-
Junior Member
- Вес репутации
- 55
Сделать ловушку для зловредов. Как?
В сети предприятия более 10-ти подсетей.
Отвечаю за несколько подсетей, что происходит в остальных сетях понятия не имею, есть контакт с тамошними админами, но они неподвласны.
Постоянно откудато лезут проблемы.
У себя в хозяйстве, развернул Антивирус проапдейтил системы(чувствую себя более менее защищенно).
Была ситуация, поставил ХР СП1 + НОД через пару минут, НОД закричал, что идёт атака с соседней подсети.
Когда машина со всеми паками и обновлена, атаки не видать(дырки закрыты).
Появилась мысль, сделать типа Песочницу для вирусов виртуальная машина с Win-SP1, которая полнофункционально взаимодействует с сетью предприятия.
Открыта со всех сторон для збора всего мусора который бродит по сети.
Вопрос Какими средствами и каким образом, можно мониторить, что происходит на машине, дабы знать чего в сети происходит и предпринимать соответствующие меры.
Или может есть другая методика, для достижения желаемого результата?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ловушка - это экстремальный метод (вырус может положить всю сеть и может не попасть в ловушку) ... Есть куда более простые методы:
1. Сеть поделить на подсети, между ними поставить Firewall/роутер, на роутере запретить все по максимуму и установить IDS. Это как показывает практика делается на FreeBSD за пару дней, если не спешитью.
2. Установить корпоративный антивирус, принудительное управление и блокировка отклбючения только из центра, в корпоративном антивирусе на всех ПК включить обнаружение атак (это делает антихакер в KAV например) и в базу центра управления будут поступать оперативные данные, что кого и откуда атакует. Если антивирус это не умеет - выкинуть его и перейти на шаг 2
3. Поднять у себя в сети WSUS сервер и подключить к нему все ПК - чтобы он заапдейтил их до упора
4. Позакрывать расшаренные папки у юзеров, понаставить им паролей, поотключать автозапуск
И все будет хорошо ...
-
-
Junior Member
- Вес репутации
- 55
Первые два пункта реализованы.
3 и 4 в планах.
Вот просто ситуация с тем как машина с СП1 зафиксировала атаку, а остальные на которых SP3 нет, так как дырки закрыты.
Но зараза то в сети бродит.
Или кто-то из босов с буком придет, в сеть тырк а там лисец, машины с 3 SP как в танке сидят, а на буке что-то типа Conficker-а сетку опросил и давай пробивать.
И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
И буду знать, что там-то зверь сидит, необходимо меры предпринять.
-
Сообщение от
Бумбарам
Первые два пункта реализованы.
...
И Conficker нигде не зарегистрируеться в логах, т.к. сама винда отбросит, а на машине с SP1 проявиться.
И буду знать, что там-то зверь сидит, необходимо меры предпринять.
Плохо значит реализованы ... как я писал выше, антивирус может детектировать сетевые атаки. Тот же KAV 6 WKS например "антихакером" ловит атаки KIDO и аналогичных зверей, получается примерно вот такое в логе:
Код:
Событие Обнаружение сетевых атак произошло на компьютере ... в домене ... в Mon Aug 10 16:22:59 2009
Intrusion.Win.LSASS.exploit! IP-адрес атакующего: .... . Протокол/сервис: TCP на локальный порт 445. Время: 10.08.2009 16:22:59
В такой ситуации "ловушками" будут поголовно все ПК в сети и логи немедленно покажут, откуда идет атака и какого она типа. Если в сети 100 ПК, то эффективность будет на два порядка выше (!!), чем у одиночной ловушки. По поводу ноутбуков еще проще - для них нетрудно сделать "гостевую WiFi сеть", имеющую выход в Инет и доступ к корпоративным ресурсам ЛВС, но никуда более
-
-
Такие ловушки называются "Honeypot", их и обычно ставят антивирусные компании и прочие секурники, для поимки свежих зверьков, а также для обнаружения "ручных" атак, в том числе целенаправленных, исследования методов взлома.
Также этим занимаются фрики вроде меня Просто, ради поимки свежего зверя.
Во всяком случае, это весьма полезно в исследовательских целях, чего не скажешь о Вашей ситуации. В подсети интернет-провайдера такая система точно не помешала бы. Беда в том, что им (по моему опыту) это не очень интересно.
Вообще-то система Honeypot's могла бы помочь virusinfo в деле пополнения базы. Для осуществления нужны энтузиасты, располагающие доступом в инет, "лишней" установкой винды и неким софтом для анализа изменений в системе. Лично я с удовольствием поучавствую.
-
-
-
-
Junior Member
- Вес репутации
- 52
Как минимизировать ущерб репутации сети и ASN в rbl
Такой вопрос:
бывают ли почтовые черви, которые для проверки коннективити отсылают по MX-ам письмо на заведомо несуществующий/заблокированный адрес, и в случае удачи (т.е. если прехват исходящих сделан тривиально) самоуничтожаются?
а если перехватывать только фазу DATA, можно пропустить эксплойт в envelope. Да и тест червя может быть рассчитан на отказ-после-точки. Бывают такие сервера...
Последний раз редактировалось kolk; 29.03.2010 в 17:54.
Причина: Добавлено