forum.opennet.ru - "Как избежать инфо интервенций?" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Как избежать инфо интервенций?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как избежать инфо интервенций?"
Сообщение от Плутон on 16-Дек-02, 08:37 (MSK)
Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4 дня нами было принято несколько сотен Мвт. У нас стоит линукс, закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем, что делать - платить, включать, ... С уважением, Леонид
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Как избежать инфо интервенций?, Andrey Lutsenko, 08:40 , 16-Дек-02, (1)
- RE: Как избежать инфо интервенций?, Плутон, 14:35 , 16-Дек-02, (2)
RE: Как избежать инфо интервенций?, trin, 15:06 , 16-Дек-02, (3)
- RE: Как избежать инфо интервенций?, Alex, 11:57 , 25-Дек-02, (4)
  - RE: Как избежать инфо интервенций?, Angel Keeper, 12:24 , 28-Янв-03, (5)
    - RE: Как избежать инфо интервенций?, Boytronic, 14:18 , 28-Янв-03, (6)
      - RE: Как избежать инфо интервенций?, Angel Keeper, 14:56 , 28-Янв-03, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Как избежать инфо интервенций?"

Сообщение от Andrey Lutsenko on 16-Дек-02, 08:40  (MSK)

>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>что делать - платить, включать, ...
>С уважением, Леонид
Кто-то вашу прокси попользовал и накачал себе гигов?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Как избежать инфо интервенций?"

Сообщение от Плутон on 16-Дек-02, 14:35  (MSK)

>>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>>что делать - платить, включать, ...
>>С уважением, Леонид
>
>Кто-то вашу прокси попользовал и накачал себе гигов?
Что сделать? что закрыть?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Как избежать инфо интервенций?"

Сообщение от trin on 16-Дек-02, 15:06  (MSK)

>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>что делать - платить, включать, ...
>С уважением, Леонид

Проверить свой файрволл снаружи каким-либо (а лучше, несколькими) сканером безопасности и уязвимостей, (для Виндов, например, ShadowSecurityScanner, XSpider, Retina) - посмотреть, что будет выдано. Произвесть аудит правил файрволла на предмет корректности, посмотреть tcpdump и netwatch траффик некоторое время. Проверить свой web и http-proxy - нет ли возможности подключиться к проксе извне.
Для файрволла на Линукс (iptables) можно запретить в input/output вообще все - будет черная дыра, исключительно гоняющая чужой трафик (forward). А сервисы увести с fw на машинку в dmz (с нераеальными ip)и прокинуть на нее нужный трафик DNAT-ом.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Как избежать инфо интервенций?"

Сообщение от Alex on 25-Дек-02, 11:57  (MSK)

>>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил
>>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4
>>дня нами было принято несколько сотен Мвт. У нас стоит линукс,
>>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот
>>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем,
>>что делать - платить, включать, ...
>>С уважением, Леонид
Привет.
Если у тебя стоит Squid (а это наверно именно так), то поствь в настройках Squid'a прием запросов только с определенных IP или сети.
С уважением, Александр.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Как избежать инфо интервенций?"

Сообщение от Angel Keeper on 28-Янв-03, 12:24  (MSK)

Добрый день.
Очень похожая ситуация у меня. Раньше фирма использовала 2 гига траффика в месяц. Начались превышения в связи с большим количеством информации, которая требовалась для работы. Стали брать 4 гига... сегодня мне говорят, что у нас превышения траффика на 500 буказоидов. Каким образом? Сейчас жду распечатку от прова, дабы прояснить куда могло улететь такое количество Гиговат.
P.S. До моего появления в этой организации у них были проблемы с открытым релеем и всеми сопутствующими "сюрпризами". Есть подозрение, что нас по прежнему сканят на открытые порты, хотя всё уже давно прикрыто. Отсюда вопрос, которые здесь уже отчасти поднимался - как закрыться от сканов? Ведь от того, что мой шлюз отлупил сканера - пакет через шлюз прова всё равно прошёл...
wbr, Angel Keeper. http://www.triza.ru

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Как избежать инфо интервенций?"

Сообщение от Boytronic on 28-Янв-03, 14:18  (MSK)

Доброго времени суток.
Один из вариантов борьбы со сканом:
закрываем машинку на прием из вне чегобыто ни было...
получаем черную дыру которую перестают сканить практически сразу как она становиться этой чрной дырой. Во всяком случае мне такой метод очень сильно помог.. все сканы прекратились...
Пускаем из вне только пакеты со статусом "--state ESTABLISHED,RELATED"...

второй шаг ставим portsentry большинство сканов уйдут в бан...
сканить черную дыру надоест достаточно быстро...
должно спасти.... меня во всяком случае это спасло...

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Как избежать инфо интервенций?"

Сообщение от Angel Keeper on 28-Янв-03, 14:56  (MSK)

Доброго времени суток.
Спасибо за совет. В принципе не понятно на что я расчитывал задавая вопрос. :) Просто думал малоли чего-то не предусмотрел.
Спасибо, так и сделаю. Надеюсь мне это тоже поможет.
wbr, Angel Keeper. http://www.triza.ru

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Как избежать инфо интервенций?"
Сообщение от Andrey Lutsenko on 16-Дек-02, 08:40 (MSK)
>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил >распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4 >дня нами было принято несколько сотен Мвт. У нас стоит линукс, >закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот >трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем, >что делать - платить, включать, ... >С уважением, Леонид Кто-то вашу прокси попользовал и накачал себе гигов?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Как избежать инфо интервенций?"
	Сообщение от Плутон on 16-Дек-02, 14:35 (MSK)
	>>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил >>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4 >>дня нами было принято несколько сотен Мвт. У нас стоит линукс, >>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот >>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем, >>что делать - платить, включать, ... >>С уважением, Леонид > >Кто-то вашу прокси попользовал и накачал себе гигов? Что сделать? что закрыть?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "RE: Как избежать инфо интервенций?"
Сообщение от trin on 16-Дек-02, 15:06 (MSK)
>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил >распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4 >дня нами было принято несколько сотен Мвт. У нас стоит линукс, >закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот >трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем, >что делать - платить, включать, ... >С уважением, Леонид Проверить свой файрволл снаружи каким-либо (а лучше, несколькими) сканером безопасности и уязвимостей, (для Виндов, например, ShadowSecurityScanner, XSpider, Retina) - посмотреть, что будет выдано. Произвесть аудит правил файрволла на предмет корректности, посмотреть tcpdump и netwatch траффик некоторое время. Проверить свой web и http-proxy - нет ли возможности подключиться к проксе извне. Для файрволла на Линукс (iptables) можно запретить в input/output вообще все - будет черная дыра, исключительно гоняющая чужой трафик (forward). А сервисы увести с fw на машинку в dmz (с нераеальными ip)и прокинуть на нее нужный трафик DNAT-ом.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Как избежать инфо интервенций?"
	Сообщение от Alex on 25-Дек-02, 11:57 (MSK)
	>>Вчера мой провайдер объявил, что у меня перед ним задолжность $120. предоставил >>распечатку, что с неких хостов undernet.rt.ru и lemming.euronet.nl за последние 4 >>дня нами было принято несколько сотен Мвт. У нас стоит линукс, >>закрыто фаерволом все, кроме WEB, mail, ping. В наших логах этот >>трафик вообще не отразился. Мы сразу выключили всю аппаратуру, не знаем, >>что делать - платить, включать, ... >>С уважением, Леонид Привет. Если у тебя стоит Squid (а это наверно именно так), то поствь в настройках Squid'a прием запросов только с определенных IP или сети. С уважением, Александр.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Как избежать инфо интервенций?"
	Сообщение от Angel Keeper on 28-Янв-03, 12:24 (MSK)
	Добрый день. Очень похожая ситуация у меня. Раньше фирма использовала 2 гига траффика в месяц. Начались превышения в связи с большим количеством информации, которая требовалась для работы. Стали брать 4 гига... сегодня мне говорят, что у нас превышения траффика на 500 буказоидов. Каким образом? Сейчас жду распечатку от прова, дабы прояснить куда могло улететь такое количество Гиговат. P.S. До моего появления в этой организации у них были проблемы с открытым релеем и всеми сопутствующими "сюрпризами". Есть подозрение, что нас по прежнему сканят на открытые порты, хотя всё уже давно прикрыто. Отсюда вопрос, которые здесь уже отчасти поднимался - как закрыться от сканов? Ведь от того, что мой шлюз отлупил сканера - пакет через шлюз прова всё равно прошёл... wbr, Angel Keeper. http://www.triza.ru
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Как избежать инфо интервенций?"
	Сообщение от Boytronic on 28-Янв-03, 14:18 (MSK)
	Доброго времени суток. Один из вариантов борьбы со сканом: закрываем машинку на прием из вне чегобыто ни было... получаем черную дыру которую перестают сканить практически сразу как она становиться этой чрной дырой. Во всяком случае мне такой метод очень сильно помог.. все сканы прекратились... Пускаем из вне только пакеты со статусом "--state ESTABLISHED,RELATED"... второй шаг ставим portsentry большинство сканов уйдут в бан... сканить черную дыру надоест достаточно быстро... должно спасти.... меня во всяком случае это спасло...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Как избежать инфо интервенций?"
	Сообщение от Angel Keeper on 28-Янв-03, 14:56 (MSK)
	Доброго времени суток. Спасибо за совет. В принципе не понятно на что я расчитывал задавая вопрос. :) Просто думал малоли чего-то не предусмотрел. Спасибо, так и сделаю. Надеюсь мне это тоже поможет. wbr, Angel Keeper. http://www.triza.ru
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх