[Szakmai] Az IT security-ről ...

( asm v | 2024. 10. 15., k – 14:41 )

Csak nehogy CrowdStrike legyen belole :)

( ricsip v | 2024. 10. 15., k – 16:11 )

Jó ez a yubico 5 nfc kütyü, DE... igencsak utána kell olvasnom a FIDO, U2F, OTP (TOTP, HOTP), Webauthn és társainak! Mert amiket ez a kütyü tud, azoknak a többségét csak távolról és ködösen értettem eddig. De ha belövöm egy éles accountomon, bizony nem árt ha az ember teljesen tisztában van h. hogyan működik is az adott hitelesítési módi, milyen eszközökön tudom használni, mik a lehetséges megkerülési módozatai.

Szóval hasznos tudás ez a security téma, de nem egyszerű.

( ncc1701 | 2024. 10. 15., k – 18:58 )

Szerkesztve: 2024. 10. 15., k – 18:58

Honeypot nagyon jó dolog, döbbenet, mennyien rápróbálnak a 3389, 22-es portokra a cégnél.

Ez baromi régi ötlet, de legalább elbíbelődnek vele jó sokáig. :) Cégnél leragadtam a mikrotik féle honeypotnál, 30 nap bant kap a próbálkozó ip. Kis cég, kis foci. Jelenleg 22 nap uptime után 2500 bejegyzésem van. 30 naponta úgyis van egy ütemezett restartja neki. Gondolkodtam, h bővíem a portokat, 80, 443, 25 még jöhetne.

Én minden olyan csomagnak a feladóját, amit a tűzfal nem enged be, és WAN-ról jön, bevágtam tiltólistára. Kell a finomhangolás, mert vannak címek, amiknek nem kellene ott lennie, de meglepően kevés probléma volt, igaz én egy órás tiltásokat állítottam be. Ugyanakkor a RAW táblán is van pár ismertebb port figyelése, és azokat hosszabb időre vágom be tiltásra, mint a filter táblán.

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

Ennek nem ez a lényege. Nem hiszem, hogy az internet lenne a célterület. Belső hálózaton emulál teljesen működő szolgáltatásokat futtató szervereket, majd elszór kenyérmorzsákat (pl. szimulált admin belépés fake szerverre nem túl gyenge, de azért értelmes idő alatt törhető jelszóval) amit a támadó mondjuk egy MITM támadás során megszerezhet. Ha a fake szerverre belépési kísérlet történik a kenyérmorzsaként elszórt user/pass-szal, akkor kétség nem férhet hozzá, hogy a hálózatodon malicsusz tevékenység folyik. Nem feltétlen külső támadó által. A szervezetek ellen történő támadásokat még mindig nagy számban belsős emberek csinálják.

trey @ gépház

Ismerem a honeypot és canary alkalmazási területeit. Viszont fentebb írták 2-en h. megfog rengeteg próbálkozást 22-es, 3389-es porton és megy a fail2ban. Ezt belső (főleg kicsi!) hálózaton nem tudom értelmezni. A kkv-s kollégák próbálnak betörni ssh-n, rdp-n a belső hálón valamelyik kirakott mézesbödönre?