Схема зеркалирования трафика с DPI

Разберем схему по этапам

1️⃣Клиенты — все вроде итак понятно. Обычные юзеры сети, которые через свои устройства подключаются к интернету. Но сначала их трафик проходит через концентратор.
2️⃣ Концентратор собирает трафик, будто фильтр, отправляя его дальше по маршруту.
3️⃣ BRAS — это как контролер для трафика, который проводит проверку и аутентификацию клиентов перед тем, как пустить их к интернету.
4️⃣ Сплиттер — своего рода разветвитель, который делит трафик на два потока: один поток идёт напрямую через NAT-маршрутизатор в интернет, а другой — зеркалируется для анализа.
5️⃣ СКАТ DPI — гигачад и анализатор трафика, который получает копию всего, что проходит через сеть. Все проверит и отфильтрует.
6️⃣ NAT / маршрутизатор — он в это время преобразует частные IP-адреса в публичные, чтобы пользователи смогли взаимодействовать с внешней сетью.

ZeroDay | #DPI

COPM: что это?

👋 Приветствую в мире цифровой безопасности!

Расскажу о том, что такое COPM, как работает и какое бывает.

⏺Что же такое СОРМ: СОРМ, то есть система оперативно-розыскных мероприятий, а если вообще по простому — своего рода кибердетектив или скрытая сеть, которая может подслушивать различные передачи.

⏺СОРМ контролируется ФСБ и позволяет отслеживать телефонные звонки, интернет-трафик и всякую другую инфу, чтобы предотвращать и расследовать потенциальные угрозы. Но ему нет дела до ваших личных переписок. Его задача — ловить реальных подозреваемых и предотвращать возможные угрозы.

ZeroDay | #COPM

👋 Приветствую в мире цифровой безопасности!

Сделал для вас новую подборку крутых подкастов по ИБ и не только.

⏺ OSINT Mindset — тут все об OSINT: методы, инструменты и философия открытых источников.
⏺ Смени пароль! — целое экспертное шоу от «Лаборатории Касперского» о расследованиях киберпреступлений и актуальных угрозах.
⏺ Информационная безопасность — подкаст, как книга на ночь, только вместо сказок вам зачитают статьи с ITSec.ru.
⏺ Кверти — в эфире специалист по кибербезопасности и параноик. Они обсуждают вопросы безопасности и объясняют, как защититься от интернет-мошенников.
⏺ Security Vision — шоу про ИБ. Здесь можно найти обзоры защитных решений и публикаций MITRE.

ZeroDay | #Подборка

Жиза безопасников 🚬

ZeroDay | #мем

Подборка Linux-дистрибутивов для безопасности конфиденциальности

⏺Security Onion может помочь охотиться на угрозы в корпоративных сетях, а вот BlackArch и Kali Linux — мастера пентестинга и анализа безопасности.

⏺Для изоляции и защиты на уровне виртуализации — юзаем Qubes OS. BackBox дает реально мощные инструменты для безопасности на базе Ubuntu, а тот же Parrot OS объединяет защиту данных и разработку ПО.

⏺Кому нужна анонимность — это к Whonix и Tails OS, которые используют Tor для защиты приватности. Pentoo Linux же на базе Gentoo станет мастхэв дистрибутивом для тех, кто занимается аудитом безопасности.

ZeroDay | #безопасность

Keyscope: инструмент для аудита активных ключей и секретов

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺Keyscope — ваш личный сыщик-профессионал, который помогает выявлять и прямо хирургически вырезать уязвимости в ваших данных. Он не просто проводит аудит, а сравнивает ваши данные с требованиями различных SaaS-поставщиков.

⏺Кстати, насчет SaaS-поставщиков: тут выделяется еще одна фишка Keyscope. Он работает с кучей SaaS-вендоров, включая AWS, Azure, Google Cloud и многие другие. Это позволяет нам централизованно управлять секретами на всех платформах, не теряя времени на переключение между ними.

⏺Ну а ко всему прочему, у Keyscope есть интеграция с CI/CD, а также удобнейшие отчеты. Они не работают, как черепахи, подобно некоторым инструментам. Тут все быстро и автоматизированно.

Используем и не знаем проблем с ключами и секретами😎

ZeroDay | #Инструмент

👋 Всем привет, друзья.
Хотим поделиться новостью, что мы рисуем свои стикеры с нашим маскотом - Фредом.
Как вам? 🔥

DLP от базовых настроек до продвинутой аналитики

Системы предотвращения утечек данных или по простому — DLP — это по сути один из важнейших элементов информационной безопасности, но проблема в том, что часто их потенциал остается нераскрытым из-за стандартных настроек "из коробки".

⏺В этой статье автор делится лично своим опытом настройки DLP-систем. Здесь все: от базовых правил до продвинутой аналитики. Но что на практике мы узнаем? Ну вот к примеру, как с помощью лингвистического анализа и регулярных выражений уменьшить те же ложные срабатывания и попросту адаптировать нашу систему под реальные и тяжелые бизнес-процессы. В общем, полезно не только в теории, но и на практике!

ZeroDay | #Статья

Хочешь стать Linux-экспертом?

Linux++ - канал для тех, кто хочет профессионально освоить Linux и программирование!

- Уникальные гайды по администрированию Linux

- Продвинутые техники и рекомендации по разработке на языках C/C++

- Подробные статьи о внутреннем устройстве операционных систем

- Интересные факты и новости из мира технологий

🌐 Присоединяйся к нам и становись частью сообщества истинных гуру: Linux++

DNS-туннелирование

👋 Приветствую в мире цифровой безопасности!

Сегодня поговорим о DNS-туннелировании — одной из самых опасных техник, используемых плохими парнями.

⏺Чуть истории: в первый раз о DNS-туннелировании стало известно еще в далеком 1998 году. Тогда Оскар Пирсон сделал открытие и раскрыл, как можно использовать DNS для скрытых атак. А в 2004 на конференции Black Hat это уже стало полноценным инструментом для хакеров. С тех пор этот метод активно используется для передачи данных, скрываясь в обычном трафике.

⏺Как работает DNS-туннелирование? Представим: есть условный злоумышленник, и он маскирует свои не очень то законные действия под обычный легитимный DNS-трафик. Такой своеобразный шпион в костюме офицера полиции — выглядит неприметно, но на самом деле замышляет что-то плохое.

1️⃣Злоумышленник начинает с того, что использует DNS для скрытия своих действий. И так как DNS-трафик почти всегда разрешен и не проверяется, он в такой среде может спокойно действовать.
2️⃣Далее он туннелирует другие протоколы, например, HTTP, через DNS.
3️⃣Затем передаётся IP-трафик и украденная инфа.
4️⃣После этого украденные данные преобразуются в удобный для восприятия вид.
5️⃣И, в конце концов, установленные туннели используются для передачи вредоносного ПО.

ZeroDay | #dnstunneling

Виды COPM

👋 Приветствую в мире цифровой безопасности!

Самое время рассмотреть виды COPM и чем каждый из них выделяется.

⏺СОРМ-1: это у нас старая школа слежки
Первая версия, созданная для прослушки телефонных разговоров. Фиксирует, кто кому звонил, когда и как долго. СОРМ-1 ставят на сетевые устройства операторов, но сейчас её использование сводится на нет. Ушла эпоха…

⏺СОРМ-2: тут уже идет более современная система, которая позволяет спецслужбам отслеживать интернет-трафик. Установленное на сети провайдеров оборудование фиксирует все действия подозреваемых юзеров в сети. Уникальность этой системы в том, что она перехватывает и анализирует только некоторые сетевые пакеты, не трогая тупо всех подряд.

⏺СОРМ-3: а вот и вершина кибершпионажа. Это система, которая объединяет данные как с телефонов, так и с интернета, сохраняя их на несколько лет вперед. Она собирает сведения обо ВСЕХ пользователях, от логинов до IP-адресов, что позволяет спецслужбам построить полный профиль каждого. И кстати, именно СОРМ-3 может работать с глубоким анализом трафика, фильтруя ненужную информацию.

ZeroDay | #COPM

Мониторинг файловой системы с помощью Tripwire

👋 Приветствую в мире цифровой безопасности!

Расскажу о защите файловых систем с помощью Tripwire.

⏺Что делает Tripwire: это система обнаружения вторжений (HIDS), которая внимательно следит за состоянием твоей файловой системы и может при любом непонятном движе сразу дать сигнал о проблеме.

⏺Установка Tripwire:
для начала нужно подключить репозиторий EPEL. Это легко сделать с помощью следующих команд:

wget https://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-9.noarch.rpm
rpm -ivh epel-release-7-9.noarch.rpm

Теперь, когда EPEL на месте, можно установить Tripwire:

sudo yum install tripwire

⏺Создание файла ключей: после установки, Tripwire предложит тебе сгенерировать файлы ключей. Просто выполни команду:

tripwire-setup-keyfiles

Введи сложный пароль для защиты ключей и не забудь его – эти ключи станут вроде охранников, защищающих твою файловую систему от несанкционированных изменений.

⏺Настройка и инициализация: файл конфигурации программы находится по адресу /etc/tripwire/twpol.txt. Не переживай, каждый параметр снабжен комментарием, так что настройка будет проще, чем кажется. Когда всё готово, запусти инициализацию:

tripwire --init

Эта процедура займёт немного времени, особенно если на сервере много данных.

⏺Мониторинг изменений: в любой момент можно проверить систему на изменения командой:

tripwire --check

Если что-то изменилось, Tripwire сразу сообщит тебе, и ты сможешь оценить, являются ли эти изменения нормальными или это результат вторжения.

⏺Чтобы максимально обезопасить систему, не забываем защитить важные файлы конфигурации – twpol.txt и twcfg.txt. Может помочь повысить уровень общей безопасности.

И наконец, если захочешь глубже разобраться в возможностях Tripwire, команда справки всегда под рукой:

man tripwire

ZeroDay | #безопасность