Tarmoq hujumiga qarshi tayyorgarlik ko‘rish

Ma’ruzachi: Allanov O.

Reja:

• Hujumlarga qarshi qanday tayyorgarlik ko'rish kerak?
• NetFlow ma'lumotlarini qanday olish va boshqarish mumkin?
• Adekvat jurnallar mavjudligini qanday ta'minlash mumkin?
• Xavfsizlik ma'lumotlari va hodisalarni boshqarish tizimida ma'lumot to'plash

Kirish

Sodir bo'lgan hodisaning sababini ko‘rish uchun yozib olingan ma’lumot(log) fayllar har doim ham yetarli bo’lmaydi. Ko'p hollarda siz boshlang'ich ma’lumot sifatida bir qator boshqa artefaktlarga tayanish kerak bo'ladi; bu artefaktlar nima bo'lganini aniqlashda yagona imkoniyat bo'lishi mumkin, shuning uchun tahlilchi ularga kirish imkoniga ega bo'lishi muhim.Voqealarni aniqlash tizimlari, jurnallar, antiviruslar va foydali bo'lgan boshqa tizimlarni o'rnatish odatda sud-tibbiyot ekspertining ishi emas. Albatta, bunda ekspert tomonidan tarmoq administratori ham tekshirilishi mumkin.

NetFlow

Linux Vaqt zonasi fayli

1-rasm. Vaqt zonasi /etc/localtime fayli

Windows Vaqt zonasi fayli

Windows tizimida 75 ta vaqt zonasini
o‘rnatish mumkin
O‘rnatilgan vaqt zonasini HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Time zoneInformation faylidan ko‘rish mumkin

Vaqt zonalarining ishonchliligi

Vaqt zonalari haqida bilish foydali va ular tizimlar qayerda joylashganligi haqida umumiy ma’lumotlar berishi mumkin. Ammo, vaqt zonalari har doim ham ishonchli emas. Har qanday foydalanuvchi o'z tizimida istalgan vaqt mintaqasini o'rnatishi mumkin. Bundan tashqari, noutbuklar yoki boshqa mobil qurilmalar harakatlanganda, vaqt mintaqasi odatda o'zgarmaydi, agar foydalanuvchi kompyuteridagi soat boshqa joyda bo'lgan vaqtni to‘g‘rilamasa. Ba'zi protokollar ma'lumot yuboruvchi serverda sozlangan vaqt zonasini oladi. Biroq, bu noto‘g‘ri sozlanganligi sababli, u aniq joylashuvni ko’rsatmasligi mumkin. Serverda qanday vaqt zonasi sozlangan bo’lsa u o’sha joylashuvni ko’rsatadi.

Who is(kim ekan) dan foydalanish

Internet registrlari IP manzillar haqida joylashuvga oid katta hajmdagi ma'lumotlarni ham taqdim etishi mumkin. IP-manzillar bloklari ajratilganda, yangi egasi haqidagi ma'lumotlar mintaqaviy Internet registrlaridan birida ro'yxatga olinadi. Xuddi shu narsa domen nomlari va Internet bilan bog'liq boshqa identifikatsiya ma'lumotlariga ham tegishli.Ushbu ma'lumotlardan foydalanish joylashuv ma'lumotlarini taqdim etishga yordam beradi, ammo bu to’g’ri bo'lmasligi mumkin. Internet registrlaridan foydalanishdagi qiyinchiliklardan biri shundaki, IP-manzil bloklari odatda kompaniya ro'yxatdan o'tgan va kompaniyaning biznes ma'lumotlari, shu jumladan manzil va telefon raqami reestrda mavjud bo'lishi mumkin bo'lsada, IP-foydalanuvchi o’sha manzilda joylashganligiga kafolat yo’q. Sababi yirik kompaniyalar odatda shtab-kvartirasi va boshqa bir qator joylarga ega. IP-manzil, ehtimol shtab-kvartirada ro'yxatdan o'tgan bo'lishi mumkin va korporativ shtab-kvartiraning jismoniy manzili boshqa bo’lishi mumkin. IP-manzil sun'iy yo'ldosh ofisida joylashgan bo'lishi mumkin, chunki IP-manzillar kompaniyaga ajratilgandan so'ng, hech kim manzillar qayerda ishlatilishini tekshirishni talab qilmaydi. Bu manzillar ro'yxatdan o'tgan kompaniyaning ixtiyoriga bog'liq.

Who is(kim ekan) dan foydalanish

Internet registrini qidirish orqali ko'p ma'lumotlarni olish mumkin. Ushbu qidiruvlarni bir necha usul bilan amalga oshirish mumkin. Bulardan biri whois buyrug‘ini ishlatishdir. Whois buyrug’idan foydalanish natijasi 2-rasmda keltirilgan. Bunda 4.2.2.1 IP-manzil egasi - umumiy DNS keshlash serveri ekanligini ko'rish mumkin. Internetdagi har bir kishi foydalanishi mumkin bu 3-darajali aloqada foydalanuvchi Broomfield shahrida joylashganligi ko’rsatilyapti, lekin u bu joydan turib foydalanayotgan bo’lmasligi mumkin. Biroq, Internet-provayderlar bo'lmagan kichikroq tashkilotlarda bu ma'lumot foydali bo'lishi mumkin.

Download 185.16 Kb.

Do'stlaringiz bilan baham: