@DC7499

Страница 1342 из 1477
 
SF
02.04.2018
12:10:05
Коллеги, подскажите. Хочется проводить анализ логов прокси squid, с нескольких офисов, за примерно полгода. Сейчас это где то около 100Гб текста. С помощью чего можно провести Быстрый и Удобный анализ, чтобы смотреть в разных разрезах. Пробовали sarg - очень не удобно, и нужно дополнительно очень много места. Пробуем sawmill, но видимо он такой объём не может переварить и крашится. Как вы решаете такую задачу?
Это зависит от того, что тебе надо смотреть. Большие объемы делал на Oracle direct import, ещё logparser и любой SQL нормальный

 
Andrey
02.04.2018
12:10:45
Еще иногда тема замков проскакивает
как раз себе замок в ипотеку ищу

 
SKIZO
02.04.2018
12:10:50
Думал тематика канала затрагивает только программирование
Ты бы в закрепе по ссылкам прошёлся для начала, а там бы уже и понял что к чему

 
Николай
02.04.2018
12:14:53
Сорян, я врун (обознался)

Google
 
Николай
02.04.2018
12:14:53
То чувство, когда спалил админа в ИРЛ @import

 
Sergey
02.04.2018
12:15:06
бывает %)

 
Andrey
02.04.2018
12:25:07
у меня такое уже было 8 дней назад, тоже следил за тем, как @import гуляет с незнакомой девушкой в центре, а это был не он

 
Archimedes
02.04.2018
12:29:55
Митник Саймон "искусство вторжения", то ещё чтиво, можешь заценить

 
Andrew
02.04.2018
12:30:41
у меня такое уже было 8 дней назад, тоже следил за тем, как @import гуляет с незнакомой девушкой в центре, а это был не он
у вас я смотрю там фетиш прям какой-то, следить за вишняковым

 
Andrey
02.04.2018
12:30:57
у вас я смотрю там фетиш прям какой-то, следить за вишняковым
таки в черных очках, капюшоне и с лейкой на плече, канеш)

 
Andrew
02.04.2018
12:31:39
нет уж, фетиш так фетиш. Исключительно в длинном черном запахнутом плаще

 
и без белья

 
впрочем, можно и с лейкой. Но это уже другой фетиш

 
садовый

 
Slava
02.04.2018
12:41:08
по крипте неплохие книжки, а остальное так себе

 
Luka
02.04.2018
14:22:50
привет. если в публичном wifi icmp пакеты пропускаются, а трафик не льеися без авторизации, как обойти защиту?

 
Andrey
02.04.2018
14:27:32
привет. если в публичном wifi icmp пакеты пропускаются, а трафик не льеися без авторизации, как обойти защиту?
Ну, например, можно авторизоваться

Google
 
Luka
02.04.2018
14:28:27
Ну, например, можно авторизоваться
нет не подойдет. другие варианты?

 
у меня есть теория

 
хочу на неделе проверить

 
Andrey
02.04.2018
14:29:48
нет не подойдет. другие варианты?
Так ты сначала изучи технологию, которая там используется. А то я могу не пускать трафик от компов без свежих баз антивируса. Это одно. А могу по вайфаю простой парой логин-пароль пускать в сеть.

 
А можно обе вместе.

 
Pavel
02.04.2018
14:36:37
Так ты сначала изучи технологию, которая там используется. А то я могу не пускать трафик от компов без свежих баз антивируса. Это одно. А могу по вайфаю простой парой логин-пароль пускать в сеть.
А в публичном вайфае как-то можно посмотреть дату обновления баз антивируса, или ты в принципе про способы непущания в интернет говоришь?

 
Andrey
02.04.2018
14:54:29
А в публичном вайфае как-то можно посмотреть дату обновления баз антивируса, или ты в принципе про способы непущания в интернет говоришь?
если устройство пользователя 802.1х поддерживает )

 
Arctic
03.04.2018
06:57:01
добрый день. Посоветуйте, где можно купить vps для поднятия VPN сервера для обхода блокировок. Кто сам работал и посоветует, в не РФ и Украины. Спасибо
Товарищь Жаров, перелогиньтесь

 
A. A.
03.04.2018
06:59:59
Это зависит от того, что тебе надо смотреть. Большие объемы делал на Oracle direct import, ещё logparser и любой SQL нормальный
Например. Понять чем занимаются сотрудники того или иного отдела. Или понять кто юзает телеграмм. Или кто юзает облака. Так как не строго запрещено. Или понять кто юзает ssh, через свой сервер, вероятно чтобы обходить фильтрацию. Или определить (как пока не знаю) трафик до бот-центров, если он есть. Ну т.е. Типовые задачи обычного безопасника.

 
Andrey
03.04.2018
07:00:45
Например. Понять чем занимаются сотрудники того или иного отдела. Или понять кто юзает телеграмм. Или кто юзает облака. Так как не строго запрещено. Или понять кто юзает ssh, через свой сервер, вероятно чтобы обходить фильтрацию. Или определить (как пока не знаю) трафик до бот-центров, если он есть. Ну т.е. Типовые задачи обычного безопасника.
так они и решаются типовыми средствами безопасника

 
A. A.
03.04.2018
07:01:31
Анализ логов прокси не правильный путь?

 
Andrey
03.04.2018
07:01:57
Анализ логов прокси не правильный путь?
бороться с ботами и командными центрами превентивно - правильный путь

 
резать эти ДНС запросы и вообще трафик до cc

 
A. A.
03.04.2018
07:02:25
Для этого их надо как то определить

 
Andrey
03.04.2018
07:02:47
типовыми средствами безопасника: IPS, подписка на классификацию ресурсов

 
или шерстИ доступные списки, но свежих вряд ли найдешь

 
A. A.
03.04.2018
07:03:12
В целом да, можно на днс наверное пытаться смотреть

 
Andrey
03.04.2018
07:03:24
В целом да, можно на днс наверное пытаться смотреть
бгг, юзай ДНС от яндекса безопасный

 
A. A.
03.04.2018
07:04:13
бгг, юзай ДНС от яндекса безопасный
Не так не можем. Но это не точно.

 
типовыми средствами безопасника: IPS, подписка на классификацию ресурсов
У вас он работает в режиме блокировки?

Google
 
Andrey
03.04.2018
07:05:08
У вас он работает в режиме блокировки?
конечно, режу все HighRisk, бот-центры, все сигнатуры эксплоитов известных

 
все равно проц ничем не занят =)))

 
A. A.
03.04.2018
07:05:38
)) а false-positive много?

 
Andrey
03.04.2018
07:06:03
)) а false-positive много?
сложнее резать торрент, но там в режиме исключений разрешаю неизвестный трафик на highUDP

 
ну как бы правило, если категория трафика неизвестна, высокие порты - забанить нахуй

 
а если внутри вроде как sip. то разрешит

 
A. A.
03.04.2018
07:07:19
Кстати а ips понимает что вот в трафике ssh сессия?

 
Andrey
03.04.2018
07:07:50
Кстати а ips понимает что вот в трафике ssh сессия?
ну я говорю о своем Checkpoint, там как бы помимо чистого IPS есть еще URL&app filter

 
A. A.
03.04.2018
07:08:22
Или вот подключение по OpenVPN которое ведут через 443 порт

 
Tiny
03.04.2018
07:08:27
Кстати а ips понимает что вот в трафике ssh сессия?
сигнатурный анализ как правило. можно установить и версии ПО

 
Или вот подключение по OpenVPN которое ведут через 443 порт
от сигнатур тут тоже особо далеко не ушли

 
A. A.
03.04.2018
07:08:55
Понял надо эту тему изучить как следует.

 
Andrey
03.04.2018
07:09:21
Или вот подключение по OpenVPN которое ведут через 443 порт
это точно есть

 
Tiny
03.04.2018
07:09:22
по SSH рекомендую посмотреть существующие решения для MITM.

 
Andrey
03.04.2018
07:09:53
Понял надо эту тему изучить как следует.
дорого это :)

 
A. A.
03.04.2018
07:10:49
по SSH рекомендую посмотреть существующие решения для MITM.
Имеется ввиду промышленные ips, security gateway или типа wireshark?)

 
Tiny
03.04.2018
07:11:22
понятно. я говорю про хакерский инструментарий

 
https://github.com/jtesta/ssh-mitm

 
Ebooks / Pdf's for Cryptography,hacking,Exploits,Linux,CS,Pentesting,Viruses,Malwares,Security,forensics & more : http://index-of.es/ , http://index-of.co.uk/

 
some warez....

Google
 
A. A.
03.04.2018
07:13:15
Такой софт с 1500 пользователей трафик осилит? Но все равно изучу. Спасибо!

 
Но это касательно туннелей и ботоводства. Как быть с остальным?) кто как мониторит ситуацию? Или не мониторит? Поделитесь опытом

 
Tiny
03.04.2018
07:16:08
Такой софт с 1500 пользователей трафик осилит? Но все равно изучу. Спасибо!
конечно нет

 
я привел пример как разбирается конкретный протоколо

 
Andrey
03.04.2018
07:16:30
Но это касательно туннелей и ботоводства. Как быть с остальным?) кто как мониторит ситуацию? Или не мониторит? Поделитесь опытом
ну вот насчет прокси и подсчета, мне пришлось ставить Forefront & Internet access monitor

 
Tiny
03.04.2018
07:16:37
это не про IDS/IPS от слова совсем

 
Andrey
03.04.2018
07:17:01
со сквидом на большой количестве пользователей много раз пытался, но то блять нтмл умер на пустом месте, то блять считать хз как и что

 
A. A.
03.04.2018
07:17:09
это не про IDS/IPS от слова совсем
А про что? Про ngfw?

 
Tiny
03.04.2018
07:17:26
это про MAN IN THE MIDDLE атаки

 
еще если уже озадачились с мониторингом, то лучше DNS мониторьте - толку больше

 
ибо DNS тунели нынче актуальная тема

 
Andrey
03.04.2018
07:18:26
еще если уже озадачились с мониторингом, то лучше DNS мониторьте - толку больше
да не только, комплексное решение потому и нужно

 
все никак руки не дойдут всерьез ссл смотрелку развернуть

 
пару раз тестово включался, но ...

 
A. A.
03.04.2018
07:18:47
еще если уже озадачились с мониторингом, то лучше DNS мониторьте - толку больше
Прям на самом сервере лог запросов? Тоже ведь статистически нужно подходить?

 
Tiny
03.04.2018
07:18:48
да. я просто отметил самые распространенный техники

 
ssh и dns тунели

 
A. A.
03.04.2018
07:19:20
Ну это если без промышленных решений и на коленке

 
Tiny
03.04.2018
07:19:44
Прям на самом сервере лог запросов? Тоже ведь статистически нужно подходить?
вы меня не слушаете, я вам общие идеи говорю, а не за конкретные решения

 
Egor
03.04.2018
07:20:19
Кстати а ips понимает что вот в трафике ssh сессия?
Dpi

Google
 
A. A.
03.04.2018
07:20:52
вы меня не слушаете, я вам общие идеи говорю, а не за конкретные решения
Я как бы общую теорию понимаю. Она от практики просто немного далека. Либо Мало у меня именно такой нужной практики.

 
Dpi
Чем ips который на 7ом уровне трафик разбирает не dpi?

 
Egor
03.04.2018
07:22:46
Чем ips который на 7ом уровне трафик разбирает не dpi?
Я о том что если dpi не умеет понять tls то можно предполагать что в пакетах сигнатурами

Страница 1342 из 1477