Что такое DPI?

👋 Приветствую в мире цифровой безопасности!

Сегодня обсудим, что такое технология DPI и как она работает при защите сетей.

⏺Что такое DPI: Deep Packet Inspection (DPI) — это продвинутый метод анализа сетевого трафика, который позволяет выявлять, классифицировать и управлять данными, проходящими через сеть.

⏺В отличие от традиционной фильтрации пакетов, которая проверяет только заголовки, DPI анализирует содержимое пакетов, что позволяет обнаруживать скрытые угрозы и управлять сетевым трафиком более эффективно.

⏺Как работает DPI: DPI отслеживает и анализирует каждый пакет данных, проходящий через заданную точку в сети. Он может идентифицировать приложения и протоколы, а также применять правила на основе содержимого пакетов. Например, DPI может блокировать вредоносные запросы, определять приоритеты трафика или ограничивать доступ к определенным сервисам.

Делать продолжение?

ZeroDay | #DPI

Боковое перемещение и повышение привилегий: ключевые шаги инфраструктурного пентеста

Когда пентестеры проходят этап сканирования и разведки, начинается интересное — боковое перемещение по сети и повышение привилегий. Вы спросите: что же дает нам этот этап? Все просто - он позволяет получить доступ к более важным и защищенным ресурсам, что и является целью большинства атак.

⏺В статье автор рассказывает, как пентестеры анализируют сеть на наличие слабых мест, начиная с изучения ACL и DNS, и заканчивая получением информации о парольных политиках. Не забываем и о практических инструментах, как например, PowerView и Bloodhound - они тоже не остаются без внимания.

ZeroDay | #Статья

Лучшие DPI инструменты

👋 Приветствую в мире цифровой безопасности!

Увидев активность под постом о DPI, решил, что продолжению быть! Расскажу сегодня о лучших DPI инструментах.

⏺ Paessler PRTG — максимально универсальное устройство. С его помощью можно следить просто за всем: от серверов до облачных сервисов или виртуальных сред. Плюс ко всему, PRTG, подобно хорошему врачу, выявляет проблемы еще на самых ранних стадиях. По итогу мы получаем: оповещения, отчёты, полный контроль за инфраструктурой - и все в одном месте!

⏺ nDPI — мощный движок глубокой инспекции пакетов от nTop, который может распознавать более 500 протоколов, словно сеть проверяется под микроскопом. Он помогает нам выявлять вообще все, что проходит через сеть. Но не забываем, сам nDPI — это библиотека, и для получения реальной пользы и эффекта её нужно использовать в связке с такими инструментами, как nTopng и nProbe.

⏺ Netify DPI — продвинутый анализатор трафика, который не только мониторит потоки данных, но и реально глубоко изучает их поведение. Он позволяет и угрозы обнаруживать в реальном времени, и работу сети улучшать и безопасность поддерживать, и при этом обеспечивая максимально возможную производительность. Чем не подарок?

ZeroDay | #Инструмент

Схема зеркалирования трафика с DPI

Разберем схему по этапам

1️⃣Клиенты — все вроде итак понятно. Обычные юзеры сети, которые через свои устройства подключаются к интернету. Но сначала их трафик проходит через концентратор.
2️⃣ Концентратор собирает трафик, будто фильтр, отправляя его дальше по маршруту.
3️⃣ BRAS — это как контролер для трафика, который проводит проверку и аутентификацию клиентов перед тем, как пустить их к интернету.
4️⃣ Сплиттер — своего рода разветвитель, который делит трафик на два потока: один поток идёт напрямую через NAT-маршрутизатор в интернет, а другой — зеркалируется для анализа.
5️⃣ СКАТ DPI — гигачад и анализатор трафика, который получает копию всего, что проходит через сеть. Все проверит и отфильтрует.
6️⃣ NAT / маршрутизатор — он в это время преобразует частные IP-адреса в публичные, чтобы пользователи смогли взаимодействовать с внешней сетью.

ZeroDay | #DPI

COPM: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое COPM, как работает и какое бывает.

⏺Что же такое СОРМ: СОРМ, то есть система оперативно-розыскных мероприятий, а если вообще по простому — своего рода кибердетектив или скрытая сеть, которая может подслушивать различные передачи.

⏺СОРМ контролируется ФСБ и позволяет отслеживать телефонные звонки, интернет-трафик и всякую другую инфу, чтобы предотвращать и расследовать потенциальные угрозы. Но ему нет дела до ваших личных переписок. Его задача — ловить реальных подозреваемых и предотвращать возможные угрозы.

ZeroDay | #COPM

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только.

⏺ OSINT Mindset — тут все об OSINT: методы, инструменты и философия открытых источников.
⏺ Смени пароль! — целое экспертное шоу от «Лаборатории Касперского» о расследованиях киберпреступлений и актуальных угрозах.
⏺ Информационная безопасность — подкаст, как книга на ночь, только вместо сказок вам зачитают статьи с ITSec.ru.
⏺ Кверти — в эфире специалист по кибербезопасности и параноик. Они обсуждают вопросы безопасности и объясняют, как защититься от интернет-мошенников.
⏺ Security Vision — шоу про ИБ. Здесь можно найти обзоры защитных решений и публикаций MITRE.

ZeroDay | #Подборка

Жиза безопасников 🚬

ZeroDay | #мем

Подборка Linux-дистрибутивов для безопасности конфиденциальности

⏺Security Onion может помочь охотиться на угрозы в корпоративных сетях, а вот BlackArch и Kali Linux — мастера пентестинга и анализа безопасности.

⏺Для изоляции и защиты на уровне виртуализации — юзаем Qubes OS. BackBox дает реально мощные инструменты для безопасности на базе Ubuntu, а тот же Parrot OS объединяет защиту данных и разработку ПО.

⏺Кому нужна анонимность — это к Whonix и Tails OS, которые используют Tor для защиты приватности. Pentoo Linux же на базе Gentoo станет мастхэв дистрибутивом для тех, кто занимается аудитом безопасности.

ZeroDay | #безопасность

Keyscope: инструмент для аудита активных ключей и секретов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Keyscope — ваш личный сыщик-профессионал, который помогает выявлять и прямо хирургически вырезать уязвимости в ваших данных. Он не просто проводит аудит, а сравнивает ваши данные с требованиями различных SaaS-поставщиков.

⏺Кстати, насчет SaaS-поставщиков: тут выделяется еще одна фишка Keyscope. Он работает с кучей SaaS-вендоров, включая AWS, Azure, Google Cloud и многие другие. Это позволяет нам централизованно управлять секретами на всех платформах, не теряя времени на переключение между ними.

⏺Ну а ко всему прочему, у Keyscope есть интеграция с CI/CD, а также удобнейшие отчеты. Они не работают, как черепахи, подобно некоторым инструментам. Тут все быстро и автоматизированно.

Используем и не знаем проблем с ключами и секретами😎

ZeroDay | #Инструмент

👋 Всем привет, друзья.
Хотим поделиться новостью, что мы рисуем свои стикеры с нашим маскотом - Фредом.
Как вам? 🔥

DLP от базовых настроек до продвинутой аналитики

Системы предотвращения утечек данных или по простому — DLP — это по сути один из важнейших элементов информационной безопасности, но проблема в том, что часто их потенциал остается нераскрытым из-за стандартных настроек "из коробки".

⏺В этой статье автор делится лично своим опытом настройки DLP-систем. Здесь все: от базовых правил до продвинутой аналитики. Но что на практике мы узнаем? Ну вот к примеру, как с помощью лингвистического анализа и регулярных выражений уменьшить те же ложные срабатывания и попросту адаптировать нашу систему под реальные и тяжелые бизнес-процессы. В общем, полезно не только в теории, но и на практике!

ZeroDay | #Статья

Хочешь стать Linux-экспертом?

Linux++ - канал для тех, кто хочет профессионально освоить Linux и программирование!

- Уникальные гайды по администрированию Linux

- Продвинутые техники и рекомендации по разработке на языках C/C++

- Подробные статьи о внутреннем устройстве операционных систем

- Интересные факты и новости из мира технологий

🌐 Присоединяйся к нам и становись частью сообщества истинных гуру: Linux++

DNS-туннелирование

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о DNS-туннелировании — одной из самых опасных техник, используемых плохими парнями.

⏺Чуть истории: в первый раз о DNS-туннелировании стало известно еще в далеком 1998 году. Тогда Оскар Пирсон сделал открытие и раскрыл, как можно использовать DNS для скрытых атак. А в 2004 на конференции Black Hat это уже стало полноценным инструментом для хакеров. С тех пор этот метод активно используется для передачи данных, скрываясь в обычном трафике.

⏺Как работает DNS-туннелирование? Представим: есть условный злоумышленник, и он маскирует свои не очень то законные действия под обычный легитимный DNS-трафик. Такой своеобразный шпион в костюме офицера полиции — выглядит неприметно, но на самом деле замышляет что-то плохое.

1️⃣Злоумышленник начинает с того, что использует DNS для скрытия своих действий. И так как DNS-трафик почти всегда разрешен и не проверяется, он в такой среде может спокойно действовать.
2️⃣Далее он туннелирует другие протоколы, например, HTTP, через DNS.
3️⃣Затем передаётся IP-трафик и украденная инфа.
4️⃣После этого украденные данные преобразуются в удобный для восприятия вид.
5️⃣И, в конце концов, установленные туннели используются для передачи вредоносного ПО.

ZeroDay | #dnstunneling

Виды COPM

👋 Приветствую в мире цифровой безопасности!

Самое время рассмотреть виды COPM и чем каждый из них выделяется.

⏺СОРМ-1: это у нас старая школа слежки
Первая версия, созданная для прослушки телефонных разговоров. Фиксирует, кто кому звонил, когда и как долго. СОРМ-1 ставят на сетевые устройства операторов, но сейчас её использование сводится на нет. Ушла эпоха…

⏺СОРМ-2: тут уже идет более современная система, которая позволяет спецслужбам отслеживать интернет-трафик. Установленное на сети провайдеров оборудование фиксирует все действия подозреваемых юзеров в сети. Уникальность этой системы в том, что она перехватывает и анализирует только некоторые сетевые пакеты, не трогая тупо всех подряд.

⏺СОРМ-3: а вот и вершина кибершпионажа. Это система, которая объединяет данные как с телефонов, так и с интернета, сохраняя их на несколько лет вперед. Она собирает сведения обо ВСЕХ пользователях, от логинов до IP-адресов, что позволяет спецслужбам построить полный профиль каждого. И кстати, именно СОРМ-3 может работать с глубоким анализом трафика, фильтруя ненужную информацию.

ZeroDay | #COPM