# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  Сделать ловушку для зловредов. Как?

## Бумбарам

В сети предприятия более 10-ти подсетей.
Отвечаю за несколько подсетей, что происходит в остальных сетях понятия не имею, есть контакт с тамошними админами, но они неподвласны.
Постоянно откудато лезут проблемы.
У себя в хозяйстве, развернул Антивирус проапдейтил системы(чувствую себя более менее защищенно).

Была ситуация, поставил ХР СП1 + НОД через пару минут, НОД закричал, что идёт атака с соседней подсети.

Когда машина со всеми паками и обновлена, атаки не видать(дырки закрыты).

Появилась мысль, сделать типа *Песочницу для вирусов* виртуальная машина с Win-SP1, которая полнофункционально взаимодействует с сетью предприятия.

Открыта со всех сторон для збора всего мусора который бродит по сети.

*Вопрос* Какими средствами и каким образом, можно мониторить, что происходит на машине, дабы знать чего в сети происходит и предпринимать соответствующие меры.

Или может есть другая методика, для достижения желаемого результата?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Зайцев Олег

Ловушка - это экстремальный метод  :Smiley:  (вырус может положить всю сеть и может не попасть в ловушку) ... Есть куда более простые методы:
1.  Сеть поделить на подсети, между ними поставить Firewall/роутер, на роутере запретить все по максимуму и установить IDS. Это как показывает практика делается на FreeBSD за пару дней, если не спешитью. 
2. Установить корпоративный антивирус, принудительное управление и блокировка отклбючения только из центра, в корпоративном антивирусе на всех ПК включить обнаружение атак (это делает антихакер в KAV например) и в базу центра управления будут поступать оперативные данные, что кого и откуда атакует. Если антивирус это не умеет - выкинуть его и перейти на шаг 2
3. Поднять у себя в сети WSUS сервер и подключить к нему все ПК - чтобы он заапдейтил их до упора
4. Позакрывать расшаренные папки у юзеров, понаставить им паролей, поотключать автозапуск
И все будет хорошо ...

----------


## Бумбарам

Первые два пункта реализованы.

3 и 4 в планах.

Вот просто ситуация с тем как машина с СП1 зафиксировала атаку, а остальные на которых SP3 нет, так как дырки закрыты.

Но зараза то в сети бродит.

Или кто-то из босов с буком придет, в сеть тырк а там лисец, машины с 3 SP как в танке сидят, а на буке что-то типа Conficker-а сетку опросил и давай пробивать.

И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
И буду знать, что там-то зверь сидит, необходимо меры предпринять.

----------


## Зайцев Олег

> Первые два пункта реализованы.
>  ...
> И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
> И буду знать, что там-то зверь сидит, необходимо меры предпринять.


Плохо значит реализованы ... как я писал выше, антивирус может детектировать сетевые атаки. Тот же KAV 6 WKS например "антихакером" ловит атаки KIDO и аналогичных зверей, получается примерно вот такое в логе:


```
Событие Обнаружение сетевых атак произошло на компьютере ... в домене ... в Mon Aug 10 16:22:59 2009
Intrusion.Win.LSASS.exploit! IP-адрес атакующего: .... . Протокол/сервис: TCP на локальный порт 445. Время: 10.08.2009 16:22:59
```

В такой ситуации "ловушками" будут *поголовно все* ПК в сети и логи немедленно покажут, откуда идет атака и какого она типа. Если в сети 100 ПК, то эффективность будет на два порядка выше (!!), чем у одиночной ловушки. По поводу ноутбуков еще проще - для них нетрудно сделать "гостевую WiFi сеть", имеющую выход в Инет и доступ к корпоративным ресурсам ЛВС, но никуда более

----------


## antanta

Такие ловушки называются "Honeypot", их и обычно ставят антивирусные компании и прочие секурники, для поимки свежих зверьков, а также для обнаружения "ручных" атак, в том числе целенаправленных, исследования методов взлома. 
Также этим занимаются фрики вроде меня  :Smiley:   Просто, ради поимки свежего зверя.
 Во всяком случае, это весьма полезно в исследовательских целях, чего не скажешь о Вашей ситуации. В подсети интернет-провайдера такая система точно не помешала бы. Беда в том, что им (по моему опыту) это не очень интересно.
  Вообще-то система Honeypot's могла бы помочь virusinfo в деле пополнения базы. Для осуществления нужны энтузиасты, располагающие доступом в инет, "лишней" установкой винды и неким софтом для анализа изменений в системе. Лично я с удовольствием поучавствую.

----------


## valho

Можно ещё так snort + autoshun 
получится вот так http://www.autoshun.com/files/shunlist.html

----------


## kolk

Такой вопрос:
бывают ли почтовые черви, которые для проверки коннективити отсылают по MX-ам письмо на заведомо несуществующий/заблокированный адрес, и в случае удачи (т.е. если прехват исходящих сделан тривиально) самоуничтожаются?

а если перехватывать только фазу DATA, можно пропустить эксплойт в envelope. Да и тест червя может быть рассчитан на отказ-после-точки. Бывают такие сервера...

----------

