Чем следить, детектить подозрительный трафик? Офис примерно 80 компов, отделы разложены по виланам. На большинстве компов 10-ка но есть старые ноуты где еще 7-ка. Нормальный антивирус редкое явление. На это неделе провайдер дважды блокировал наш офисный IP из за подозрительно трафика. Пообщавшись с тех поддержкой мне сказали по каким портам активность. Начал "снифить" сеть tcpdamp'om И действительно нашел зараженный ноут с которого в интернет постоянно идут запросы на порты 22, 8728 и 8291 на разные апишники. Весь офис выходит в интернет через шлюз - обычный сервер с FreeBSD 11.4 На фряхе в качестве фаерволла - Packet Filter (PF) Подскажите чем можно отслеживать, детектировать подобный трафик? И как вообще за этим следить?

Предыдущий
вопрос Следующий
вопрос

Для отслеживания и детектирования подозрительного трафика в сети офиса вы можете использовать специализированные системы мониторинга и безопасности, такие как системы интранет-детектирования (IDS) и интранет-предотвращения (IPS). IDS может помочь обнаруживать аномальную активность в сети, включая атаки, вирусы и другие угрозы, в то время как IPS может предотвращать их распространение.

Кроме того, можно использовать специализированные программы мониторинга сетевого трафика, такие как Wireshark или tcpdump, чтобы анализировать сетевой трафик и искать аномалии и подозрительную активность. Также рекомендуется регулярно проверять журналы событий и сетевые логи на наличие подозрительной активности.

Для обеспечения более надежной защиты сети вы также можете установить более надежные антивирусные программы на все компьютеры, обновлять программное обеспечение и операционные системы регулярно, а также обучать сотрудников правилам безопасности в интернете. Важно также иметь четкую политику безопасности сети и регулярно проверять ее соблюдение.

Наконец, важно иметь план реагирования на инциденты безопасности, включая изоляцию зараженных компьютеров, обновление системы безопасности и сотрудничество с провайдером интернет-услуг для блокирования подозрительного трафика.