Witam,
mam pewien problem bo ktoś u znajomych "myszkuje" po ich sieci, z której administrują jedną stronką i na serwerze znalazły mi się jakieś dziwne skrypty. Dzisiaj też usłyszałem, że dostali telefon od providera, że ktoś z ich IP umieścił jakiś film... - konflikt praw autorskich. Wiem, że przez jakiś czas była otwarta sieć WiFi oraz podobno jeden z kompów może być zainfekowany. Pytanie co można zrobić w takiej sytuacji? Na pewno zrobię format wszystkich kompów - tak dla pewności. W routerze można byłoby ustawić dostępność tylko dla wybranych adresów MAC. Można byłoby też popatrzeć co tam jest w WireSharku, ale czy to ma sens? Czy można coś jeszcze zrobić? Ewentualnie czy można jakoś wyłapać kto lub co miesza?
0
1
Z routera śledź podpiętych klientów (najlepiej rozłącz wszystkie "swoje" oprócz jednego) - poznasz przynajmniej IP i MAC osoby się podpinającej (choć jak założyłeś hasło na WPA2 to wątpię, że ktokolwiek jeszcze się wpina). Jak masz możliwość - postaw na routerze jakieś proxy, logujące Ci wszystkie informacje przesyłane przez nieszyfrowaną sieć - a nuż ktoś siedzi na jakiś forach i go zlokalizujesz.
Upewnij się też, że masz zabezpieczony router, chyba większość ma backdoory/dziury: http://zaufanatrzeciastrona.pl/post/tag/ruter/ - polecam jakieś Tomato albo OpenWRT (o ile możesz zainstalować własne oprogramowanie na routerze).
"Dziwne skrypty" na "jakiejś stronce" to też możliwe osobny temat - niech zmienią (z czystego komputera!) hasła do wszystkich kont ftp, do których hasła mieli "zapamiętane" w jakimkolwiek programie - to główna przyczyna doklejania złośliwego kodu do witryn.
0
Blokada wszytkiego co przychodzi(iptables drop).
Jeżeli coś potrzebujesz wystawić, to fwknop i wszstko leci po jednym wystawionym porcie który nie odpowiada na pingi więc nie wiadomo czy to on jest otwarty.
Dodatkowo psad do analizowania logów i automatycznego zmieniania ustawień firewalla w razie potrzeby.
Później wireshark żeby zobaczyć jakie pakiety chcą się wydostać i blokowanie wszytkiego co się wydostać nie powinno(np malware przyłączający do botnetu się będzie chciał dopytać co robić).
Na koniec testy jakimś automatem.
To powinno wystarczyć jako zabezpieczenie, ale jakbyś chciał jeszcze bardziej to zawsze jest snort.
0
U nas sieć wifi ma ograniczony dostęp do zasobów lokalnych dodatkowo, dzieki temu goscie, którzy na jakimś spotkaniu moga dostać dostęp do naszej sieci nie widzą całej sieci.