23 октября, вторник 16:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Достаточные признаки несанкционированных действий в ЛВС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Достаточные признаки несанкционированных действий в ЛВС

    Доброго времени всем. Возник такой вопрос: на основе каких признаков можно с большой долей вероятности утверждать что некто орудует в сети (не имеется ввиду просто троян который что то ворует, а уже целенаправленыые действия по сбору информации о сети, действия направленные на получение определенных прав и полномочий)?

  • #2
    целенаправленыые действия по сбору информации о сети, действия направленные на получение определенных прав и полномочий

    Сканирование портов/сервисов, диапазонов ip адресов.
    Попытки залогинится под стандартными логинами/паролями.

    Комментарий


    • #3
      Сканирование портов/сервисов, диапазонов ip адресов.
      к примеру такие вещи происходят. но какая методика поиска? периодически с разных машин в сети происходит сканирование, как поймать что это такое?

      Комментарий


      • #4
        to medved35-09
        http://it-security.by.ru/security/other/stat7.html

        Комментарий


        • #5
          Сообщение от medved35-09 Посмотреть сообщение
          Сканирование портов/сервисов, диапазонов ip адресов.
          к примеру такие вещи происходят. но какая методика поиска? периодически с разных машин в сети происходит сканирование, как поймать что это такое?
          А откуда вы уверены что "такие вещи происходят"?
          Вообще, сканирование портов это совсем не самое страшное.
          Хуже попытки использовать различные уязвимости.
          Понять "кто" можно используя капчевалку пакетов или поставить специальный софт - IDS.

          Комментарий


          • #6
            Понять "кто" можно используя капчевалку пакетов или поставить специальный софт - IDS.
            капчевалка - сниффер? а у уверен потому что система регистрирует такие события. но само по себе событие ни о чем не говорит, только дает толчок к поиску
            box_roller познавательно, спасибо

            Комментарий


            • #7
              Сообщение от medved35-09 Посмотреть сообщение
              Понять "кто" можно используя капчевалку пакетов или поставить специальный софт - IDS.
              капчевалка - сниффер?
              Ну да. Только вот на свичеванной сети сложно будет найти место где вы будете ловить пакеты.

              Сообщение от medved35-09 Посмотреть сообщение
              а у уверен потому что система регистрирует такие события. но само по себе событие ни о чем не говорит, только дает толчок к поиску
              Так если Ваша таинственная система регистрирует "такие" (кстати сказать, какие?) события, то логи она, что не ведет?

              Комментарий


              • #8
                Так если Ваша таинственная система регистрирует "такие" (кстати сказать, какие?) события, то логи она, что не ведет?
                ведет, ведет ))) Регистрирует события "сканирование портов". НО машины, выступающие в качестве source и destination, набор портов постоянно меняются, - выводов осмысленных не могу сделать. Смущают эти события меня, вроде бы все нормально, и в тоже время...
                А сниффер подскажите плз какой ннибуь нормальный бесплатный (чтоб и работал, и бесплатный). Где его поставить - я знаю.

                Комментарий


                • #9
                  Сообщение от medved35-09 Посмотреть сообщение
                  Так если Ваша таинственная система регистрирует "такие" (кстати сказать, какие?) события, то логи она, что не ведет?
                  ведет, ведет ))) Регистрирует события "сканирование портов". НО машины, выступающие в качестве source и destination, набор портов постоянно меняются, - выводов осмысленных не могу сделать. Смущают эти события меня, вроде бы все нормально, и в тоже время...
                  А сниффер подскажите плз какой ннибуь нормальный бесплатный (чтоб и работал, и бесплатный). Где его поставить - я знаю.
                  Ну если вам обязательно бесплатный, и у вас винды, то вот у доброго микрософта есть: Microsoft Network Monitor 3.1.
                  Мне еще IRIS нравится, но это надо задавить в себе нездоровое желание покупать софт.

                  Комментарий


                  • #10
                    Berrimor Понять "кто" можно используя капчевалку пакетов или поставить специальный софт - IDS

                    IDS сама по себе проблему не решит, если в ней нет встроенной системы корреляции событий. Но и в этом случае вероятность ложных срабатываний достаточно велика. Необходимо использовать SIEM-решения, которые будут подтверждать информацию из разных источников.

                    Ну да. Только вот на свичеванной сети сложно будет найти место где вы будете ловить пакеты

                    Зависит от вендора. Есть решения, которые на коммутируемой сети даже атаки могут блокировать со 100%-ой вероятностью.

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Berrimor Понять "кто" можно используя капчевалку пакетов или поставить специальный софт - IDS

                      IDS сама по себе проблему не решит, .
                      А идеальных решений вообще не бывает. IDS именно предназначена для того, о чем спрашивает автотор поста.


                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      если в ней нет встроенной системы корреляции событий.
                      Это все зависит от конкретной системы. Вероятность ложных срабатываний всегда есть в любой системе.

                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Ну да. Только вот на свичеванной сети сложно будет найти место где вы будете ловить пакеты

                      Зависит от вендора.
                      Причем тут производитель? (не люблю американизмы) Производитель чего? Свича? Софта? Если у вас свичеванная сеть, то чтоб ловить пакеты вам придется либо подключаться к определенному порту свича либо ставить везде агенты.

                      Комментарий


                      • #12
                        Berrimor IDS именно предназначена для того, о чем спрашивает автотор поста.

                        Не совсем. Она поможет только в том случае, если идет 100%-ая атака, для которой есть сигнатура. Все остальное от лукавого. Ну вот зафиксировал я сканирование моих адресов. так это может быть веерное сканирование всей сетки A, куда и я попал. А может кто-то ищет DHCP броадкастом. А может вообще сбой в оборудовании. А может и червяк... Причин события, попавшего на консоль IDS слишком много. Если мы начнем каждое их них анализировать можем загнуться под валом сотен тысяч событий или пропустить что-то важное. Поэтому нам нужна корреляция нескольких событий, между которыми есть определенная связь. Это конечно не гарантия обнаружения разведки, но все-таки вероятность выше, чем просто IDS обнаруживает одиночные события. А вот эта корреляция может быть реализована либо в IDS, либо во внешней системе.

                        Если у вас свичеванная сеть, то чтоб ловить пакеты вам придется либо подключаться к определенному порту свича либо ставить везде агенты.

                        Либо поставлю плату в шасси свитча, либо поставлю tap... Вариантов много и от производителя тоже зависит. Те же платы IDS для свитчей пока делаем только мы ;-)

                        Комментарий


                        • #13
                          Не совсем. Она поможет только в том случае, если идет 100%-ая атака, для которой есть сигнатура. Все остальное от лукавого. Ну вот зафиксировал я сканирование моих адресов. так это может быть веерное сканирование всей сетки A, куда и я попал. А может кто-то ищет DHCP броадкастом. А может вообще сбой в оборудовании. А может и червяк... Причин события, попавшего на консоль IDS слишком много. Если мы начнем каждое их них анализировать можем загнуться под валом сотен тысяч событий или пропустить что-то важное
                          Собственно говоря, примерно такие мысли и сподвигли меня создать эту тему. Хотелось бы послушать истории из собственного опыта...

                          Комментарий


                          • #14
                            Если однотипных "непонятных" событий много - остается расследовать причину и либо устранить её, либо отключить сигнатуру (внести исключения по IP). Для любых NIDS лучшим вариантом расследования был и остается анализ трафика. Из бесплатных сетевых анализаторов - Wireshark/Ethereal (http://www.wireshark.org/download.html).

                            Комментарий


                            • #15
                              Sergey Gordeychik спасибо за ссылку.
                              кто нибудь пользуется snort? какие мнения об этой вещи?

                              Комментарий


                              • #16
                                кто нибудь пользуется snort? какие мнения об этой вещи?

                                Как бесплатная IDS - неплоха. Но серьезные и тем более направленные атаки пропускает. Можно и из нее сделать конфетку, но получится SourceFire ;-)

                                Хотелось бы послушать истории из собственного опыта...

                                Так все просто ;-) Либо систему корреляции использовать либо вешаться ;-) Можно анализаторы протоколов использовать, но:
                                1. Надо иметь нехилые знания стека, чтобы "в лет" вычленять несуразности в трафике.
                                2. Надо иметь много времени на анализ трафика.
                                3. Все равно придется заниматься ручной корреляцией с другими источниками (антивирусами, сканерами, FW и т.п.).

                                Комментарий


                                • #17
                                  кто нибудь пользуется snort? какие мнения об этой вещи?

                                  Последний раз я занимался оценкой эффективности защитных механизмов NIDS/NIPS года 2 назад. В рамках этой работы (опубликовать не могу) Snort показал себя не хуже многих коммерческих аналогов, уступая только ISS Proventia. Сейчас, возможно подтянулся 3COM (TippingPoint) и Fortinet, но это предположения.
                                  Однако "голый" Snort - это далеко не то, что сейчас подразумевается под IDS/IPS. К нему придется прикручивать хранилище данных, интерфес, обработку событий с нескольких сенсоров и т.д. Хотя можно взять уже готовые сборки из различных honeypot проектов.
                                  Удобство использования зависит от целей и масштабов. Если надо ловить в одном серверном сегменте и на периметре, то вполне можно заточить тот же Snort.

                                  Если количество сенсоров исчисляется 10ками+AV/HIPS+сканеры+FW, то ручной анализ данных из такого количества источников перестает быть возможным .

                                  Комментарий


                                  • #18
                                    да мне пока б на одной машине поднять snort, только что то не работает пока, ковыряюсь...

                                    Комментарий


                                    • #19
                                      У меня такой вопросик:
                                      Кто использует межсетевые экраны или активные сетевое оборудование для отделения в ЛВС расчётного сегмента от информационного сегмента? И какими средствами?

                                      Комментарий


                                      • #20
                                        vinograss Кто использует межсетевые экраны или активные сетевое оборудование для отделения в ЛВС расчётного сегмента от информационного сегмента? И какими средствами?

                                        Вам для каких целей? Просто разделить? Тогда VLAN (это просто), файрвольный модуль в свитч (серьезнее) или отдельный МСЭ (самый серьезный). Если вам надо соблюсти закон о Персданных, то трафик надо пускать по разным ФИЗИЧЕСКИМ сеткам.

                                        Комментарий


                                        • #21
                                          Если вам надо соблюсти закон о Персданных, то трафик надо пускать по разным ФИЗИЧЕСКИМ сеткам
                                          я что то пропустил а где написано, что чтобы соблюсти закон ОПД надо трафик по разным физическим сеткам пускать?

                                          Комментарий


                                          • #22
                                            Snip а где написано, что чтобы соблюсти закон ОПД надо трафик по разным физическим сеткам пускать?

                                            п.17 "Приказа трех" гласит "В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем". Иными словами, либо разделяй либо всю систему по высшему классу. Оно вам надо?

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              Snip Иными словами, либо разделяй либо всю систему по высшему классу. Оно вам надо?
                                              гм...а варианты? у меня получается вся сеть 1-2 класса...точнее сейчас 2 но похоже с увеличением числа клиентов будет 1-го..ибо на всех рабочих местах АБС присутствует..ну почти на всех..из-за тех, что остаются смысла строить отдельную физическую сеть совершенно нет.

                                              Вообще же достаточно интересный вопрос..почему например разделение сетей VLANом не подходит? если рассуждать таким образом, что разделение должно быть физическое, то получаются громадные проблемы..т.е например в сети например 2 класса будет инет и через инет она физически соединяется с сетью 1 класса то как классифицировать сеть 2 класса?...гм...вообщем то опять не ясно что означает "включает"? Включать можно по разному, вот сеть интернет включает в себя все остальные сети и что теперь присваивать ей 1 класс? т.е. отсюда логически вытекает, на мой взгляд, что физическое разделение не обязательно достаточно МЭ сертифицированного будет...наверное
                                              Последний раз редактировалось Snip; 10.06.2008, 14:01.

                                              Комментарий


                                              • #24
                                                Snip Вообще же достаточно интересный вопрос..почему например разделение сетей VLANом не подходит?

                                                А я не сказал, что не подходит ;-) Я предположил, исходя из опыта общения с нашими регуляторами, которые о современных технологиях знают понаслышке и могут не знать про логическую сегментацию сети. Они обычно трактуют свои же документы не в пользу заказчика.

                                                ЗЫ. Мы в свое время сертифицировали во ФСТЭК механизм построения VLAN в Catalyst. Как в воду глядели ;-)

                                                Комментарий


                                                • #25
                                                  Сообщение от medved35-09 Посмотреть сообщение
                                                  да мне пока б на одной машине поднять snort, только что то не работает пока, ковыряюсь...
                                                  А я вот вчера уже запустил - теперь изучаю "стандартные" rules - т.к. однозначно нужно будет свои дописывать)))
                                                  Мы продолжаем делать то, что мы уже много наделали

                                                  Комментарий


                                                  • #27
                                                    Угу- большое спасибо)))- осталось только раскрутить руководство на безналичную оплату всего этого материЯла)) по статье- "расходы на повышение квалификации персонала"))))))))
                                                    Мы продолжаем делать то, что мы уже много наделали

                                                    Комментарий


                                                    • #28
                                                      Да зачем заказывать на амазоне, ждать пока придет, когда в любом поисковике можно найти уйму ссылок!
                                                      Или это для того чтоб во всей полноте испытать геморрой со снортом? :-)

                                                      Комментарий


                                                      • #29
                                                        Согласен с Берримором ;-) Многие книги можно найти в электронном виде.

                                                        Комментарий


                                                        • #30
                                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                          Согласен с Берримором ;-) Многие книги можно найти в электронном виде.
                                                          У меня есть Snort Users Manual (2.8.1) от 12 марта 2008 г. (161 страниц) так что читатать пока есть что)))
                                                          Мы продолжаем делать то, что мы уже много наделали

                                                          Комментарий

                                                          Пользователи, просматривающие эту тему

                                                          Свернуть

                                                          Присутствует 1. Участников: 0, гостей: 1.

                                                          Обработка...
                                                          X