Thursday, 03 Sep 2009
Tcpdump чрезвычайно удобный сетевой анализатор, очень помогающий в работе как сетевым администраторам, так и безопасникам. Естественно что для получения максимальной информации при работе с tcpdump, просто необходимо иметь представления о стеке протоколов TCP/IP. Для удобства можно использовать более удобные и интеллектуальные программы, например Wareshark, но часто возникают ситуации когда на тестируемую машину не представляется возможным установить дополнительные сервисы, и тогда tcpdump просто незаменим, не будит же админ, ради анализа пакетов, ставить на unix’овый сервак X-Windows 
тем более что в большинстве unix’овых систем, утилита tcpdump идет по умолчанию.
Понимание протокола TCP/IP дает широкое пространство для использование анализатора и устранения неисправностей и неполадок в работе сети, за счет разбора пакетов. Поскольку оптимальное использование данной утилиты требует хорошего понимания сетевых протоколов и их работы, то получается забавная ситуация, в которой инженеру в любом случае необходимо знать и понимать механизмы передачи данных в сети. т.ч. tcpdump полезна во все отношениях: как устранения неисправностей, так и самообразования.
(more…)
VN:F [1.9.21_1169]
Rating: 8.6/10 (18 votes cast)
VN:F [1.9.21_1169]
Rating: +10 (from 16 votes)
Рубрика: IT безопасность, Сети | Отзывов: 5 »
Wednesday, 26 Aug 2009
Если заглянуть в логи, пожалуй любого SSH-сервера, то вы там однозначно увидите массу попыток установления соединения, брутфорсов, переборов имен пользователей и прочую муть. И все это происходит постоянно, час за часом, изо дня в день. Для себя я эту проблему решил уже довольно давно, используя по настроению порты свыше 1024.
В этой связи встает вопрос, что даст смена стандартного порта?
Можно провести небольшой опыт задав в конфиге сервера sshd_config несколько значений для сервиса:
Port 22
Port 28356
а в фаервольных правилах
-A INPUT -i eth0 -m tcp -p tcp –dport 22 -j LOG –log-level 7 –log-prefix “Logged port 22 ”
-A INPUT -i eth0 -m tcp -p tcp –dport 28356 -j LOG –log-level 7 –log-prefix “Logged port 28356 ”
после чего оставить силки открытыми на какое то время, с тем, чтобы посмотреть результаты манипуляции позже..
*** Обновление от 27.08: за 12 часов, прошедших с момента реконфига сервера, правда путем внесения изменений в ipfilter , произошло 1335 попыток подключения на 22 порт и ни одной попытки на 28356 порт.
Эти цифры наглядно демонстрируют то факт, что единицы злоумышленников ищут демонов на не стандартных портах, причем попытка найти демона на порту, отличном от стандартного, с большой вероятностью будет осуществляться за счет сканирования, которое можно предотвратить за счет использования IPS или же сервиса Port Sentry. Следовательно, в случае обнаружения уязвимости сервера SSH типа zero-day шанс того, что эксплоит будет использован против сервиса крутящегося на нестандартном порту, в тысячи раз ниже чем против сервисов использующих стандартные значения.
Хакеру гораздо проще и быстрее найти сотни демонов использующих стандартный 22 порт, чем морочиться с системой, где порт теряется в десятках тысяч неиспользуемых портов. Из чего следует, что простейшая процедура может повысить безопасность вашего сервиса на порядки.
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность | Отзывов: 2 »
Wednesday, 26 Aug 2009
Коллега сидит по уши в мануалах и разбирается с системой Cisco Security MARS. Кратко выражаясь- это устройство мониторинга, анализа и ответных реакций для устройств сетевой защиты и host-based приложений, как от компании Cisco, так и от сторонних разработчиков. Задача стоящая перед ним, проста- выгрузить конфигурацию на сторонний сервер, примапленный по протоколу NFS, с целью резервирования, но следуя мануалу, от цискаридзе, мы упираемся в какие то непонятки.
(more…)
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: Linux, Сети | Ваш отзыв »
Tuesday, 25 Aug 2009
Компания Motorola представила пакет, который, по заверению разработчиков, предлагает про-активную защиту для Wi-Fi сетей. Этот пакет является надстройкой продукта AirDefense и будучи сканером уязвимостей, проводит серию хакерских атак на каждое беспроводное устройство представленное в беспроводной сети wi-fi, или же на сегмент сети.
Программное обеспечение разработано для про-активной защиты безопасности беспроводных сетей, и со слов представителей компании Motorola, может быть настроено для удаленного управления, с целью анализа безопасности сетей удаленных офисов и филиалов.
Благодаря этому функционалу, компании нет необходимости посылать инженеров, для проведения подобных тестов в удаленные филиалы.
После завершения тестов, пакет выстраивает базу имеющихся уязвимостей, которая может быть использована аудиторами и системными администраторами в их дальнейшей работе, для понимания потенциальных рисков которые несет использование беспроводных сетей wi-fi.
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Сети | Ваш отзыв »
Thursday, 20 Aug 2009
С ростом возможностей провайдеров, полос пропускания и числа провайдеров, также растет и количество с «качеством» потенциальных угроз, которые несет интернет любому хосту подключенному к глобальной сети. Ситуация выхода в интернет, для обычной машины, похожа на заплыв по ночному карибскому морю, кишащему злобными хищниками хотящими комиссарского тела. Не веселая статистика гласит, что время между первым подключением к интернету и первой попыткой атаки, за последние три-четыре года уменьшилось в 4-5 раз, с пяти минут до 50-70 секунд.
(more…)
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: Check Point, IT безопасность, Интернет, Сети | Ваш отзыв »
Friday, 24 Jul 2009
Ковырялся вчера с интернетом, попутно сидя в рабочем мейле, посредством vpn. И в какой то момент, после очередного падения канала, реконнект к сайту вызвал леденящую душу картинку BSOD’а. Завалив машину раза 3-4, порадовался тому, что ничего не посыпалось, но выяснил что уход в корку случается в момент завершения установки шифрованного канала. Проковырявшись с логами- дампами пришел к выводу что фаервол Cisco клиента ver.5.0.1 (насколько я понимаю там интегрирован ZoneAlarm) конфликтует с установленным у меня на машине Comodo Firewall. Отщелкивание галок в клиенте ничего не дало, после чего родилось два варианта: внести Cisco клиент в доверенные приложения (хотя как ни странно у меня все работало и без этого почти полгода) и поставить в Comodo уровень шлюзования в Training Mode.
Оба варианта работают нормально, но осадочек остался.
VN:F [1.9.21_1169]
Rating: 10.0/10 (2 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Сети | Ваш отзыв »
Monday, 20 Jul 2009
Каждый из нас когда либо пробовал подключиться к чужой Wi-Fi сети, если обнаруживал её в своем списке доступных сетей. Иногда это получалось, когда сеть не была защищена никаким паролем, иногда пароль являл собой верх совершенства в виде набора qwerty или 11111. Даже если мы не могли угадать пароль, и плевали на это дело, пробуя другую сеть, то эта сеть все равно была доступна для взлома более менее поднаторевшим в этом деле специалисте. В интернете достаточно how-to по взломам радиосетей с помощью двух ноутбуков, т.ч. пароль вовсе не панацея, а подобно жизненному примеру- всего лишь скоба, прикрывающая незапертую дверь. Ниже я попробую описать, какими мерами можно воспользоваться, чтобы максимально защитить себя, и в то же время максимально усложнить жизнь злоумышленника, посягнувшего на вашу сеть.
(more…)
VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Рубрика: IT безопасность, Сети | Ваш отзыв »
