Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
А если юзер не эксплорером сходил, а аутлуком только за...30.11.06 13:46 Число просмотров: 3416 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 30.11.06 13:47 Количество правок: 2
> По каким признакам можно определить что, с какой-то > конкретной машины осуществлялся выход в Интернет. Нужны все > возможные варианты. > Например: C:\Documents and Settings\Username\Local > Settings\Temporary Internet Files\Content.IE5\index.dat - в > этом файле находятся ссылки из IE. Показателем может быть > наличие определенного софта, логов и т.д. Хочу > автоматизировать это дело.
А если юзер не эксплорером сходил, а аутлуком только за почтой или АйСиКью. Может он и сходил эксплорером, а потом почистил временные файлы и ссылки, может он на локальный сервер сходил, а не в инет вовсе.
Следует прогу поставить, файрвол, например. Включить логирование, если исходящее соединение не на локальный хост. Только у юзера не должно быть прав на зачистку лога и отключение сервисов. Лучше это делать на сервере.
По каким признакам можно определить что, с какой-то конкретной машины осуществлялся выход в Интернет. Нужны все возможные варианты.
Например: C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\index.dat - в этом файле находятся ссылки из IE. Показателем может быть наличие определенного софта, логов и т.д. Хочу автоматизировать это дело.
1. Ставишь на этот комп, к примеру wipfw [upd]30.11.06 20:28 Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 01.12.06 13:37 Количество правок: 2
1. Ставишь на этот комп, к примеру wipfw
2. При установке указываешь wipfw писать логи в защищенную от пользователя папку.
3. Прописываешь несколько правил вроде:
-f flush
add 2 allow ip from any to any via lo*
add 3 allow icmp from any to any via lo*
add 4 deny log all from any to 127.0.0.0/8 in
add 4 deny log all from 127.0.0.0/8 to any in
add 5 allow tcp from any to <LANIF> in established
add 5 allow tcp from <LANIF> to any out established
add 6 allow all from <LANIF> to <SUBNET/MASK> out
add 6 allow all from <SUBNET/MASK> to <LANIF> in
add 7 allow log all from any to any
---
Правило №7 позволит тебе отлавливать интересующие тебя пакеты
4. Также можно поднять cronlite и заставить его каждое утро сливать лог wipfw с каждой рабочей станции куда-нибудь на сервер.
А если юзер не эксплорером сходил, а аутлуком только за...30.11.06 13:46 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 30.11.06 13:47 Количество правок: 2
> По каким признакам можно определить что, с какой-то > конкретной машины осуществлялся выход в Интернет. Нужны все > возможные варианты. > Например: C:\Documents and Settings\Username\Local > Settings\Temporary Internet Files\Content.IE5\index.dat - в > этом файле находятся ссылки из IE. Показателем может быть > наличие определенного софта, логов и т.д. Хочу > автоматизировать это дело.
А если юзер не эксплорером сходил, а аутлуком только за почтой или АйСиКью. Может он и сходил эксплорером, а потом почистил временные файлы и ссылки, может он на локальный сервер сходил, а не в инет вовсе.
Следует прогу поставить, файрвол, например. Включить логирование, если исходящее соединение не на локальный хост. Только у юзера не должно быть прав на зачистку лога и отключение сервисов. Лучше это делать на сервере.
Вот мне и нужны все возможные варианты проверки.30.11.06 14:20 Автор: inew Статус: Незарегистрированный пользователь
Вот мне и нужны все возможные варианты проверки.
Считаем, что FireWall нет.
Да реально - нет вариантов, кроме логирующего проксика на отдельном сервере... остальные все не выдерживают конкуренции30.11.06 14:45 Автор: whiletrue <Роман> Статус: Elderman
Это второй вариант, но его хитроумный юзер может обойти,...30.11.06 18:38 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 30.11.06 18:39 Количество правок: 1
Это второй вариант, но его хитроумный юзер может обойти, если знает, что и как сервак учитывает. Способов много - как анонимный прокси, так и подмена адреса от АйПи вплоть до МАК. Тут только СОКСавторизация поможет. Опять же без дополнительных утилит никак.
Ну допустим первый вариант не катит. Ну допустим нужно незаметность или просто возможности нет всем поставить нужный софт. Одно можно сказать точно - если знаешь как ведется учет, то обойти можно даже имея права юзера. Второе правило - определить можно эти признаки только если они куда-то сливаются - кеш страниц, хистори сайтов, инбоксовые ящики, логи аськи и пр., но есть куча софтин, которые только по проводам пообщаются, никуда не записав ничего, только может быть в оперативке, что сбросится перезагрузкой. Причем даже если все софтины "следят" в файлах, то отработать все сервиса а то и протоколы не представляется разрешимой задачей.
Если хочется штатными средствами только, то можно поковыряться с аудитом, хотя на каждый "чих" писать что-то в какой-нибудь евентлог слишком жестоко.
Вывод - прибегнуть к помощи логера (на шлюзе или РС) или много чего неучтеного будет.
Если хорошо настроить - то только через взлом сервака =)30.11.06 19:11 Автор: whiletrue <Роман> Статус: Elderman
На файрволе запрещаем все кроме аськи и прочей @#$ни, если нужна =) Эту хрень логируем файрволом в любом случае. http тоже всем запрещаем, кроме проксика.
Настраиваем прокси. И настраиваем броузеры клиентов на наш прокси. Все! Никак они его не обойдут, т.к. не смогут установить себе какой-то внешний прокси...
Весь доступ в инет логируется и обход только через взлом.
А адресок подменить, пока у соседа комп выключен. Или любой свободный поставить, в пуле всегда найдется.30.11.06 19:27 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 30.11.06 19:27 Количество правок: 1
ВинГейт или ВинРоут (вечно путаю) имеет ДХЦП, а в правилах доступах прописуется "ИП получен с "родного" ДХЦП" Тут надо подделывать МАС, а это другая ветка:-)01.12.06 14:34 Автор: Garick <Yuriy> Статус: Elderman
Неосилил... Необходимо установить факт активации сетевого интерфейса с возможностью выхода в инет? Или наличие логов посещения веб ресурсов?30.11.06 13:08 Автор: Garick <Yuriy> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
