SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — стандартный интернет-протокол для управления устройствами в IP-сетях на основе TCP/UDP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие. Протокол обычно используется в системах сетевого управления для контроля подключённых к сети устройств на предмет условий, которые требуют внимания администратора. Разберем специализированный инструментарий для работы с SNMP-протоколом: onesixtyone и snmpwalk.

Читать далее Тестирование на проникновение SNMP-устройств →

Кролики — это не только ценный мех, но и три — четыре килограмма диетического, легкоусвояемого мяса.

Сегодня мы рассмотрим один из наиболее универсальных инструментов пентестера — Nmap — культовый кроссплатформенный сканер, который расшифровывается как «Network Mapper». Инструмент сам по себе довольно мощный, но его чаще всего используют в связке с другими утилитами, не предполагая, что, помимо способности сканировать сеть, Nmap имеет массу других возможностей. Основная из них — это использование скриптов с помощью NSE (Nmap Scripting Engine) — компонента Nmap, в основе которого лежит скриптовый язык Lua, напоминающий JavaScript. Именно NSE делает Nmap таким универсальным.

Допустим, мы просканировали хост и увидели открытые порты:

Читать далее NSE или обратная сторона Nmap →

PSAD — представляет собой набор из трех легких системных демонов, которые работают на Linux и анализируют логи iptables  для обнаружения сканирования портов и наличие  подозрительного трафика.

Читать далее Port Scan Attack Detector (PSAD) →

В данной статье будет коротко рассмотрен инструмент The Artillery Project компании Binary Defense Systems,
целью которого является защита операционной системы от сетевых атак.

Читать далее Обзор IPS: The Artillery Project →

ARP—spoofing (ARP — poisoning) — разновидность сетевой атаки типа MITM (англ. Man in the middle), применяемая в сетях с использованием протокола ARP.

ARP или Address Resolution Protocol — протокол канального уровня, используемый для определения MAC-адреса по заданному IP-адресу в семействе протоколов IPv4. В семействе протоколов IPv6 ARP не существует, его функции возложены на ICMPv6. Однако мы все еще имеем огромное количество сетей, работающих с IPv4. И сегодня мы поговорим об известной атаке arp-spoofing и утилитах Kali Linux , позволяющих ее реализовать.
Читать далее ARP-spoofing в Kali Linux →

Сегодня мы рассмотрим базовую работу с платформой для операционной аналитики Splunk Enterprise.

Мы настроим Splunk на сбор данных с удаленного сервера, на котором работает NIDS Snort и сервера, использующего HIDS OSSEC. Рассмотрим несколько способов подключения источников и поговорим о других возможностях Splunk.

Читать далее Основы работы с Splunk Enterprise (Snort+OSSEC) →

Сегодня мы поговорим о том, как дополнить ваш домашний парк виртуальных машин cisco-роутером при помощи эмулятора GNS3.

Зачастую очень полезно иметь под рукой роутер, работающий на IOS для тестирования конфигурации или в качестве площадки для практики во время обучения.

Преимуществом перед использованием симулятора, вроде Cisco Packet Tracer, в том, что с GNS3 мы имеем роутер непосредственно в сети с нашими виртуальными машинами, и он является полноценным участником сети.

Читать далее Подключение роутера из GNS3 к сети VirtualBox →

Повышение прав пользователя в активном каталоге домена является важной частью большинства тестов на проникновение. И хотя получение прав администратора домена/предприятия не является конечной целью тестирования, оно часто делает достижение цели гораздо проще.

Читать далее Автоматизация поиска администратора сети →

Ссылка на первую часть статьи.

Сигнатурные методы детектирования в IDS

В данной статье мы рассмотрим методы детектирования, использующие предопределенные правила, в которых содержатся сигнатуры — признаки определенного события. Сигнатурный подход к детектированию берет начало с самых ранних реализаций систем обнаружения вторжений и используется до сих пор.

Читать далее Введение в системы обнаружения вторжений (IDS). Часть 2 →

Как работают системы обнаружения вторжений?

В идеальном мире, в Вашу сеть заходят только те кто нужно — коллеги, друзья, работники компании.. Другими словами те, кого Вы знаете и доверяете.

В реальном же мире, часто нужно давать доступ к внутренней сети клиентам, вендорам ПО и т. д. При этом, благодаря глобализации и повсеместному развитию фрилансерства, доступ лиц которых Вы не очень хорошо знаете и не доверяете уже становится необходимостью.

Читать далее Введение в системы обнаружения вторжений (IDS). Часть 1 →