форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Поимка ламмеров..."
Сообщение от Андрей on 06-Ноя-01, 15:03  (MSK)
Интересный вопрос. сетка внутренняя построена на хабах ( т.е. можно снифферить ). Так вот - частенько меня достают этим - балуется кто-то... вот седня - вижу, что ARP запрос на адрес дается... а пинг и все остальное - так бы нет хоста.(типа чтобы антисниффер не обнаружил ) определил MAC-адрес.. прошелся по предприятию - вроде как не обнаружил, ( или переписали, или карточку заменили ). Так вот собственно вопрос - ну определил я комп этот. а дальше что ? арестовывать комп, делать ревизию и искать логи ? т.е. как с этим покончить ? ( переход на коммутаторы не предлагать..:(( пока что обновление железа не предусматривается..) просто не обращать внимание не могу - нарушение закона о локалке и плюс - могут перехватить данные. Может кто сталкивался с этим ? поделитесь опытом в этом плане..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Поимка ламмеров..."
Сообщение от mrAngel on 06-Ноя-01, 15:14  (MSK)
>Интересный вопрос. >сетка внутренняя построена на хабах ( >т.е. можно снифферить ). >Так вот - частенько меня достают >этим - балуется кто-то... >вот седня - вижу, что ARP >запрос на адрес дается... >а пинг и все остальное - >так бы нет хоста.(типа чтобы >антисниффер не обнаружил ) >определил MAC-адрес.. прошелся по предприятию - >вроде как не обнаружил, ( >или переписали, или карточку заменили >). >Так вот собственно вопрос - ну >определил я комп этот. а >дальше что ? арестовывать комп, >делать ревизию и искать логи >? >т.е. как с этим покончить ? >( переход на коммутаторы не >предлагать..:(( пока что обновление железа >не предусматривается..) >просто не обращать внимание не могу >- нарушение закона о локалке >и плюс - могут перехватить >данные. >Может кто сталкивался с этим ? > >поделитесь опытом в этом плане.. ага, вопрос актуальный, у мна ещё и pop3 imap слушают, абыдно да?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Поимка ламмеров..."
	Сообщение от Андрей on 06-Ноя-01, 17:55  (MSK)
	Ну с технической стороны понятно... меня интересует политический (организационный вопрос). что делать если я обнаружил комп, который этим занимается и человека ? И еще вот интересно - какие данные нужно предъявить начальству, чтобы наказать виновного ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Поимка ламмеров..."
	Сообщение от darkmonk on 06-Ноя-01, 21:48  (MSK)
	Это зависит то начальства, Вам должно быть виднее. Некоторым достаточно сказать, а уж они человека разведут.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Поимка ламмеров..."
	Сообщение от lavr on 07-Ноя-01, 15:27  (MSK)
	>Ну с технической стороны понятно... >меня интересует политический (организационный вопрос). >что делать если я обнаружил комп, >который этим занимается и человека >? >И еще вот интересно - какие >данные нужно предъявить начальству, чтобы >наказать виновного ? Прежде чем что-либо делать, надо создать policy для Local-Net, продумать, написать документ в котором были бы отражены: - права - обязанности - ответственные и ответственность:   - общественная и организационная   - административная данный документ в строго-обязательном порядке должен быть рассмотрен и завизирован РУКОВОДИТЕЛЕМ предприятия/фирмы. После чего масса вопросов отпадет сама, а документ будет время от времени дополняться и видоизменяться. Как показывает опыт и практика, самым важным моментом является - оформление документа при регистрации НОВОГО пользователя в Локальной сети, НЕ ВАЖНО какой доступ и к каким ресурсам этот пользователь получает, ЛЮБОЙ администратор, любого сервера - обязан направить НОВОГО пользователя в Сетевой Центр для оформления документа "Пользователь сети Local-Net", где Local-Net, имя локальной сети, например: JINR-Net. В этом документе должны быть перечислены права, обязанности и возможная ответственность, включая административную. Новый пользователь ставит СВОЮ подпись и теперь он несет ответственность как и все остальные. После чего администраторам, NOC'у - нет необходимости ломать голову ЧТО ЖЕ ДЕЛАТЬ. Да, ПРАВИЛА, едины для ВСЕХ, будь то начальник - большой-маленький или рядовой сотрудник. Данный подход, как нельзя лучше работает в универах и федеральных-бюджетных (халявных) системах, ибо на фирмах - просто выгоняют к свиням Сие совершенно серьезно и близко не смешно, сети имееют тенденцию расти, а сетевые проблемы растут еще быстрее - как снежный ком. Если кто-то полагает что сие геморройно, отнюдь, гораздо геморройнее потом защищаться и вычищать хакеров, что в итоге - почти невозможно в сильно выросшей сети(по размеру и структуре) К сожалению, пройдено на личном опыте :((( Начальству это по-перву как бы не нужно, а вот потом... Оно - начальтво начинает гнуть пальцы и тыкать всех носом в свое же дерьмо :((( Поэтому надо убедить и обрисовать _радужные_ переспективы взломов, писем из CERT'а на предмет переинсталляции ВСЕХ серверов, блокирование ваших сетей-подсетей, mail-relay'ев - жопа короче PS. Sorry - очень больной вопрос. :-?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Поимка ламмеров..."
	Сообщение от Андрей on 08-Ноя-01, 12:26  (MSK)
	Спасибо.. действительно больной вопрос... Если есть еще опыт - поделитесь... Вполне актуальный и важный вопрос...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Поимка ламмеров..."
	Сообщение от Sciurus on 09-Ноя-01, 14:22  (MSK)
	>Прежде чем что-либо делать, надо создать >policy для Local-Net, продумать, написать >документ в котором были бы отражены: А чтобы сей документ имел юридическую силу, его нужно оформить как *должностные обязанности* , с которыми новичка при устройстве ознакамливают и под которыми он подписывается. Тогда любое невыполнение требований по работе в сети будет расцениваться как нарушение должностных обязанностей, ну а дальше начальству решать, что с таким перцем делать. ТолЬко начальство должно быть соответствующее :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Поимка ламмеров..."
Сообщение от uldus on 09-Ноя-01, 01:30  (MSK)
>Так вот собственно вопрос - ну >определил я комп этот. а >дальше что ? При хабе - все попытки бесполезны, MAC на большинстве сетевух меняется программно за 1 сек. Выявить грамотного сниффера невозможно. Выход - TCP/IP трафик гонять через шифрованные туннели. Самая большая трудность - поставить всем клиентам туннелеобразующиее ПО, что на предприятии вообще не проблема.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Поимка ламмеров..."
	Сообщение от Max on 12-Ноя-01, 20:41  (MSK)
	Можно просто авторизацию на рутере сделать через Апач + ССЛ + файрвол и туннели вроде не нужны.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Поимка ламмеров..."
	Сообщение от lavr on 12-Ноя-01, 23:10  (MSK)
	>Можно просто авторизацию на рутере сделать >через Апач + ССЛ + >файрвол и туннели вроде не >нужны. это хорошо для outside connection и небольшом количестве unix-серверов в local-net. Например, в JINR > 2000 телеге и >500 OS Unix и от локальных ломов это не спасет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Поимка ламмеров..."
Сообщение от Igor on 14-Ноя-01, 03:17  (MSK)
В данной ситуёвине рискну предложить книжонку. Кореш (дал на почитать). Д.Рей "системное администрирование UNIX". Пока читал - плевался. Мадам налила кучу воды. Перелив из пустого в порожнее. Лучше бы я это время употребил для пивчанского. :( Но в той книге "писательница"(кста там есть её фото, вид со спины ;) ) одгрохала не хилую тучу места под эту самую "Системную политику" (в качестве примера присутствует бумажная копия договора, типа сдал - принял, протокол). Тут уже пипл приводил примеры, а в книжонке перемалывается вдоль и поперёк. Причем там много "плавных" переходов от настройки софта к этой самой "политике". Good luck!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Поимка ламмеров..."
Сообщение от Дмитрий on 16-Ноя-01, 14:16  (MSK)
не надо никого ловить если нашел комп с которого происходит это безобразие, то подключай иго через pc bridge(писюк с 2 сетевушками, ОС - openbsd или кому какая нравится) и пусть он остается сам с собой наедине ps но это дело надо провернуть как можно более незаметно.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Поимка ламмеров..."
	Сообщение от lavr on 16-Ноя-01, 16:05  (MSK)
	>не надо никого ловить >если нашел комп с которого происходит >это >безобразие, то подключай иго через pc >bridge(писюк с 2 сетевушками, ОС >- openbsd или кому какая >нравится) >и пусть он остается сам с >собой наедине > >ps но это дело надо провернуть >как можно более незаметно. сие есть "спорт", в техническом плане - абсолютно верно, но в плане построения технологического процесса - ни в какие ворота не влазит. Те, вся соль в том что если есть ШТАТНАЯ служба security - то это ее работа. Если же официально такой службы нет, и этим занимается администратор - это "спорт", сисадм должен работать, а не заниматься играми.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.