Velmi podrobné monitorovaní sítě

Re:Velmi podrobné monitorovaní sítě
« Odpověď #15 kdy: 20. 11. 2013, 14:53:38 »
Pokud je to prostředí firmy, stejně tam mají jejich pc a pokud tam mají jejich pc, řeší to keyloggery. :)
Přesně tak - pokud můžu na kompl instalovat certifikáty, tak tam můžu nainstalovat patchnutej prohlížeč, kterej mi zazelená adresu jakoukoli a zobrazí údajnej certifikát jakejkoli.


Re:Velmi podrobné monitorovaní sítě
« Odpověď #16 kdy: 21. 11. 2013, 11:03:14 »
Potom kde je možné analyzovať komunikáciu...cez netflow viem, že sa dá odchytať, kto aké stranky otvára...lenže ako je možné robiť analyzu paketov - čiže vidieť vyslednú podobu odchytenej komunikácie...

Sten

Re:Velmi podrobné monitorovaní sítě
« Odpověď #17 kdy: 21. 11. 2013, 14:54:50 »
Pokud je to prostředí firmy, stejně tam mají jejich pc a pokud tam mají jejich pc, řeší to keyloggery. :)
Přesně tak - pokud můžu na kompl instalovat certifikáty, tak tam můžu nainstalovat patchnutej prohlížeč, kterej mi zazelená adresu jakoukoli a zobrazí údajnej certifikát jakejkoli.

Je tady rozdíl. Pokud tam nainstaluju certifikáty, pak jim velmi pravděpodobně bude důvěřovat i prohlížeč, který si tam nainstaluje uživatel. Keylogger je sice také řešení, ale ten se dá prakticky využít jen zpětně (jestli vůbec, moc legální to nebude), zatímco proxy může blokovat komunikaci v reálném čase.

maros

Re:Velmi podrobné monitorovaní sítě
« Odpověď #18 kdy: 21. 11. 2013, 19:11:25 »
Potom kde je možné analyzovať komunikáciu...cez netflow viem, že sa dá odchytať, kto aké stranky otvára...lenže ako je možné robiť analyzu paketov - čiže vidieť vyslednú podobu odchytenej komunikácie...
Sonda, network tap, wireshark.

maros

Re:Velmi podrobné monitorovaní sítě
« Odpověď #19 kdy: 21. 11. 2013, 19:25:47 »
Cmuchalum, co si hraji na NSA, by stejne bylo nejlepsi dat par facek.
Ako mam detegovat, ze niekde v sieti mam zombie PC, ktory posiela sifrovane prikazy botnetu?
Ano endpoint security. Ak ta nezaberie? Musim mat k dispozicii viacstupnovu ochranu.
Posledna skusenost: hacknuty web sa pripajal na server v internete na port 80, kde bezal SSH server.


maros

Re:Velmi podrobné monitorovaní sítě
« Odpověď #20 kdy: 21. 11. 2013, 19:29:03 »
Ako mam detegovat, ze niekde v sieti mam zombie PC, ktory posiela sifrovane prikazy botnetu?
Lepsie povedane, PC prijima prikazy od botnetu a naspat s botnetom komunikuje cez HTTPS.

Trident

Re:Velmi podrobné monitorovaní sítě
« Odpověď #21 kdy: 21. 11. 2013, 23:41:01 »
Potom kde je možné analyzovať komunikáciu...cez netflow viem, že sa dá odchytať, kto aké stranky otvára...lenže ako je možné robiť analyzu paketov - čiže vidieť vyslednú podobu odchytenej komunikácie...
Udelas si mirror provozu na nejakem portu v segmentu site kde te to zajima a dal to analyzujes. Vetsinou se to jmenuje port mirror/port monitor. Proste to replikuje vsechen provoz jeste na jiny port. Tohle funguje i na jinych sitovych technologiich nez ethernetu. Jestli uz to zpracujes  online nebo offline normalnim packet snifferem, pripadne nejakym drahym uberdevicem na analyzu provozu uz je na tobe
Samozrejmne jde pouzit i bastl reseni ze se napichnes pres hub nebo pres pripravek mezi draty ktere te zajimaji.

Jenda

Re:Velmi podrobné monitorovaní všeho provozu v mé síti.
« Odpověď #22 kdy: 22. 11. 2013, 04:36:03 »
Co se týče ostatního (nešifrovaného) provozu, úplně na to stačí tcpdump.
Ane. Jedna věc je mít na disku terabajt zalogovaných TCP spojení (to je triviální, stačí spustit sniffer), druhá věc je vybrat z toho terabajtu potřebnou informaci. To je podle druhu provozu často zatraceně složité.

Jenda

Re:Velmi podrobné monitorovaní sítě
« Odpověď #23 kdy: 22. 11. 2013, 04:39:48 »
Ako mam detegovat, ze niekde v sieti mam zombie PC, ktory posiela sifrovane prikazy botnetu?
Ano endpoint security. Ak ta nezaberie? Musim mat k dispozicii viacstupnovu ochranu.
Posledna skusenost: hacknuty web sa pripajal na server v internete na port 80, kde bezal SSH server.
Skoro bych řekl, že tohle detekovat nejde - pokud si dá útočník alespoň trochu záležet. Ta data můžou být třeba ukrytá v obrázcích - pak to vypadá, že si si občas někdo stáhne fotku. Steganografických knihoven se na netu válí plno a automatickou realtime analýzu snadno obejde i ta nejjednodušší.

Tonda_

Re:Velmi podrobné monitorovaní sítě
« Odpověď #24 kdy: 22. 11. 2013, 07:54:19 »
Jde to..konkretne tento pripad vyresis Tim za povolis jest to komunikaci ktera je nutna a of PC co ji musi mit.

I pokud mas PC a pripokuje se na port 80.Staci proxy a je to . Jedine co muze na port 80 je proxy. Proxy kontroluje ze co jde pres in je http atd

Security je komplexni tema a nejde navrhnout 100% spolehlivy system
Ale jde hodne minimalizovat