Comunidad FORTIGATE.es

Hola, recientemente con ayuda de un consultor me ha creado una reglar que corta todo el trafico de mi LAN hacia internet mediante las categorias:

Botnet-C&C.Server
Malicious-Malicious.Server
Phishing-Phishing.Server
Proxy-Proxy.Server
VPN-Anonymizing.VPN.Server

Es decir todo lo que vaya a estas categorias lo corta.

Y al princpio parecia que todo estaba bien, 0 bytes de trafico.

Pero he descubierto que si ten 10, 12, 30 kb de trafico de salida intentando salir a diferentes IP y de diferentes PC.

Mirando "Matching log", veo ip origen, destino, fecha y hora. Y efectivamente cuando meto las ip de destino en virustotal.com se suele confirmar que son malotas.

¿Puedo capturar el contenido del paquete completo mediante alguna opción de sniffer?

Por qué quiero saber en el PC o PCs que hacen esto que ejecutable, servicios o aplicación hace este trafico.

Hoy lo he visto en un PC en el que he estado solo yo, haciendo updates de windows, adobe, chrome y poco mas.

Tampoco quiero montar un syslog y recoger todo el trafico ahi.

¿Alguna forma de auditar ese paquete o esos paquetes?

He pasado malwarebytes.org y no pilla nada.
En algún PC hay software de seguridad como watchguard y no pilla nada.

Tampoco quiero volverme loco, por que pueden ser drivers de windows que llaman a casa, o cualquier proceso de Office/Compresor/Lector PDF/ o algunos de los 200.000 ejecutables de windows.

Pero me gustaria descartar que sean BOT llamando a papi para ponerse a sus ordenes.

Hola,

En los logs que indicas debe aparecer el source que intenta la conexión a esos sitios, recuerda que tambien puedes activar el componente de block connection to botnet servers:

[Debes identificarte para poder ver enlaces.]

Saludos.