Как дать отпор

Третий аспект защиты от атак хакеров представляет собой смесь из двух вещей: что делать во время или после взлома и некоторые методы обмана, чтобы заманить черную шляпу в сети. В случае когда компьютер взломан или исследовали, вещь номер один, что администратор не может сделать, это ответ. Это абсолютно ничего не решает и ставит администратора категории, что и злоумышленника. Это также показывает, что есть на самом деле компьютерные системы там, и кто-то следит за ними. Это может вызвать злоумышленника попробовать различные типы атак. Лучше всего делать это, чтобы собрать достаточно информации об атаке, где факты могут быть объединены, чтобы точно определить, что злоумышленник сделал или пытался сделать и перейти оттуда. Если это просто скрипт детских сканирований сети для возможных целей, существует не так много, что вы можете сделать. Если администратор попытался отследить каждого человека, который отсканировал их сети, он не получил бы очень много пользы.

Если компьютер взломан, главное, чтобы определить, является ли черная шляпа сюда, или он по-прежнему на поле. Единственное, что должно произойти сначала, чтобы попытаться определить где черная шляпа и откуда действует. IP-адреса могут пройти длинный путь в поиске черной шляпы. Не начинайте удаление файлов из системы. Если черная шляпа видит, что файлы волшебно исчезают, он может принять решение, чтобы получить от компьютера или удалять ценные журналы. Администратор может получить информацию, необходимую для преследования черной шляпы. После администратор определяет где черная шляпа и имеет достаточно информации, чтобы преследовать в судебном порядке черную шляпу, коробка должна быть удалена из сети. Конечно, есть некоторые исключения из этого. Если коробка была скомпрометирована и используется в качестве оружия против других компьютеров (т.е. DDOS), окна должны быть немедленно удалены.

В идеальном мире каждый администратор сможет поймать злоумышленника с поличным.

К сожалению, она не работает таким образом большую часть времени. Обычно окно и взломали, администратор узнает это после, факт. Есть много работ онлайн. В первую очередь помнить, должны удалить из окна сети и не изменять или удалять любые файлы на диске. Некоторые файлы могут содержать определенные подсказки о личности злоумышленника и как долго он был на вашем компьютере.

Вторая тема, по борьбе спины распространенных методов обмана. Некоторые из этих методов, хотя и не новичок в мире информационной безопасности, не разглашаются, как много защиты и системы обнаружения вторжений. Однако, эти методы могут быть столь же эффективными. Первый из этих методов называют ловушкой или сети-приманки. Хотя эти ящики могут быть использованы для обучение администраторов, чтобы поймать черную шляпу, они также могут быть использованы для поимки blackhats.

В статье упоминалось ранее, "построить Ханипот", Spitzner говорит, что он делает.

Не используйте в качестве приманки способ поймать черную шляпу. Однако, хорошо настроенная ловушка может быть предупреждением о деятельности в будущем. С приманок, как правило, наименее безопасных, эти коробки, вероятно, будут первыми. Оповещения порожденных, атакующих эти коробки может дать злоумышленнику перейти к любому из реальных ящиков в сети.

Перед установкой ловушки, администратор должен защитить свою сеть от окна вследствие взлома. Несколько правил, которые помнят являются следующими:

- Ограничить ловушку своей собственной сети. Если окно скомпрометировано, убедитесь, что хакер не имеет доступа к остальной части производственной сети.

- Как продолжение первой точки, не заблокировать весь исходящий доступ на ловушку.

- Если NIDS в настоящее время используется в сети, убедитесь, что существует специальное оповещение отправленное за любую ловушку. Эти уведомления, как упоминалось выше, могут быть раннее предупреждением, признаком того, что злоумышленник смотрит на вашу сеть.

- Store журналы, которые могут быть использованы в качестве доказательств ловушки. Если злоумышленник опытный, первое, что он может сделать, это посмотреть, чтобы удалить или изменить журналы.

- Держите ловушку в актуальном состоянии. Не думаю, что если вы работаете в Windows 2000 SP 1 и IIS 5.0 на всех коробках и ваши ловушки под управлением Windows NT 4.0 SP3 с IIS 4.0, что черная шляпа не будут с подозрением к вам относиться и не будет атаковать окна на всех.

Есть много типов приманок и до сих пор этот документ говорил о полной системе. Однако, одним из наиболее забавных способов бороться против нападавших, с обмана систем. Один из наиболее известных из них является Фред Коэн Deception Toolkit.

Это сочетание наиболее часты взломы протоколов в одном комплекте. Этот комплект взаимодействует с злоумышленником, так злоумышленник думает, что он на реальной системе. Один из самых заметных систем обман "00 [Sub] 7", Ultimate SubSeven. Один из наиболее распространенных - сканирование портов в системе в настоящее время является для порт 27374, или SubSeven порт. SubSeven является очень мощным трояном, который может сделать любое количество вещей на компьютере жертвы. Этот обманный инструмент выглядит как, SubSeven - сервер на стандартный порт. Он записывает все события, что происходят между клиентом и сервером. Пользователь может отправить злоумышленнику сообщение с IP атакующего говоря, что он будет сохранен, а также некоторые другие вкусности. Это инструмент более ориентирован на домашних пользователей, а не на корпоративную среду. Такие инструменты, как приманки повлияли на мир черной шляпы. Администратор может собирать IP адреса довольно легко и сообщить об этих адресах в соответствующие органы.

Хотя приманки являются хорошим инструментом обучения и хорошим способом, чтобы поймать начинающих хакеров на месте преступления, эти коробки должны быть проверены очень внимательно и должны быть только реализованы в сетях опытных администраторов безопасности.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок