Показано с 1 по 7 из 7.

Сделать ловушку для зловредов. Как?

  1. #1
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    155
    Вес репутации
    29

    Сделать ловушку для зловредов. Как?

    В сети предприятия более 10-ти подсетей.
    Отвечаю за несколько подсетей, что происходит в остальных сетях понятия не имею, есть контакт с тамошними админами, но они неподвласны.
    Постоянно откудато лезут проблемы.
    У себя в хозяйстве, развернул Антивирус проапдейтил системы(чувствую себя более менее защищенно).

    Была ситуация, поставил ХР СП1 + НОД через пару минут, НОД закричал, что идёт атака с соседней подсети.

    Когда машина со всеми паками и обновлена, атаки не видать(дырки закрыты).

    Появилась мысль, сделать типа Песочницу для вирусов виртуальная машина с Win-SP1, которая полнофункционально взаимодействует с сетью предприятия.

    Открыта со всех сторон для збора всего мусора который бродит по сети.

    Вопрос Какими средствами и каким образом, можно мониторить, что происходит на машине, дабы знать чего в сети происходит и предпринимать соответствующие меры.

    Или может есть другая методика, для достижения желаемого результата?
    йцукен

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Ловушка - это экстремальный метод (вырус может положить всю сеть и может не попасть в ловушку) ... Есть куда более простые методы:
    1. Сеть поделить на подсети, между ними поставить Firewall/роутер, на роутере запретить все по максимуму и установить IDS. Это как показывает практика делается на FreeBSD за пару дней, если не спешитью.
    2. Установить корпоративный антивирус, принудительное управление и блокировка отклбючения только из центра, в корпоративном антивирусе на всех ПК включить обнаружение атак (это делает антихакер в KAV например) и в базу центра управления будут поступать оперативные данные, что кого и откуда атакует. Если антивирус это не умеет - выкинуть его и перейти на шаг 2
    3. Поднять у себя в сети WSUS сервер и подключить к нему все ПК - чтобы он заапдейтил их до упора
    4. Позакрывать расшаренные папки у юзеров, понаставить им паролей, поотключать автозапуск
    И все будет хорошо ...

  4. #3
    Junior Member Репутация
    Регистрация
    20.07.2009
    Сообщений
    155
    Вес репутации
    29
    Первые два пункта реализованы.

    3 и 4 в планах.

    Вот просто ситуация с тем как машина с СП1 зафиксировала атаку, а остальные на которых SP3 нет, так как дырки закрыты.

    Но зараза то в сети бродит.

    Или кто-то из босов с буком придет, в сеть тырк а там лисец, машины с 3 SP как в танке сидят, а на буке что-то типа Conficker-а сетку опросил и давай пробивать.

    И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
    И буду знать, что там-то зверь сидит, необходимо меры предпринять.
    йцукен

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Бумбарам Посмотреть сообщение
    Первые два пункта реализованы.
    ...
    И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
    И буду знать, что там-то зверь сидит, необходимо меры предпринять.
    Плохо значит реализованы ... как я писал выше, антивирус может детектировать сетевые атаки. Тот же KAV 6 WKS например "антихакером" ловит атаки KIDO и аналогичных зверей, получается примерно вот такое в логе:
    Код:
    Событие Обнаружение сетевых атак произошло на компьютере ... в домене ... в Mon Aug 10 16:22:59 2009
    Intrusion.Win.LSASS.exploit! IP-адрес атакующего: .... . Протокол/сервис: TCP на локальный порт 445. Время: 10.08.2009 16:22:59
    В такой ситуации "ловушками" будут поголовно все ПК в сети и логи немедленно покажут, откуда идет атака и какого она типа. Если в сети 100 ПК, то эффективность будет на два порядка выше (!!), чем у одиночной ловушки. По поводу ноутбуков еще проще - для них нетрудно сделать "гостевую WiFi сеть", имеющую выход в Инет и доступ к корпоративным ресурсам ЛВС, но никуда более

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для antanta
    Регистрация
    27.12.2008
    Адрес
    Алматы
    Сообщений
    687
    Вес репутации
    504
    Такие ловушки называются "Honeypot", их и обычно ставят антивирусные компании и прочие секурники, для поимки свежих зверьков, а также для обнаружения "ручных" атак, в том числе целенаправленных, исследования методов взлома.
    Также этим занимаются фрики вроде меня Просто, ради поимки свежего зверя.
    Во всяком случае, это весьма полезно в исследовательских целях, чего не скажешь о Вашей ситуации. В подсети интернет-провайдера такая система точно не помешала бы. Беда в том, что им (по моему опыту) это не очень интересно.
    Вообще-то система Honeypot's могла бы помочь virusinfo в деле пополнения базы. Для осуществления нужны энтузиасты, располагающие доступом в инет, "лишней" установкой винды и неким софтом для анализа изменений в системе. Лично я с удовольствием поучавствую.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2006
    Адрес
    Америка, Антигуа и Барбуда
    Сообщений
    1,213
    Вес репутации
    112
    Можно ещё так snort + autoshun
    получится вот так http://www.autoshun.com/files/shunlist.html

  8. #7
    Junior Member Репутация
    Регистрация
    27.03.2010
    Адрес
    Kiev
    Сообщений
    9
    Вес репутации
    25

    Как минимизировать ущерб репутации сети и ASN в rbl

    Такой вопрос:
    бывают ли почтовые черви, которые для проверки коннективити отсылают по MX-ам письмо на заведомо несуществующий/заблокированный адрес, и в случае удачи (т.е. если прехват исходящих сделан тривиально) самоуничтожаются?

    а если перехватывать только фазу DATA, можно пропустить эксплойт в envelope. Да и тест червя может быть рассчитан на отказ-после-точки. Бывают такие сервера...
    Последний раз редактировалось kolk; 29.03.2010 в 17:54. Причина: Добавлено

Похожие темы

  1. Куча зловредов
    От tehnik34 в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 04.11.2011, 11:54
  2. Куча зловредов
    От vd7 в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 28.11.2010, 10:52
  3. подозрение на зловредов
    От Tanya1 в разделе Помогите!
    Ответов: 30
    Последнее сообщение: 27.03.2010, 18:26
  4. Предварительный обзор LG KM900 Arena: сделать как iPhone, сделать лучше iPhone
    От SDA в разделе Лечение и защита мобильных устройств
    Ответов: 0
    Последнее сообщение: 25.03.2009, 21:57
  5. 2000 зловредов
    От di274 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 11.10.2008, 16:39

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00616 seconds with 22 queries