Внутренней сети ищем злоумышленников, которые незаконно подключаются к интернету для передачи данных

Discussion in 'Этичный хакинг или пентестинг' started by lkorcm, 30 Aug 2023.

  1. lkorcm

    lkorcm New Member

    Joined:
    30 Aug 2023
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Дело в том, что у меня и моего друга есть кластер серверов для поддержки рендеринга видео и т.д., примерно более 200 серверов и более 100 ПК. Они не подключены к интернету и находятся в полностью изолированной среде. Однако недавно мы обнаружили, что некоторые видео, которые не должны были попасть в интернет, все-таки туда попали. Мы выяснили через мониторинг, что кто-то использовал мобильный хотспот для подключения офисного компьютера к внешней сети. Я хочу знать, есть ли подходящие методы бокового обнаружения, которые позволят выявить устройства во внутренней сети, которые незаконно подключаются к интернету. Я рассматривал решения китайских компаний по обнаружению. Они используют ICMP для обнаружения, подделывая пакеты данных. Я пытался использовать библиотеку scapy для подделки пакетов с исходным адресом сервера в интернете, но отправленные пакеты либо блокируются брандмауэром, либо возвращаются обратно на машину, отправившую пакет, и не удаются дойти до сервера во внешней сети. Я не знаю, где я ошибся. Хотел бы также узнать, есть ли другие стабильные методы обнаружения. Требования к обнаружению довольно строгие: оно должно проводиться на боковом пути и быть насколько возможно долгосрочным и стабильным. Ниже представлен мой неудачный код для обнаружения через ICMP.
    Извините за проблемы с отступами в коде. Я перезалил код на Pastebin. Адрес: https://pastebin.com/nujjuN46
     
    #1 lkorcm, 30 Aug 2023
    Last edited: 30 Aug 2023
  2. barzini

    barzini Banned

    Joined:
    14 Apr 2018
    Messages:
    57
    Likes Received:
    105
    Reputations:
    0
    Обделка! :cool: Использовать накопители для передачи данных с особими правами и паролями можно письменными. :cool: Заблокировать все usb порты, bloetooth, cd-rom инные на физическом уровне, а еще на программном чтобы сразу сигнализовали. (те приманка!) Кроме того использовать шифровальщики! :cool: Поставить больший уровень секретности! :cool: Никого не пускать, отключить мониторы и иметь ключи от комнат где находятся ПК и соответсвенно камеры слежения! :cool: Можно держать ПК выключеными если надо те без питания! :cool: Надо вести бумажный учет! :cool:
     
    #2 barzini, 30 Aug 2023
    Last edited: 30 Aug 2023
  3. belogvardeets

    belogvardeets Member

    Joined:
    17 Mar 2023
    Messages:
    8
    Likes Received:
    8
    Reputations:
    0
    Если сервера на линукс, то проблема доступа решается легко: можно запретить доступ в сеть через iptables, то есть, заблокировать веб интерфейсы, чтобы подключиться ко всем серверам в локалке можно использовать pssh.
    С компами сложнее - их можно загнать в один домен AD и из под админа запретить подключение к сети.
    Проблема отслеживание попыток подключения в сеть решается обычным фаерволом
     
  4. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    слишком все не ясно, если сервера изолированы то доступ к ним был получен локально выходит? Это ДЦ? Какие ОС стоят? Есть ли на серверах какие либо интерфейсы типа USB? Что в логах авторизации? Вобщем вопросов пару десятков наберется. Я так догадываюсь что это в облаке сетка, без интерфейсов наружу но с доступом внутрь через vpn или это самоделка в "гараже"?
     
  5. belogvardeets

    belogvardeets Member

    Joined:
    17 Mar 2023
    Messages:
    8
    Likes Received:
    8
    Reputations:
    0
    Самоделка на 200 серверов)
     
  6. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    да хрен его знает, может там детское порно он рендерит в подвале)
     
    belogvardeets likes this.
  7. lkorcm

    lkorcm New Member

    Joined:
    30 Aug 2023
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Большое спасибо всем за предоставленные советы. Сервер работает на операционной системе Ubuntu и имеет USB-порты. Все ПК работают на Windows. Сервер расположен в арендованном мною офисном здании в серверной комнате, оснащенной системой биометрической безопасности на основе отпечатков пальцев. ПК и сервер находятся в одной внутренней сети, но в разных подсетях. Кроме IT-специалистов, имеющих физический доступ к серверной, остальные сотрудники могут подключаться к серверу только через SSH или SMB. Утечка данных произошла с офисных ПК сотрудников, которые переносили данные с сервера на свои личные компьютеры (это неизбежно, так как им нужно просматривать эти материалы). Затем они использовали мобильные точки доступа для подключения к интернету и загрузки данных на внешние диски. Видеоматериалы на сервере — это необработанные интервью, записи движений Vtubers и 3D MMD-анимации, ожидающие рендеринга. Это конфиденциальные данные клиентов, которые не должны распространяться без разрешения, чтобы избежать юридических проблем. В текущей ситуации я могу гарантировать только то, что при отключении сетевого кабеля с офисного ПК будет отправлено уведомление на мой внутренний компьютер. У нас есть система обнаружения USB-устройств, но кто-то обошел эту защиту, изменив реестр и заблокировав загрузку логов. Поэтому у меня возникла идея: можно ли использовать боковое обнаружение для выявления того, использует ли кто-то мобильные точки доступа для подключения офисных ПК к интернету, например, через ICMP-спуфинг? Я предпочитаю сканирование или проникновение, так как открытое препятствование может быть замечено сотрудниками и вызвать контрмеры. Хотя идея проникновения в собственную сеть для защиты своих интересов кажется мне немного абсурдной.
     
  8. belogvardeets

    belogvardeets Member

    Joined:
    17 Mar 2023
    Messages:
    8
    Likes Received:
    8
    Reputations:
    0
    Как и писал выше - настрой Active Directory, тогда без пароля админа мало что будет можно изменить в реестре и прочих конфигах
     
    b3 likes this.
  9. b3

    b3 Banned

    Joined:
    5 Dec 2004
    Messages:
    2,174
    Likes Received:
    1,157
    Reputations:
    202
    Ну тут однозначно настраивать Active Directory выдавать как можно меньше прав, запрет на все кроме того что необходимо. Естественно учетные записи без прав администратора и блокирование биоса паролем. Закрыть нафиг USB.

    запретить USB модемы
    https://www.prajwaldesai.com/how-to-disable-usb-devices-using-group-policy/
     
    #9 b3, 31 Aug 2023
    Last edited: 1 Sep 2023
    belogvardeets likes this.
  10. barzini

    barzini Banned

    Joined:
    14 Apr 2018
    Messages:
    57
    Likes Received:
    105
    Reputations:
    0
    Вот тут как раз надо сделать так как надо флешка с шифровальщиком и паролем. :cool: Дальше можно смотреть на любом пк без доступа из вне. :cool: Можешь писать в лс подробнее. :cool: