Conexiones Raras a sitios malos

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
fortiuser32
Mensajes: 5
Registrado: 13 Abr 2021, 14:04

Conexiones Raras a sitios malos

Mensaje por fortiuser32 »

Hola, recientemente con ayuda de un consultor me ha creado una reglar que corta todo el trafico de mi LAN hacia internet mediante las categorias:

Botnet-C&C.Server
Malicious-Malicious.Server
Phishing-Phishing.Server
Proxy-Proxy.Server
VPN-Anonymizing.VPN.Server

Es decir todo lo que vaya a estas categorias lo corta.

Y al princpio parecia que todo estaba bien, 0 bytes de trafico.

Pero he descubierto que si ten 10, 12, 30 kb de trafico de salida intentando salir a diferentes IP y de diferentes PC.

Mirando "Matching log", veo ip origen, destino, fecha y hora. Y efectivamente cuando meto las ip de destino en virustotal.com se suele confirmar que son malotas.

¿Puedo capturar el contenido del paquete completo mediante alguna opción de sniffer?

Por qué quiero saber en el PC o PCs que hacen esto que ejecutable, servicios o aplicación hace este trafico.

Hoy lo he visto en un PC en el que he estado solo yo, haciendo updates de windows, adobe, chrome y poco mas.

Tampoco quiero montar un syslog y recoger todo el trafico ahi.

¿Alguna forma de auditar ese paquete o esos paquetes?
fortiuser32
Mensajes: 5
Registrado: 13 Abr 2021, 14:04

Re: Conexiones Raras a sitios malos

Mensaje por fortiuser32 »

He pasado malwarebytes.org y no pilla nada.
En algún PC hay software de seguridad como watchguard y no pilla nada.

Tampoco quiero volverme loco, por que pueden ser drivers de windows que llaman a casa, o cualquier proceso de Office/Compresor/Lector PDF/ o algunos de los 200.000 ejecutables de windows.

Pero me gustaria descartar que sean BOT llamando a papi para ponerse a sus ordenes.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Conexiones Raras a sitios malos

Mensaje por makco10 »

Hola,

En los logs que indicas debe aparecer el source que intenta la conexión a esos sitios, recuerda que tambien puedes activar el componente de block connection to botnet servers:

[Debes identificarte para poder ver enlaces.]

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Responder