Networkforensic

Threat hunting

ESP - Encapsulation of IPsec Packets

05 - Oktober 2019  - Blog Post # 740

ESP
Ved alle normale IPSec forbindelser som benyttes i forbindele med VPN. Så kommer der altid en en ESP UDP pakke efter ISAKMP er opsat med et en speciel udformning i data payloadent. Denne pakke kan man benyttes til at se hvornår en VPN forbindelse er oprettet. Det kan være nyttigt såfremt man har netværk der ikke må oprettes VPN forbindelser til af en eller anden grund. Der kan være flere forskellige senarier. Det kunne eksempelvis være en leverandør der kun må tilgå fra bestemet ip adresser osv osv....




IDS Rules frigivet
Det kan anbefales at benyttes denne IDS rule, såfremt man gerne vil holde øje med om der bliver oprettet IPSec til host man har på et trustet netværk. Den ser på oprettet forbindelser der kommer udefra. Den vil støje såfremt den bliver benyttet på netværk der tillader oprettelse af IPSec.

Når den eksempel bliver triggeret i Security Onion så findes der mange muligheder hvor man kan bruge denne alert til aks at se fra hvilke lande forbindelser bliver oprettet.

 

 NF IDS Rules
5 Latest Updates   

IPSec from outside

Eternal Blue

Quasar RAT

PowerShell over HTTP

Remcos RAT

Download