информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetСетевые кракеры и правда о деле ЛевинаГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
на прокси вход по паролю и тогда подмена адреса ничего не дает 01.12.06 10:36  Число просмотров: 3274
Автор: Cyril <sc> Статус: Member
<"чистая" ссылка>
<beginners>
Признаки выхода в Интернет 30.11.06 12:37  
Автор: inew Статус: Незарегистрированный пользователь
<"чистая" ссылка>
По каким признакам можно определить что, с какой-то конкретной машины осуществлялся выход в Интернет. Нужны все возможные варианты.
Например: C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\index.dat - в этом файле находятся ссылки из IE. Показателем может быть наличие определенного софта, логов и т.д. Хочу автоматизировать это дело.
1. Ставишь на этот комп, к примеру wipfw [upd] 30.11.06 20:28  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 01.12.06 13:37  Количество правок: 2
<"чистая" ссылка>
1. Ставишь на этот комп, к примеру wipfw
2. При установке указываешь wipfw писать логи в защищенную от пользователя папку.
3. Прописываешь несколько правил вроде:
-f flush
add 2 allow ip from any to any via lo*
add 3 allow icmp from any to any via lo*
add 4 deny log all from any to 127.0.0.0/8 in
add 4 deny log all from 127.0.0.0/8 to any in
add 5 allow tcp from any to <LANIF> in established
add 5 allow tcp from <LANIF> to any out established
add 6 allow all from <LANIF> to <SUBNET/MASK> out
add 6 allow all from <SUBNET/MASK> to <LANIF> in
add 7 allow log all from any to any

---

Правило №7 позволит тебе отлавливать интересующие тебя пакеты
4. Также можно поднять cronlite и заставить его каждое утро сливать лог wipfw с каждой рабочей станции куда-нибудь на сервер.
А если юзер не эксплорером сходил, а аутлуком только за... 30.11.06 13:46  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 30.11.06 13:47  Количество правок: 2
<"чистая" ссылка>
> По каким признакам можно определить что, с какой-то
> конкретной машины осуществлялся выход в Интернет. Нужны все
> возможные варианты.
> Например: C:\Documents and Settings\Username\Local
> Settings\Temporary Internet Files\Content.IE5\index.dat - в
> этом файле находятся ссылки из IE. Показателем может быть
> наличие определенного софта, логов и т.д. Хочу
> автоматизировать это дело.

А если юзер не эксплорером сходил, а аутлуком только за почтой или АйСиКью. Может он и сходил эксплорером, а потом почистил временные файлы и ссылки, может он на локальный сервер сходил, а не в инет вовсе.
Следует прогу поставить, файрвол, например. Включить логирование, если исходящее соединение не на локальный хост. Только у юзера не должно быть прав на зачистку лога и отключение сервисов. Лучше это делать на сервере.
Вот мне и нужны все возможные варианты проверки. 30.11.06 14:20  
Автор: inew Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Вот мне и нужны все возможные варианты проверки.
Считаем, что FireWall нет.
Да реально - нет вариантов, кроме логирующего проксика на отдельном сервере... остальные все не выдерживают конкуренции 30.11.06 14:45  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
Это второй вариант, но его хитроумный юзер может обойти,... 30.11.06 18:38  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 30.11.06 18:39  Количество правок: 1
<"чистая" ссылка>
Это второй вариант, но его хитроумный юзер может обойти, если знает, что и как сервак учитывает. Способов много - как анонимный прокси, так и подмена адреса от АйПи вплоть до МАК. Тут только СОКСавторизация поможет. Опять же без дополнительных утилит никак.
Ну допустим первый вариант не катит. Ну допустим нужно незаметность или просто возможности нет всем поставить нужный софт. Одно можно сказать точно - если знаешь как ведется учет, то обойти можно даже имея права юзера. Второе правило - определить можно эти признаки только если они куда-то сливаются - кеш страниц, хистори сайтов, инбоксовые ящики, логи аськи и пр., но есть куча софтин, которые только по проводам пообщаются, никуда не записав ничего, только может быть в оперативке, что сбросится перезагрузкой. Причем даже если все софтины "следят" в файлах, то отработать все сервиса а то и протоколы не представляется разрешимой задачей.
Если хочется штатными средствами только, то можно поковыряться с аудитом, хотя на каждый "чих" писать что-то в какой-нибудь евентлог слишком жестоко.
Вывод - прибегнуть к помощи логера (на шлюзе или РС) или много чего неучтеного будет.
Если хорошо настроить - то только через взлом сервака =) 30.11.06 19:11  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
На файрволе запрещаем все кроме аськи и прочей @#$ни, если нужна =) Эту хрень логируем файрволом в любом случае. http тоже всем запрещаем, кроме проксика.

Настраиваем прокси. И настраиваем броузеры клиентов на наш прокси. Все! Никак они его не обойдут, т.к. не смогут установить себе какой-то внешний прокси...

Весь доступ в инет логируется и обход только через взлом.
А адресок подменить, пока у соседа комп выключен. Или любой свободный поставить, в пуле всегда найдется. 30.11.06 19:27  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 30.11.06 19:27  Количество правок: 1
<"чистая" ссылка>
ВинГейт или ВинРоут (вечно путаю) имеет ДХЦП, а в правилах доступах прописуется "ИП получен с "родного" ДХЦП" Тут надо подделывать МАС, а это другая ветка:-) 01.12.06 14:34  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
на прокси вход по паролю и тогда подмена адреса ничего не дает 01.12.06 10:36  
Автор: Cyril <sc> Статус: Member
<"чистая" ссылка>
Неосилил... Необходимо установить факт активации сетевого интерфейса с возможностью выхода в инет? Или наличие логов посещения веб ресурсов? 30.11.06 13:08  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach