Jak v síti detekovat infikovaná Windows

anonymous

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #30 kdy: 29. 06. 2010, 10:03:59 »
kolego, mrknete na OSSIM - AlienVault

AlienVault Open Source SIM (OSSIM) is a complete Security Management solution that detects and profiles attacks,
and provides a comprehensive, intelligent Security Management platform and toolset.

http://www.alienvault.com/opensourcesim.php?section=Screenshots

ja si s tim v praci hral, ciste jenom z profesniho zajmu a musim rict,ze je to opravdu vynikajici reseni [naklady jsou pouze za HW na kterem to provozujete].





David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #31 kdy: 29. 06. 2010, 10:41:04 »
Vypada to na nejake upravene distro linuxu se snortem a Ntope a tak dale.
Ou kej - zkoumam a prozkoumavam.
Diky za upozorneni.
Jen nevim, jak se to bude chovat v kombinaci s BSDckama, ktere tu mam.

Taky prozkoumam poradne ten Ntop - nejak se mi do nej driv nechtelo, ani nevim proc.

Diky ;o)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak v síti detekovat infikovaná Windows
« Odpověď #32 kdy: 29. 06. 2010, 11:08:14 »
Taky prozkoumam poradne ten Ntop - nejak se mi do nej driv nechtelo, ani nevim proc.

Nejak jsem zapomnel napsat, ze ntop umi nejen grafy, ale i tabulky. Jestli se dobre pamatuji, dela veci jako tabulky a grafy podle portu, podle ip, podle portu pro dane ip.... A v tabulkach zobrazuje vlajecky podle toho, v ktere zemi se nachazi koncovy bod, coz je ze vseho nejdulezitejsi. :-)

David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #33 kdy: 29. 06. 2010, 11:13:06 »
4JardaP:

THX a LOT!!!!

Abych se priznal - ono mi to pri buildu kdysi zfejlovalo ;o) tak jsem si rekl - na co nejaky ntop (myslel jsem, ze to bude ciste konzolova zalezitos) potrebuje Xka? (nebo nejaky baliky z Xek) ...
Tak jsem se na to kalasicky ... vyignoroval.

A ted diky tobe zjistuju, ze je to naprosto presne to, co jsem tu celou dobu hledal a chtel si to psat v shellu (nesnasim neco psat, kdyz uz to je hotove ... ja maximalne napisu 50ti radkovy script - vsechno ostatni si myslim, ze uz nekdo napsal a je to lepsi, nez tu budu smrdlat ja).

S tou bezpecnosti ;o) - jestli mi nekdo bydli za gatewayi, tak mam smulu - snad ho pomoci tohohle najdu. Jestli nebydli, tak by se nikam dostat nemel, protoze mam deny all na inbound traffic.

Ntop uz se byldi ;o)

Super ... ted mi to chcipne na tom, ze v png je dira ;o)))
Nevadi - pujde tam derave png ;o)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak v síti detekovat infikovaná Windows
« Odpověď #34 kdy: 29. 06. 2010, 12:35:13 »
Hm, tak sem pak napis, jestli to je opravdu to prave orechove. Ja ntop uz par let nevidel a uz se presne nepamatuji, jake tabulky a grafy to dela. Mel jsem ho na routeru, pak jsem zapomnel heslo a nez bych znovu zjistoval, jak a cim vygenerovat novy hash, tak jsem ho vyhodil z rc.d a vykaslal se na to, protoze jsem ho tam mel stejne jenom ze zvedavosti.


David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #35 kdy: 29. 06. 2010, 13:15:16 »
Po brutalnim hackovani (nas...ni se a tak dale, kdy mi nefungovalo -DDISABLE_VULNERABILITIES ... jsem z Makefilu vyhodil FORBIDEN {kouzlo}) a uz se zkompilovalo png a tim padem vsechno.

Cili mam rozjety ntop, ktery mi fungoval out of the box, zatim to "proklikavam" (commandline prijde na radu pak).

Vypada to celkem inteligentne.

Az projdu konfiguraci, tak napisu, jestli to je orech ;o)

Zatim to vypada docela slibne - monitorovat a monitorovat ... to je prace admina. Jako na parniku koukat na ty budiky, jestli nejsou v cervenem ;o)) (nekde ve strojovne ;o)


David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #36 kdy: 30. 06. 2010, 07:58:20 »
Takze pro ty, kteri si chteji udelat poradek v siti vrele doporucuju ntop.

Funguje out of the box a je docela zajimave sledovat, co se v siti deje.


anonymous

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #37 kdy: 30. 06. 2010, 09:41:41 »
kolego, otazka:
v jake konfiguraci jste ntop nahodil?
mate zvlast nprobe,napichlou do SPAN portu na hlavnim switchi a zvlast ntop collector ?
anebo all-in-one [jeden komp, se dvema sitovkama,jednu na odchytavani sitoveho provozu a druhou na management] ?

diky


David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #38 kdy: 30. 06. 2010, 10:07:10 »
Mam to na jednom FBSD compu. Teprve se s tim ucim. Ten NetFlow a tak dale od Cisca je fajn, ale asi to tady nevyuziju.

Mam to na debug site a kdyz to vidim, tak brouku je tu spousta.

Od toho, ze se tu flakaji smesne pojmenovane compy az po to, ze jsem zjistil jak krasne funguje yoogoo (nebo jak se to pise - sdielni plochy ... vytvari si to vlastni server na HTTP a dalsich dvou portech). Proste dokud jsem to realne nevidel, tak jsem to ani netusil, ze tu muze byt takovy bordel.

SPAN port tu nemam - vsechno tece pres gateway na ktere bydli ten ntop.

anonymous

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #39 kdy: 30. 06. 2010, 10:21:17 »
jasne,dik za upresneni.
v mem pripade to bude kapku komplikovanejsi, staram se o pomerne komplexni sit [aplikacni a sitove [WAN] akceleratory od Juniperu,nekolik Juniper SSL VPN boxu, Juniper VPN/FW boxy, lokalni sit je vystavena na 3Com technologiich,vsude gigabit + pater 10GB po optice atp...] a premyslim,jak a kam nejlepe umistit ntop,abych ziskal  co mozna nejpresnejsi obrazek o sitovem provozu....

zatim louskam ntop docs,uvidime.
hodne zdaru :]


David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #40 kdy: 30. 06. 2010, 10:49:23 »
Primo na tohle maji na webu nejake studie ne?

Toz hodne zdaru - na velke siti to bude asi opravdova zabava.

Na par tydnu ;o) - analyzovat co to vlastne rika ;o)

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak v síti detekovat infikovaná Windows
« Odpověď #41 kdy: 30. 06. 2010, 16:47:20 »
Tak jak se dari lov? Co jste pochytal? A telesne tresty provinilcum jste udelil? Par nejhorsich pripadu ostatnim pro vystrahu na kul napichl?

David Strejc

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #42 kdy: 01. 07. 2010, 10:20:01 »
Jak jsem psal - zajimave veci. My tu totiz jsme mala firma a podle meho nazoru cim mensi firma, tim vic toho lidi potrebujou.

Maji tu sdileni plochy pres yoogoo (tak nejak), ICQ, Skype a x dalsich sluzeb. Skype si treba otevira na 443 jakysi vlastni server ... proste parada.

Zjistil jsem to, ze tu mam ABSOLUTNI BORDEL ;o) Protoze jsem to poradne do ted neresil ;o)

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #43 kdy: 03. 07. 2010, 19:52:11 »
Ad to otevírání portů Skajpem viz http://www.root.cz/clanky/10-duvodu-proc-nepouzivat-skype/, bod 4. Funkce supernode ...

lb

Re: Jak v síti detekovat infikovaná Windows
« Odpověď #44 kdy: 03. 07. 2010, 22:47:43 »
zavirene (alebo inak napadnute) pc s windows uvnitr site lze identifikovat velice jednoduce:

nahodnim vyberem

:)