Pozdrowienia_z_Warszawy-ABUSE-Skanowanie_portów

Marek Guevara Baun marek.guevara w atm.com.pl
Śro, 29 Sty 2003, 12:04:40 CET 

Użytkownik Jakub Urbaniak napisał:
> Jestem administratorem jednej z wielu sieci na SDI, w kt?rej znajduj? si?
> Linux PLD (2.2.x) jako bramka do Internetu oraz za maskarad? - 6 klient?w
> (same Windowsy). Dosta?em dzisiaj polecony list z POLPAK w Warszawie, w
> kt?rym czytam:
> 
> "Dotyczy stwierdzonych nadu?y? w sieci poprzez dost?p z wykorzystaniem
> przydzielonych adres?w IP (...)

Jeżeli autor skargi na abuse dysponuje tylko wspomnianymi logami
pokazującymi kilkukrotne próby dostępu (czy w przesłanych logach
są podane porty na które próbowano się dostać ???) to:

1. Powinieneś zwrócić się do tepsy - działu abuse z pytaniem
o możliwość zweryfikowania zarzutów (jako powód możesz podać
chęć wyjaśnienia sprawy):

  - czy oni weryfikowali te logi oraz ich integralność?
  - czy sprawdzili wiarygodność skargi (niech opiszą jak)
  - czy sprawdzili integralność systemu komputerowego,
    z którego pochodzą logi
  - czy dysponują logami z innego wiarygodnego źródła,
  - czy dostępne są informacje na temat używanych portów
    (zarówno docelowych jak i źródłowych)
  - czy dysponują zapisem sesji (np. z tcpdump/snort etc.)
    jeśli tak to możesz poprosić ich o jej kopie)
  - czy były przeprowadzane badania typu passive fingerprint
    na przechwyconych pakietach - jakie są wyniki tych badań

    (zapis sesji/pakietów może wskazać np. na użyty system
    operacyjny, odległość pomiędzy nadawcą a miejscem
    przechwycenia itp.)

2. Włącz logowanie ruchu z danym komputerem.

3. Zainwestować w accounting na firewallu (iptables z 2.4
będą do tego pewnie lepsze), dobre, archiwizowane logi
oraz snorta.

4. Poszukać porady prawnej na wszelki wypadek (na pewno
jeśli tych logów nie ma więcej - a przedstawiony kawałek
trudno jest podciągnąc nawet pod miano skanowania - powinieneś
zarządać pisemnych przeprosin zarównno ze strony tpsa jak i ze
strony skarżącego)

Co więcej tak sformuowana skarga do abuse może być odebrana jako
odpowiednik ataku DoS (odmowa usługi) wobec Ciebie
- wystarczą dwa maile i TPSA odcina Ci łącze - prawnik mógłby być
pomocny przy przygotowaniu pism do abuse i skarżącego, a w wypadku 
odcięcia Cię od sieci mógłby pomóc w przeprowadzeniu sprawy
o odszkodowania (proponuję 4 wątki: odrzucenie zarzutu skanowania,
pomówienie, utrata businessu i dobrego imienia)

Jeszcze tak na marginesie - jeżeli obserwowane były tylko próby
dostępu (np same pakiety TCP/SYN bez faktycznego nawiązania sesji
i bez żadnych odpowiedzi na SYN/ACK z twojej strony) i dostępne
są tylko te logi, to nie ma możliwości zweryfikowania nawet tego
czy pakiety pochodziły od Ciebie.

Pozdrawiam,
Marek

Więcej informacji o liście dyskusyjnej pld-users-pl