в данный момент пользуюсь Checkpoint с тремя интерфейсами под SUN. Стандартно: Интернет, локалка, DMZ. Хочется заапгрейдить сам Checkpoint до VPN-1 Edge или VPN-1 Pro. И хочется под это дело подцепить еще три интерфейса: dial-up, еще пара сеток. Так вот интересно удобно ли мне будет пользоваться с такой кучей интерфейсов Checkpointom или лучше купить PIX 515E или 525E у которых изначально куча интерфейсов и поддержка VLAN если их не хватит???
Поставил сегодня Labrea под FreeBSD. Отлично работает - эмулирует любой несуществующий адрес в сети и говорит сканеру, что на нем много открытых портов и ставит Window Size равный трем, но вот статистику по атакующим хостам не хочет собирать. Автору уже написал письмо, если не ответит, придется самому в скрипты лезть, но может у кого уже было такое.
если кто сталкивался, подскажите стоит ли писать анкету в кадровое агенство... или лучше уж на job.ru публиковаться. может есть какой-то рейтинг этих кадровых агенств.
Я долго не мог найти что это все значит, тем более что UDP протокол нельзя заблокировать access-listом на Cisco - легко можно порезать нужный трафик (ответы на запросы) и вот наткнулся на статью http://www.lurhq.com/popup_spam.html Оказывается это просто новый вид спама. Через службу Messenger. Интересно.
Поскольку honeypot занимается тем, что симулирует работу нормального хоста, то я бы его назвал симулятором. Кроме того в русском языке есть глаголы: притворяется, имитирует. Ну тогда он притворщик или имитатор. Но это похуже ИМХО. Интересно чужое мнение
Я сканирую хост, где стоит VmWare ESX Server. Он на базе Linux. Сканирую с Windows XP который через NAT и Checkpoint выходит во внешнюю сеть.
Вот что говорит NMAP: Starting nmap 3.50 ( http://www.insecure.org/nmap ) (The 1652 ports scanned but not shown below are in state: closed) PORT STATE &nb sp;SERVICE 21/tcp filtered ftp 22/tcp open ss h 80/tcp open ht tp 389/tcp filtered ldap 443/tcp open https 902/tcp open iss-realsecure-sensor 1720/tcp filtered H.323/Q.931
Запускаю XSpider 7 demo и он еще кроме этих портов находит еще и порт 1002.
на самом деле если запустить на хосте "netstat -luntp" то я не вижу никаких процессов слушающих на портах которые помечены nmap как filtered.
Вычитал сегодня, что пользуясь командой mknod, the attacker could possibly create device nodes to access memory directly. Я так и не понял, что это за команда такая которая позволяет получить доступ к памяти да еще и что-то в ней считать или записать. И потом к какой памяти, памяти процесса или вообще всей физической? Наверно все от того, что я не знаю что такое device node.
Какие-то гады используют мой e-mail для рассылки спама и вирусов. E-mail наверно взяли на securitylab - в одной статье засветился. Никак не приложу ума как от этого защититься. Все время приходят письма что с моего ящика идут вирусы.
Например последнее письмо которое якобы я отправил: Received: from [217.69.198.186] (helo=k2kapital.com) by mail.k2kapital.com with esmtp (Exim 4.20) id 1BAmXN-000MD6-Pn for info@k2kapital.com; Tue, 06 Apr 2004 217.69.198.186 Host reachable, 28 ms. average
логин и пароль человека. Мне человек сказал видел программу которая перехватывала защищенный HTTPS трафик и выдавала пароль на почтовый сервер. Хочу проверить эту информацию. Я читал что, чтобы взломать закрытый текст испольщующий 40 битный ключ требуется год выделенного процессорного времени для компьютера с 64-MIPS. Но может есть какие-то дырки в реализациях?
Вы не получали случайно от Microsoft письмо с заголовком типа NOTICE OF POTENTIAL UNLAWFUL DISTRIBUTION OF MICROSOFT SOURCE CODE? Если получали, то что вы с ним делали? Интересует вопрос явлется ли, на Ваш взгляд, нарушением какого-нибудь закона или правил пользования Интернет факт скачивания файлика с исходниками?
Пользуюсь Checkpoint FW-1 и в нем для работы локалки естественно работает NAT. В общем проблема в том что traceroute не показывает промежуточные хосты при запуске с локального адреса. Теоретически и не должен, поскольку ICMP ответ от промежуточного хоста FW не знает куда пересылать. Но есть ли какой-то способ настроить Checkpoint чтобы он догадывался кому пересылать ответы от промежуточных хостов?
Вот например как выглядит tracert www.ru из локалки.
Трассировка маршрута к www.ru [194.87.0.50] с максимальным числом прыжков 30:
1 <1 мс &nbs p; * 1 мс 10.254.1.1 2   ; ;* * * &nb sp;Превышен интервал ожидания для запроса 3   ; ;* * * Превышен интервал ожидания для запроса 4   ; ;* * * Превышен интервал ожидания для запроса 5 * * * Превышен интервал ожидания для запроса 6 * * * Превышен интервал ожидания для запроса 7 * * * Превышен интервал ожидания для запроса 8 * * * Превышен интервал ожидания для запроса 9 * * * Превышен интервал ожидания для запроса 10 * * * Превышен интервал ожидания для запроса 11 35 ms 40 ms 30 ms www.ru [194.87.0.50]
Я вот что думаю. Надо бы нам всем начать контролировать попытки соединения в наши сети по портам 3127-3198 tcp. Таким образом как только эти уроды-распространители начнут сканить сетки в поиске открытых для себя троянов, а они будут это делать перед началом DOS атаки на SCO, то можно будет засечь их IP адрес. Пусть это даже будет прокси. Но это уже результат. Тем более собрав статистику таких соединений мы точно их вычислим. Тем более есть возможность заработать 250000 долларов Я, например, уже поставил у себя Honeypot. Пусть ломятся. К сожалению, в подозрение у меня попадают хосты которые к 3128 порту коннектятся - HTTP прокси ищут. Вообще активность на ожидаемых портах отсутсвует... Может эти порты разработчикам и не нужны были?
Хотя может вирус плохо распотрошили и он сам рассылает куда-то инфу о себе? Но это вряд ли.
Кстати по-поводу российского происхождения вируса я сомневаюсь, поскольку рассылка идет генерацией email подстановкой только английских имен. Например у себя вижу: fred, jose, helen, james, peter, maria, brenda, bob, alice, joe, matt, mary, dan, mike.
Не знаю в каком форуме это обсудить, но Безопасность Сетей наверно лучше всего подходит. Источником для темы послужила эта статья The TOP 10 Internet Security Bloopers Я предлагаю дополнить эти 10 глупостей администрирования. Попробую перевести сейчас те, что уже есть.