Sobre trafico mailicioso y como identificarlo

Mi estimado Jaisol,
primero que todo, te compadesco si tu tarea es hacer este tipo de
revisiones por tu propio ojo.
Este tipo de trafico tiene muchas presentaciones, por ejemplo, creo que
todos los administradores peleamos contra messenger, pero no lo podemos
bloquear, porque? porque la version 7.5 pasa por el puerto 80. Con lo
cual, nosotros a simple vista por puertos es imposible distinguir. Lo que
se tiene que hacer es analizar cada uno de los paquetes para encontrar
informacion de la aplicacion que esta pasando por ese puerto, y separarla
de http, a esto (en Checkpoint, en muy resumidas cuentas) se le llama
"Aplication Intelligence" lo cual siginifica que por medio del analisis de
cada uno de los paquetes tenga una respuesta personalizada.
Lo que yo te recomiendo es, ya sea que quieras bloquear o monitorear este
trafico "malicioso", poner un equipo con tales caracteristicas, CheckPoint
o en SonicWALL con su IPS y de esta manera sabras exactamente que pasa en
tu red, ya que TU analizar todos esos millones de paquetes de un día,
estaria sumamente complicado, si no es que imposible.

Saludos y espero haber ayudado un poco.

JR
"Jaisol" escribió en el mensaje
news:

No se si mi interpretacion sobre lo q es trafico malicioso (mucho se
habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo
y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen
uso
del recurso afectando (rendimiento, timeouts, cuellos de botella,
problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos,
...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades
como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs
del
ISA pero una vez dentro de ellos me resulta dificil interpretar este tipo
de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a
la
pregunta de como interpretar estos datos me salen con una corta y una
larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico
malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto,
tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera
bienvenido.

Saludos y Gracias.

Hola Jose, no estoy de acuerdo en un par de cosas:
1-No es necesario aplicar filtrado HTTP para bloquear MSN Messenger,
aunque es perfectamente valido y tambien muy sencillo. Bloqueando el
protocolo MSN Messenger y el destino *.msgr.hotmail.com,
suficiente.Mediante firmas HTTP tambien es muy sencillo. Con ISA al menos
lo es
2-Si quiero un buen IDS/IPS, instalare eso, un IDS/IPS. Un firewall, hoy
por hoy, no es un IDS/IPS, por mucho que se empeñen los señores del
marketing..

Un saludo.
Ivan
MS MVP ISA Server

"Jose Ramirez" escribió en el mensaje
news:

Mi estimado Jaisol,
primero que todo, te compadesco si tu tarea es hacer este tipo de
revisiones por tu propio ojo.
Este tipo de trafico tiene muchas presentaciones, por ejemplo, creo que
todos los administradores peleamos contra messenger, pero no lo podemos
bloquear, porque? porque la version 7.5 pasa por el puerto 80. Con lo
cual, nosotros a simple vista por puertos es imposible distinguir. Lo que
se tiene que hacer es analizar cada uno de los paquetes para encontrar
informacion de la aplicacion que esta pasando por ese puerto, y separarla
de http, a esto (en Checkpoint, en muy resumidas cuentas) se le llama
"Aplication Intelligence" lo cual siginifica que por medio del analisis
de cada uno de los paquetes tenga una respuesta personalizada.
Lo que yo te recomiendo es, ya sea que quieras bloquear o monitorear este
trafico "malicioso", poner un equipo con tales caracteristicas,
CheckPoint o en SonicWALL con su IPS y de esta manera sabras exactamente
que pasa en tu red, ya que TU analizar todos esos millones de paquetes de
un día, estaria sumamente complicado, si no es que imposible.

Saludos y espero haber ayudado un poco.

JR
"Jaisol" escribió en el mensaje
news:

No se si mi interpretacion sobre lo q es trafico malicioso (mucho se
habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo
y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen
uso
del recurso afectando (rendimiento, timeouts, cuellos de botella,
problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea
cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos,
...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades
como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs
del
ISA pero una vez dentro de ellos me resulta dificil interpretar este
tipo de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a
la
pregunta de como interpretar estos datos me salen con una corta y una
larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico
malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto,
tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera
bienvenido.

Saludos y Gracias.

Hola Jose, no estoy de acuerdo en un par de cosas:
1-No es necesario aplicar filtrado HTTP para bloquear MSN Messenger,
aunque es perfectamente valido y tambien muy sencillo. Bloqueando el
protocolo MSN Messenger y el destino *.msgr.hotmail.com,
suficiente.Mediante firmas HTTP tambien es muy sencillo. Con ISA al menos
lo es
2-Si quiero un buen IDS/IPS, instalare eso, un IDS/IPS. Un firewall, hoy
por hoy, no es un IDS/IPS, por mucho que se empeñen los señores del
marketing..

Un saludo.
Ivan
MS MVP ISA Server

"Jose Ramirez" escribió en el mensaje
news:

Mi estimado Jaisol,
primero que todo, te compadesco si tu tarea es hacer este tipo de
revisiones por tu propio ojo.
Este tipo de trafico tiene muchas presentaciones, por ejemplo, creo que
todos los administradores peleamos contra messenger, pero no lo podemos
bloquear, porque? porque la version 7.5 pasa por el puerto 80. Con lo
cual, nosotros a simple vista por puertos es imposible distinguir. Lo que
se tiene que hacer es analizar cada uno de los paquetes para encontrar
informacion de la aplicacion que esta pasando por ese puerto, y separarla
de http, a esto (en Checkpoint, en muy resumidas cuentas) se le llama
"Aplication Intelligence" lo cual siginifica que por medio del analisis
de cada uno de los paquetes tenga una respuesta personalizada.
Lo que yo te recomiendo es, ya sea que quieras bloquear o monitorear este
trafico "malicioso", poner un equipo con tales caracteristicas,
CheckPoint o en SonicWALL con su IPS y de esta manera sabras exactamente
que pasa en tu red, ya que TU analizar todos esos millones de paquetes de
un día, estaria sumamente complicado, si no es que imposible.

Saludos y espero haber ayudado un poco.

JR
"Jaisol" escribió en el mensaje
news:

No se si mi interpretacion sobre lo q es trafico malicioso (mucho se
habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo
y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen
uso
del recurso afectando (rendimiento, timeouts, cuellos de botella,
problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea
cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos,
...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades
como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs
del
ISA pero una vez dentro de ellos me resulta dificil interpretar este
tipo de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a
la
pregunta de como interpretar estos datos me salen con una corta y una
larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico
malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto,
tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera
bienvenido.

Saludos y Gracias.

Hola Jose, no estoy de acuerdo en un par de cosas:
1-No es necesario aplicar filtrado HTTP para bloquear MSN Messenger,
aunque es perfectamente valido y tambien muy sencillo. Bloqueando el
protocolo MSN Messenger y el destino *.msgr.hotmail.com,
suficiente.Mediante firmas HTTP tambien es muy sencillo. Con ISA al menos
lo es
2-Si quiero un buen IDS/IPS, instalare eso, un IDS/IPS. Un firewall, hoy
por hoy, no es un IDS/IPS, por mucho que se empeñen los señores del
marketing..

Un saludo.
Ivan
MS MVP ISA Server

"Jose Ramirez" escribió en el mensaje
news:

Mi estimado Jaisol,
primero que todo, te compadesco si tu tarea es hacer este tipo de
revisiones por tu propio ojo.
Este tipo de trafico tiene muchas presentaciones, por ejemplo, creo que
todos los administradores peleamos contra messenger, pero no lo podemos
bloquear, porque? porque la version 7.5 pasa por el puerto 80. Con lo
cual, nosotros a simple vista por puertos es imposible distinguir. Lo que
se tiene que hacer es analizar cada uno de los paquetes para encontrar
informacion de la aplicacion que esta pasando por ese puerto, y separarla
de http, a esto (en Checkpoint, en muy resumidas cuentas) se le llama
"Aplication Intelligence" lo cual siginifica que por medio del analisis
de cada uno de los paquetes tenga una respuesta personalizada.
Lo que yo te recomiendo es, ya sea que quieras bloquear o monitorear este
trafico "malicioso", poner un equipo con tales caracteristicas,
CheckPoint o en SonicWALL con su IPS y de esta manera sabras exactamente
que pasa en tu red, ya que TU analizar todos esos millones de paquetes de
un día, estaria sumamente complicado, si no es que imposible.

Saludos y espero haber ayudado un poco.

JR
"Jaisol" escribió en el mensaje
news:

No se si mi interpretacion sobre lo q es trafico malicioso (mucho se
habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo
y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen
uso
del recurso afectando (rendimiento, timeouts, cuellos de botella,
problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea
cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos,
...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades
como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs
del
ISA pero una vez dentro de ellos me resulta dificil interpretar este
tipo de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a
la
pregunta de como interpretar estos datos me salen con una corta y una
larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico
malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto,
tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera
bienvenido.

Saludos y Gracias.

Hola Jose, no estoy de acuerdo en un par de cosas:
1-No es necesario aplicar filtrado HTTP para bloquear MSN Messenger,
aunque es perfectamente valido y tambien muy sencillo. Bloqueando el
protocolo MSN Messenger y el destino *.msgr.hotmail.com,
suficiente.Mediante firmas HTTP tambien es muy sencillo. Con ISA al menos
lo es
2-Si quiero un buen IDS/IPS, instalare eso, un IDS/IPS. Un firewall, hoy
por hoy, no es un IDS/IPS, por mucho que se empeñen los señores del
marketing..

Un saludo.
Ivan
MS MVP ISA Server

"Jose Ramirez" escribió en el mensaje
news:

Mi estimado Jaisol,
primero que todo, te compadesco si tu tarea es hacer este tipo de
revisiones por tu propio ojo.
Este tipo de trafico tiene muchas presentaciones, por ejemplo, creo que
todos los administradores peleamos contra messenger, pero no lo podemos
bloquear, porque? porque la version 7.5 pasa por el puerto 80. Con lo
cual, nosotros a simple vista por puertos es imposible distinguir. Lo que
se tiene que hacer es analizar cada uno de los paquetes para encontrar
informacion de la aplicacion que esta pasando por ese puerto, y separarla
de http, a esto (en Checkpoint, en muy resumidas cuentas) se le llama
"Aplication Intelligence" lo cual siginifica que por medio del analisis
de cada uno de los paquetes tenga una respuesta personalizada.
Lo que yo te recomiendo es, ya sea que quieras bloquear o monitorear este
trafico "malicioso", poner un equipo con tales caracteristicas,
CheckPoint o en SonicWALL con su IPS y de esta manera sabras exactamente
que pasa en tu red, ya que TU analizar todos esos millones de paquetes de
un día, estaria sumamente complicado, si no es que imposible.

Saludos y espero haber ayudado un poco.

JR
"Jaisol" escribió en el mensaje
news:

No se si mi interpretacion sobre lo q es trafico malicioso (mucho se
habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo
y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen
uso
del recurso afectando (rendimiento, timeouts, cuellos de botella,
problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea
cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos,
...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades
como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs
del
ISA pero una vez dentro de ellos me resulta dificil interpretar este
tipo de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a
la
pregunta de como interpretar estos datos me salen con una corta y una
larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico
malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto,
tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera
bienvenido.

Saludos y Gracias.