Rabovoluk presentation yaroslav-2
- 5. МОДЕЛЬ ВНЕШНЕГО НАБЛЮДАТЕЛЯ
• Обладает ограниченным знанием цели
• Находится во внешней области по
отношению к цели
• Имеет доступ к ресурсам, не связанным с Internet
целью
- 6. ОБЛАСТЬ ПРИМЕНЕНИЯ
- обнаружение нарушений политик ИБ
- обнаружение утечек информации
- определение скомпрометированных систем
НЕ ЯВЛЯЕТСЯ
- средством мониторинга состояния систем
- единственным средством контроля нарушений
- 7. ДОСТУПНАЯ ИНФОРМАЦИЯ
• Открытые порты
• html-код
• наличие форм или методов авторизации
• ошибки конфигурации
• кэш поисковых машин
• etc
- 8. ТРЕБОВАНИЯ К СИСТЕМЕ
• удобный отчет Subject: Report point x1
20 mar 2012
• низкий уровень false positives Found 2 new hosts, 6 new ports, 1 violation
• конечное время работы цикла Hosts:
new 192.168.0.16:[ 22,443]
• оперативное оповещение о серьезных new 192.168.0.23:[139,1223]
192.168.0.1:[3128]
нарушениях 192.168.0.45:[22122]
• безопасные проверки Violations:
192.168.0.16:[22] : root/root
- 10. ИНСТРУМЕНТАРИЙ
• порт-сканеры: nmap,unicornscan,nessus,etc.
• фреймворки эксплойтов: metasploit, nmap scripting
• скриптовый язык: python,perl
- 11. PORTSCANNING
25/tcp open smtp
80/tcp open http
111/tcp open rpcbind
873/tcp open rsync
2049/tcp open nfs
NMAP - универсальное средство доставки радости 4700/tcp open unknown
5040/tcp open unknown
5050/tcp open mmcc
5051/tcp open ida-agent
22122/tcp open unknown
38024/tcp open unknown
47039/tcp open unknown
54015/tcp open unknown
- 13. GOOGLE DORKS
• Общие запросы
– “Index of”
– “allintitle: phpinfo()”
– “"Warning: mysql_connect():
Access denied for user: '*@*" "on line" -help -forum”
• Policy-based запросы
+ “site:companyname.com”
- 15. ОГРАНИЧЕНИЯ
• ips
• характер траффика
• риск вызвать отказ в обслуживании
• “черный список” при мониторинге внешнего ресурса
- 16. ПОДДЕРЖКА
Отчет
Обработка отчетов
Уточнение модели
- 17. ЭФФЕКТ ОТ ВНЕДРЕНИЯ
• обнаруживается до 80% уязвимостей
• усиливается ответственность в соблюдении политик
100
75
50
25
0