mensajes: 9
Registrado: 17 Sep 2015, 13:27

Consultas DNS de puerto de origen 4444

Mensaje por adminedensa »

Alguna sugerencia como bloqueo las conexiones DNS que vengan con el puerto de origen 4444?.

Muchas gracias,

JCG.-
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Consultas DNS de puerto de origen 4444

Mensaje por gabyrossi »

Hola, el puerto de origen en dinamico...
cual es la idea?
son conexiones desde el exterior?
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
adminedensa
Mensajes: 9
Registrado: 17 Sep 2015, 13:27

Re: Consultas DNS de puerto de origen 4444

Mensaje por adminedensa »

Si son consultas externas.
Doy un ejemplo:
de 100 consultas DNS el 10% de ellas provienen distintas drecciones IP pero con el puerto de origen 4444. El resto (90% restante) ninguna repite el puerto. Una sola de ese 10 % consulta envia 1000 veces mas de bytes que todo el 90% restante, es decir si la suma del 90 % envió 10KB una sola de las consultas cuyo origen es 4444 pesa 10MB. (Solo son cifras figurativas).
La idea es que estas no me consuman ancho de banda.
JCG.-
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Consultas DNS de puerto de origen 4444

Mensaje por gabyrossi »

Hola, es que el puerto de origen lo establece en este caso el fortigate.
Se me ocurre bajar el tiempo de esas sessiones de dns
y dns lo abris a internet por que motivo?
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
adminedensa
Mensajes: 9
Registrado: 17 Sep 2015, 13:27

Re: Consultas DNS de puerto de origen 4444

Mensaje por adminedensa »

Es el dns publico del dominio registrado por la empresa. El puerto de origen no lo pone el fortinet. Lo verifique por sniffeo la interface externa y las consultas viene con ese puerto.
Donde bajo el tiempo de las sessiones de DNS? En el IPS?
JCG.-
Avatar de Usuario
gabyrossi
Mensajes: 10875
Registrado: 30 Oct 2007, 19:47

Re: Consultas DNS de puerto de origen 4444

Mensaje por gabyrossi »

# config system session-ttl

(session-ttl) # set default 300 [ default 3600 ]

(session-ttl) # config port
(port) # edit 0 (*2)
(1) # set protocol 17
(1) # set timeout 10
(1) # set end-port 53
(1) # set start-port 53
# end

(session-ttl) # end
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -
Responder