Как спастись от мониторинга???

Joined
Nov 1, 2005
Messages
101
Reaction score
98
Location
Киев
Плиз, подскажите как мне заблокировать доступ к машине для "посторонних"
У меня на работе Ведут контроль за машынами, внутри сети (мониторинг)
Как бы его прикрыть, (я имею права админа).:confused:
 
Last edited by a moderator:

Veda

Member
Joined
May 12, 2005
Messages
1,290
Reaction score
554
Location
Прямиком с WallStreet
1) Поставь фаер и настрой его...
или
2) Сменить в системе пароли активных акаунтов, и заблокировать всё кроме одного\двух нужных
3) Полностью отлючить все общие ресурсы (если они не требуются в работе)
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем.
5) Посмотреть что стартует с виндой - возможно какие-то утилиты типа NetOp, отключаем.

Другой вопрос какова будет реакция, как только пропадёт мониторинг?!

Кстати... Дублировать темы - плохая примета;)!
 
Joined
Nov 1, 2005
Messages
101
Reaction score
98
Location
Киев
1) Поставь фаер и настрой его...
или
2) Сменить в системе пароли активных акаунтов, и заблокировать всё кроме одного\двух нужных
3) Полностью отлючить все общие ресурсы (если они не требуются в работе)
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем.
5) Посмотреть что стартует с виндой - возможно какие-то утилиты типа NetOp, отключаем.

Другой вопрос какова будет реакция, как только пропадёт мониторинг?!

Кстати... Дублировать темы - плохая примета;)!


Тему не дублировал!!!:(
На реакцию посмотрим. Самому интересно.
А с остальным попробуем!!!:D
 

Painted

Member
Joined
Aug 13, 2005
Messages
46
Reaction score
1
Age
44
Location
Татарстан
Если ты в домене, то полезно
1. Вырубить службу "Удаленный реестр"
2. Из локальных групп из группы Администраторы выбросить группу Администраторы домена
3. В реестре AutoShareWks=0, AutoShareServer=0 (убираются шары типа C$, ADMIN$)
 

holgers

Member
Joined
Mar 6, 2007
Messages
9
Reaction score
5
Age
57
Location
СССР
Самый простой вариант что-бы тебя не отслеживали - отключить сетку!!!!!!
 
Joined
Nov 1, 2005
Messages
101
Reaction score
98
Location
Киев
А есть ли такая прога которая показывает, что в данный момент за компом следят (мониторят)???
 
Joined
Nov 1, 2005
Messages
101
Reaction score
98
Location
Киев
А чтото проще есть типа Сигнального значка(Мониторят - не мониторят).
 

Veda

Member
Joined
May 12, 2005
Messages
1,290
Reaction score
554
Location
Прямиком с WallStreet
Фаер, например Outpost.
Можно выяснить что, кто, откуда и каким образом мониторит (это же можно сделать средствами системы, но фаером проще, на мой взгляд), далее создаются правила позволяющие мониторить, но как только они отрабатывают будет видно предупреждение. Либо можно можно изголиться что мониториться будет только то, что позволено;) :)

Либо можно это сделать средствами сниффера, что вообщем то правильней - так как это прямое назначение снифферов. Я бы рекомендовал либо ethereal, либо CommView, но в отличии от фаера сниффера предоставляют лишь гибкую (более гибкую чем фаер) систему мониторинга, а с помощью фаера можно и закрыть нежелательный мониторинг, либо обрубить его в нужный момент - типа "ой, пропало, отвалилось, упало...":).

Можно пользоваться и тем и тем вместе, ко всему прочему это даст массу полезных знаний в области сетей, сетевых протоколов и не только...
 
Last edited by a moderator:

zten.murof

Member
Joined
Jul 15, 2004
Messages
34
Reaction score
14
если SNMP инсталирован, то все предыдущие советы не пригодятся.

сам вопрос потеме поставлен не совсем корректно.
что значит "мониторят"? или снимают скриншоты или следят за транзакциями. или следят просто за активностью в сети.
хз.

вместо того, чтобы ставить FW, можно просто включить и настроить штатный security audit и просматривать в эвентлогах, кто чего делал с компом (из сети или просто руками).
и еще... от прослушивания портов на ws НИЧТО не поможет.
а порты (в сети) открывать придется по любому.
 

Veda

Member
Joined
May 12, 2005
Messages
1,290
Reaction score
554
Location
Прямиком с WallStreet
Вот по поводу просмотра аудита дельное замечание!

Что касаемо SNMP, как я уже и говорил выше
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем
SNMP точно такая же сетевая служба, для неё актуально всё выше сказанное, а не только отключение как службы...
 

zten.murof

Member
Joined
Jul 15, 2004
Messages
34
Reaction score
14
Veda

Что касаемо SNMP, как я уже и говорил выше


4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем

SNMP точно такая же сетевая служба, для неё актуально всё выше сказанное, а не только отключение как службы...
По большому счету Ваши рекомендации профессиональны и почти исчерпывающи.
Вы все правильно сказали. но не учли одно и весьма существенное "но".
То, что "кажется" юзеру "лишними службами" могут иметь ключевое функциональное значение в сети (или домене - это как организована сеть...)
например: (на вскидку что первое на ум пришло) возьмем самую безобидную, "кажующуюся лишней" любому юзеру службу по 123 порту.
закрываем порт (переводим соответствующую службу в мануал или дисэйбл). В результате постепенно накапливается временное смещение между метками транзакций по... консолидации платежного баланса по филиалам банка. а машинка старая. а в симосе кмоп с повышенной затворной утечкой. в результате через пару дней времечко у вас отстанет (успешит) и вам произойдет вливание по полной от начальства. (кстати, реальный случай).
я уж не говорю об остальных службах, очень мало понятных юзеру (пусть даже с админскими правами).
не сочтите за флейм, но вопрос "мониторинга" в сети плавно переходит в вопрос философский. что считать монитором. а на кой хер нужен юзер в домене с полностью закрытыми портами. (даже теми которые требуются при аутентификации на сервере)

и еще. даже если вы полностью закроете порты. не войдете в домен, закроете ICMP etc и вообще будете сидеть как мышь со своим сниффером и просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить.
рассказать как?

P.S. вообще, странно рассуждать на некорректно поставленную тему. автор так и не определился, что он имел в виду под словом "мониторят".
 

Veda

Member
Joined
May 12, 2005
Messages
1,290
Reaction score
554
Location
Прямиком с WallStreet
Это верно подмечено...

и еще. даже если вы полностью закроете порты. не войдете в домен, закроете ICMP etc и вообще будете сидеть как мышь со своим сниффером и просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить
:eek: Да уж сам как-нибудь соображу:p
 

Painted

Member
Joined
Aug 13, 2005
Messages
46
Reaction score
1
Age
44
Location
Татарстан
Veda
просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить.
А если два провода (которые работают в обратку) обрезать у патч-корда, все равно можно вычислить?
 

zten.murof

Member
Joined
Jul 15, 2004
Messages
34
Reaction score
14
Painted
А если два провода (которые работают в обратку) обрезать у патч-корда, все равно можно вычислить?

а вы свою сеть организовали на стандарте 100Base-TX?
я вам сочувствую. нормальные люди строят на 100Base-T4. а там как известно ДВЕ пары двунаправленных проводов (помимо двух однонаправленных).
ну да ладно. пусть вы перекусили "обратку" как вы выразились.
шо делаем мы.
конечно же мы обтбрасываем вышележащие протоколы IP IPX и спускаемся на уровень ethernet. в частности на подуровень LLC кадр которого как известно вкладывается в кадр MAC.
нас интересеут расширение кадра LLC - SNAP.
в поля DSAP и SSAP мы записывааем значение AA (в миру 10 10) тип кадра -03, следующие 4 байта пишем так идентификатор организации (OUI) по нулям (00) а последний байт пишем 0800
дальше лезем на физический уровень в частности на подуровень reconciliation sublaver и подуровень PHY, которые передает данные в регистр управления (CR) и регистр статуса (SR).
угу. читаем. там написано transmit error.
тааак. кто-то переграз провод "обратки".
потом идем к хабу и смотрим: епта, лампочка погасла! это значит, что хто-то перегрыз провод обратки и боится быть обнаруженным, слушая ВСЮ сеть всего лишь двумя проводами. смотрим по кабелю - а хто эта подключен к этому порту?
и вытаскиваем вас на свет божий. приговаривая "никуда не спрячешься от нас, проклятый хакер!"

sapienti sat
 

Evgenka

Member
Joined
Oct 10, 2006
Messages
36
Reaction score
0
Location
Минск
Граждане, помогите!!!
Директор установил всем на фирме на компы программку, которая делает скриншоты, в принципе ничего смертельного, но неприятно!
Может кто-нибудь посоветует что-нибудь для борьбы с этим явлением.
Причем порга ента стоит в автозагрузке и стоит только ее отрубить, как босс явится через надцать минут выяснять почему он меня не видит через эту программку, стоящую у него на компе.
 
Last edited by a moderator:

Evgenka

Member
Joined
Oct 10, 2006
Messages
36
Reaction score
0
Location
Минск
Если нужно, то могу и саму программу выложить. ScanClient называется.
 

Painted

Member
Joined
Aug 13, 2005
Messages
46
Reaction score
1
Age
44
Location
Татарстан
Лепить вручную Ethernet пакеты... Такого я еще не видел. А чем это делается? ТСР\IP пакет можно слепить любым продвинутым сниффером.
Пропускной способности tx нам хватает. Все равно узкое место - это сервера приложений.
 

freemem

Member
Joined
Nov 24, 2006
Messages
17
Reaction score
4
Age
53
Location
Moscow
Есть-ли возможность узнать что за софт установлен? Уверен надо плясать от этого.
 
Top