Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Savoir identifier une attaque venue de l'exterieur.

Bonjour tout le monde, Je débute dans le monde réseau, je viens ici pour avoir de l'aide et conseils pour mieux maîtriser ce monde. Je travaille dans une boite, avec une équipe, on gère toute l'infrastructure réseau de la boite. On héberge des serveurs clients, par contre c'est les clients qui gèrent leurs serveurs, donc nous n'avons pas la main sur ces serveurs. Dernièrement on a constaté un problème de performance réseau, après de l’aide à droite à gauche, on s'est aperçu qu'un serveur client avait été hacké. Sur Firewall on voit des alertes IP spoofing IP source et destination relevées sur FW n'était jamais la même, mais par contre ça pointait sur la même interface au niveau FW, derrière cette interface il y a un switch. Ma question c'est comment faire pour identifier le serveur client infecté et couper que le port sur lequel est raccordé, afin d'éviter de couper tout le monde. Je crois qu'il y a des outils intégrés au FW (SSG520) mais je ne sais pas quels sont et comment les utiliser. S’il y a d’autres moyens ou solutions pour un diag rapide je suis preneur. Merci par avance de vos explications et lumière que vous pourriez m’apporter. Cordialement ❓

Regarde les adresses MAC déjà, ca te donnera peut-être le bon serveur. Si tu ne les connais pas, ping les serveurs un par un pour connaître leur mac et retrouver le bon.

elalitte, merci à toi de m'avoir répondu, mais à part pinguer est que le firewall ne dispose pas des outils en cli? Si oui lesquels et surtout comment les utiliser si tu connais. Merci.

Je ne connais pas ce firewall, mais tu peux configurer une machine avec linux en mode bridge et la placer au milieu si tu veux voir tout le trafic.

Ok, sinon connais tu des outils interessents pour ce genre de diag?

Wireshark est parfait pour cela. Sinon tcpdump en ligne de commande sous linux.