Sobre trafico mailicioso y como identificarlo

14/02/2006 - 22:04 por Jaisol | Informe spam
No se si mi interpretacion sobre lo q es trafico malicioso (mucho se habla
de codigo malicioso) sea correcta y tal vez sea un termino muy subjetivo y
amplio.

Entiendo por trafico malicioso aquel trafico que atenta contra el buen uso
del recurso afectando (rendimiento, timeouts, cuellos de botella, problemas
de protocolos, flooding) la comunicacion entre equipos/servicios sea cual
sea el origen. Por lo q leo pueden ser intencionados (virus, troyanos, ...)
como no intencionados (malas configuraciones/instalaciones, bugs, p2p,
"aceleradores" de descargas, ...)

He leido sobre analizadores y monitoreo de red, sniffers y utilidades como
el Microsoft Network Monitor o Ethereal entre otros, o los mismos Logs del
ISA pero una vez dentro de ellos me resulta dificil interpretar este tipo de
trafico.

Tambien he conversado con "conocedores" en la materia y siempre me
recomiendan ejecutar un analizador/monitoreo de red o un sniffer pero a la
pregunta de como interpretar estos datos me salen con una corta y una larga
sin aterrizar.

Es aqui donde agradezco puedan guiarme a como identificar trafico malicioso
en una LAN?

Tienen algun patron y/o caracteristica en comun (protocolo, puerto, tamaño,
...) o alguna pista q ayude a identificarlos?

Por supuesto cualquier comentario/sugerencia/recomendacion sera bienvenido.

Saludos y Gracias.

Preguntas similare

Leer las respuestas

#36 Jose Ramirez
21/02/2006 - 19:49 | Informe spam
Muchisimas gracias por todos tus comentarios hemos aprendido bastante del
uso del messenger y de como bloquearlo. Mi única apreciación es que no solo
esta en la dirección *.msgr.hotmail.com, desgraciadamente. Y para bloquearlo
por url efectivamente necesito bloquear loginnet lo cual me deshabilita el
hotmail jejeje he ahi parte del dilema.

Muchas gracias por esta completa explicacion y espero que nos haya quedado
claro tu gran conocimiento al respecto. :-|

Saludos Ivan "MS MVP"

"Ivan [MS MVP]" escribió en el mensaje
news:
Jose, mi intencion solo es decir como funciona MSN Messenger, y al menos a
dia de hoy, bloqueando el dominio *.msgr.hotmail.com, se impide su
funcionamiento a traves de HTTP, mañana ? ya veremos ;-)
No acabo de entender tu afirmacion de que no sirve de nada el bloqueo de
ese destino.. si sirve, si para MSN Messenger. Aun a riesgo de parecer
un pesado, me gustaria dejar claro que a dia de hoy, MSN Messenger se
puede bloquear de varias formas:
1-No permitiendo el protocolo MSN Messenger (1863 TCP) y HTTPS (443 TCP).
2-La misma de antes pero hilando mas fino: denegar MSN Messenger y HTTPS
solo contra el destino loginnet.passport.com.
3-Mas sencillo aun : denegar solo HTTPS contra el destino
loginnet.passport.com.
Como lo logico las reglas de un firewall es permitir solo HTTPS contra
determinados sitios y nunca de forma indiscriminada, con no inlcuir el
destino loginnet.passport.com dentro de los sitios que estan permitidos
mediante el protocolo HTTPS ya estaria arreglado Hay que decir que al
denegar el destino loginnet.pasport.com, perdemos la posibilidad de usar
cualquier otor servicio basado en pasport, como por ejemplo hotmail.
4-Denegar el protocolo MSN Messenger y para evitar su funcionamiento a
traves de HTTP, denegar HTTP contra el destino *.msgr.hotmail.com
5-Denegar el protocolo MSN Messenger y para evitar su funcionamiento a
traves de HTTP, en los response headers denegar el siguiente header:

Y no, tampoco pretendo decir que los firewall que mencionas sean malos
productos, vamos. ni muchisimo menos simplemente intento recalcar
que una cosa es el marketing y otra muy distinta los capacidades reales
del producto.

En fin...que quizas estamos hablando de cosas distintas ;-) No he
intentado en ningun monento decir que hay que bloquear todos esos
programas sin recurrir a productos de terceros, simplemente que es posible
y sin grandes requerimientos, como por ejemeplo que no es necesario
filtrado HTTP ( a nivel de aplicacion), para denegar un producto como
messenger.
Claro que soy partidario de esos productos... es como pretender
denegar sitios de pornografia en base a listas negras... pues lo llevamos
claro.. ni que decir tiene que to tambien prefiero que un producto de
terceros, que tiene gente trabajando solo en esto, me lo de hecho
La pregunta inicial era de caracter generico, eso esta claro, pero, yo
siempre me he centrado en la problematica de MSN Messenger matizando un
par de tus apreciaciones. En todo lo demas, creo que estamos de acuerdo
;-)

Un saludo.
Ivan
MS MVP ISA Server

Ivan
MS MVP ISA Server
"Jose Ramirez" escribió en el mensaje
news:%
Ivan muchas gracias por todos tus comentarios esperamos que a Jaisol le
hayan servido.
Por mi parte, creo que esta de mas hablar. Nunca podre comparar un IDS
contra un todo en uno, y nunca sera mi intencion, lo reitero. Pero
existen equipos a bajo costo que con un servicio como lo es de SonicWALL
he podido efectivamente parar todos los tipos de messenger,
independientemente de su version o proveedor, y es con estos servicios en
particular, lo cual es la respuesta a la pregunta inicial de Jaisol a la
cual intente responder segun mi experiencia personal, porque a lo mejor
como yo, el se ha topado con cientos de "usuarios" que intentan por
cualquier forma salir a internet y no importa por donde sea, y con
bloquear "msgr.hotmail.com" nunca me servira de nada. Definitivamente te
puedes ir bloqueando por dominios, y no hay problema... pero cuando son
50 o 60 destinos (entre dominios e IPs) el tiempo que inviertes es
demasiado, por lo tanto he preferido dejarlo a un grupo de gente que
trabaja buscando eso... como distintos productos y servicios que lo
pueden realizar.

No solamente hablo de MSN Messenger por la pagina principal, sino por
todos los lugares desde los cuales te puedes conectar a dicho servicio.
En fin son los comentarios de una persona non MS MVP, con algunos otros
atributos y titulos... pero no de tal experiencia.

Espero que Jaisol haya aprovechado tanto como yo de este intercambio de
mensajes.

Saludos Ivan MS MVP y a todos!
JR


"Ivan [MS MVP]" escribió en el mensaje
news:%
"Jose Ramirez" escribió en el mensaje
news:
-Actualmente el MSN Messenger esta corriendo por el puerto 80, por lo
cual tendrías que analizar ese puerto.



Se conecta a diferentes IPs, pero todas esas IPs pertenecen al
subdominio "msgr.hotmail.com", por lo tanto, con denegar el destino
*.msgr.hotmail.com, asunto arreglado No es necesario aplicar
filtrado HTTP, aunque como te decia anteriormente, es perfectamentre
valido y funcional para denegar su uso.

-En cuanto al IPS, esa es una de las funciones que especificamente
tiene SonicWALL con esa licencia. Y de esa manera puedes bloquearlo.
Mas no es necesario para realizarlo como se lo comento con CheckPoint.



Dudo mucho que puedas conpararlo con Snort, ISS, McAfee, etc quien
mucho abarca, poco aprieta Todoslos fabricantes de firewall venden
la moto diciendo que tienen capacidades de IDS/IPS (puro Marketing y del
malo). Si por detectar un port scan y un par de ataques mas, dicen
que es un sistema IDS, vamos no se lo creen ni ellos ;-)

-Si solo bloqueas esa direccion, tienes por lo menos 50 mas, segun lo
que yo he logrado detectar en algunos meses tratando de bloquear el
trafico de tipo mensajeria instantanea.



Nope. Lo que te decia al principio Cuando utiliza HTTP (que no 1863
TCP), utiliza varios servidores cuyas IPs pertenecen todas al subdominio
msgr.hotmail.com. Analizado y mira esas IPs, luego realiza unas simples
querys inversas y lo veras

Ya que existen e-messenger, y demas formas de conectarte a tal servicio.



Hablamos de MSN Messenger, no de AOL, Yahoo, etc, etc... cada sistema
tiene sus peculiaridades y logicamente es absolutamente imposible
pretender bloquear todos de la misma forma Respecto MSN Messenger,
por defecto lo intenta sobre 1863 TCP, y si no es posible, lo intenta
sobre HTTP. HTTPS se utiliza siempre para autentificacion, no hay mas
cera que la que arde esas son sus formas de comunicacion, que no son
pocas ;-) no hemos hablado de la version web, que tambien es sumamente
sencillo de impedir su uso

My 1,5 cents.

Un saludo.
Ivan
MS MVP ISA Server









email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida