Как спастись от мониторинга???

В

Владимир ВВ

Турист
Плиз, подскажите как мне заблокировать доступ к машине для "посторонних"
У меня на работе Ведут контроль за машынами, внутри сети (мониторинг)
Как бы его прикрыть, (я имею права админа).:confused:
 
Last edited by a moderator:
Veda

Veda

Бывалый
Свой / Own
1) Поставь фаер и настрой его...
или
2) Сменить в системе пароли активных акаунтов, и заблокировать всё кроме одного\двух нужных
3) Полностью отлючить все общие ресурсы (если они не требуются в работе)
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем.
5) Посмотреть что стартует с виндой - возможно какие-то утилиты типа NetOp, отключаем.

Другой вопрос какова будет реакция, как только пропадёт мониторинг?!

Кстати... Дублировать темы - плохая примета;)!
 
В

Владимир ВВ

Турист
Veda said:
1) Поставь фаер и настрой его...
или
2) Сменить в системе пароли активных акаунтов, и заблокировать всё кроме одного\двух нужных
3) Полностью отлючить все общие ресурсы (если они не требуются в работе)
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем.
5) Посмотреть что стартует с виндой - возможно какие-то утилиты типа NetOp, отключаем.

Другой вопрос какова будет реакция, как только пропадёт мониторинг?!

Кстати... Дублировать темы - плохая примета;)!
Click to expand...

Тему не дублировал!!!:(
На реакцию посмотрим. Самому интересно.
А с остальным попробуем!!!:D
 
P

Painted

Турист
Если ты в домене, то полезно
1. Вырубить службу "Удаленный реестр"
2. Из локальных групп из группы Администраторы выбросить группу Администраторы домена
3. В реестре AutoShareWks=0, AutoShareServer=0 (убираются шары типа C$, ADMIN$)
 
H

holgers

Турист
Самый простой вариант что-бы тебя не отслеживали - отключить сетку!!!!!!
 
В

Владимир ВВ

Турист
А есть ли такая прога которая показывает, что в данный момент за компом следят (мониторят)???
 
P

Painted

Турист
netstat -a, если немножко разбираешься в протоколах и портах. ))
 
Veda

Veda

Бывалый
Свой / Own
Фаер, например Outpost.
Можно выяснить что, кто, откуда и каким образом мониторит (это же можно сделать средствами системы, но фаером проще, на мой взгляд), далее создаются правила позволяющие мониторить, но как только они отрабатывают будет видно предупреждение. Либо можно можно изголиться что мониториться будет только то, что позволено;) :)

Либо можно это сделать средствами сниффера, что вообщем то правильней - так как это прямое назначение снифферов. Я бы рекомендовал либо ethereal, либо CommView, но в отличии от фаера сниффера предоставляют лишь гибкую (более гибкую чем фаер) систему мониторинга, а с помощью фаера можно и закрыть нежелательный мониторинг, либо обрубить его в нужный момент - типа "ой, пропало, отвалилось, упало...":).

Можно пользоваться и тем и тем вместе, ко всему прочему это даст массу полезных знаний в области сетей, сетевых протоколов и не только...
 
Last edited by a moderator:
Z

zten.murof

Турист
если SNMP инсталирован, то все предыдущие советы не пригодятся.

сам вопрос потеме поставлен не совсем корректно.
что значит "мониторят"? или снимают скриншоты или следят за транзакциями. или следят просто за активностью в сети.
хз.

вместо того, чтобы ставить FW, можно просто включить и настроить штатный security audit и просматривать в эвентлогах, кто чего делал с компом (из сети или просто руками).
и еще... от прослушивания портов на ws НИЧТО не поможет.
а порты (в сети) открывать придется по любому.
 
Veda

Veda

Бывалый
Свой / Own
Вот по поводу просмотра аудита дельное замечание!

Что касаемо SNMP, как я уже и говорил выше
4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем
Click to expand...
SNMP точно такая же сетевая служба, для неё актуально всё выше сказанное, а не только отключение как службы...
 
Z

zten.murof

Турист
Veda

Что касаемо SNMP, как я уже и говорил выше


4) Пройтись по службам винды и глянуть нет ли чего лишнего - лишнее в "manual" либо вообще отключаем
Click to expand...
SNMP точно такая же сетевая служба, для неё актуально всё выше сказанное, а не только отключение как службы...
Click to expand...
По большому счету Ваши рекомендации профессиональны и почти исчерпывающи.
Вы все правильно сказали. но не учли одно и весьма существенное "но".
То, что "кажется" юзеру "лишними службами" могут иметь ключевое функциональное значение в сети (или домене - это как организована сеть...)
например: (на вскидку что первое на ум пришло) возьмем самую безобидную, "кажующуюся лишней" любому юзеру службу по 123 порту.
закрываем порт (переводим соответствующую службу в мануал или дисэйбл). В результате постепенно накапливается временное смещение между метками транзакций по... консолидации платежного баланса по филиалам банка. а машинка старая. а в симосе кмоп с повышенной затворной утечкой. в результате через пару дней времечко у вас отстанет (успешит) и вам произойдет вливание по полной от начальства. (кстати, реальный случай).
я уж не говорю об остальных службах, очень мало понятных юзеру (пусть даже с админскими правами).
не сочтите за флейм, но вопрос "мониторинга" в сети плавно переходит в вопрос философский. что считать монитором. а на кой хер нужен юзер в домене с полностью закрытыми портами. (даже теми которые требуются при аутентификации на сервере)

и еще. даже если вы полностью закроете порты. не войдете в домен, закроете ICMP etc и вообще будете сидеть как мышь со своим сниффером и просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить.
рассказать как?

P.S. вообще, странно рассуждать на некорректно поставленную тему. автор так и не определился, что он имел в виду под словом "мониторят".
 
Veda

Veda

Бывалый
Свой / Own
Это верно подмечено...

и еще. даже если вы полностью закроете порты. не войдете в домен, закроете ICMP etc и вообще будете сидеть как мышь со своим сниффером и просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить
Click to expand...
:eek: Да уж сам как-нибудь соображу:p
 
P

Painted

Турист
zten.murof said:
Veda
просто слушать порты НЕ ПОСЫЛАЯ пакеты - я вас смогу вычислить.
Click to expand...
А если два провода (которые работают в обратку) обрезать у патч-корда, все равно можно вычислить?
 
Z

zten.murof

Турист
Painted
А если два провода (которые работают в обратку) обрезать у патч-корда, все равно можно вычислить?
Click to expand...
а вы свою сеть организовали на стандарте 100Base-TX?
я вам сочувствую. нормальные люди строят на 100Base-T4. а там как известно ДВЕ пары двунаправленных проводов (помимо двух однонаправленных).
ну да ладно. пусть вы перекусили "обратку" как вы выразились.
шо делаем мы.
конечно же мы обтбрасываем вышележащие протоколы IP IPX и спускаемся на уровень ethernet. в частности на подуровень LLC кадр которого как известно вкладывается в кадр MAC.
нас интересеут расширение кадра LLC - SNAP.
в поля DSAP и SSAP мы записывааем значение AA (в миру 10 10) тип кадра -03, следующие 4 байта пишем так идентификатор организации (OUI) по нулям (00) а последний байт пишем 0800
дальше лезем на физический уровень в частности на подуровень reconciliation sublaver и подуровень PHY, которые передает данные в регистр управления (CR) и регистр статуса (SR).
угу. читаем. там написано transmit error.
тааак. кто-то переграз провод "обратки".
потом идем к хабу и смотрим: епта, лампочка погасла! это значит, что хто-то перегрыз провод обратки и боится быть обнаруженным, слушая ВСЮ сеть всего лишь двумя проводами. смотрим по кабелю - а хто эта подключен к этому порту?
и вытаскиваем вас на свет божий. приговаривая "никуда не спрячешься от нас, проклятый хакер!"

sapienti sat
 
You must log in or register to reply here.
Top