Σελίδα 1 από 1

[Ερώτηση]: Αρχεία καταγραφής εισερχόμενων συνδέσεων

Δημοσιεύτηκε: 27 Ιουν 2012, 17:59
από billytziv
Όπως γνωρίζουμε τα Log files είναι αρχεία που καταγράφουν δραστηριότητες στο σύστημά μας. Στο υποτιθέμενο σενάριο που κάποιος προσπαθεί να συνδεθεί σε έναν server ας πούμε χρησιμοποιώντας sql injection προφανώς πρέπει να ξέρει να σβήνει και τα ίχνη μετά. Οπότε σύμφωνα με το παραπάνω σενάριο,

1. Υπάρχουν διάφορα (πλήθος/τοποθεσία) Log files ανάλογα με το σύστημα(λειτουργικό) και την ασφάλεια που έχει στηθεί (~firewall) ή είναι ένα δυο στάνταρ ή ίσως συνδυασμός των 2 προηγούμενων προτάσεων?
2. Εκτός απο τα Log files είναι κάτι άλλο που καταγράφει πληροφορίες για την εισερχόμενη σύνδεση?

όπως και να χει θα μου πείτε είναι λίγο βλακεία να κάνει κάποιος έτσι επίθεση...χρησιμοποιώντας την πραγματική του IP αλλα στην παρούσα φάση υποθέτω ότι ναι ο εισβολέας δεν είναι και τόσο έξυπνος.

τι λέτε? :)

Re: [Ερώτηση]: Αρχεία καταγραφής εισερχόμενων συνδέσεων

Δημοσιεύτηκε: 01 Ιούλ 2012, 20:25
από Fuzz
Ο 'εισβολέας' θα πρέπει να έχει κάνει σωστή προετοιμασία και να γνωρίζει από πριν τι σύστημα είναι αυτό στο οποίο μπαίνει και την τοπολογία του δικτύου του στόχου, και ο διαχειριστής από την άλλη να έχει διασφαλίσει την ύπαρξη ενός ασφαλούς και αξιόπιστου συστήματος καταγραφής.
Δεν υπάρχει γενικός κανόνας για το που μπορεί να μείνουνε ίχνη και αυτό εξαρτάτε από το τον τύπο του συστήματος, το πως είναι ρυθμισμένο και από την τοπολογία του δικτύου.
Πχ μπορεί να έχουμε ένα σύστημα που έχει SE Linux ή AppArmor, πού έχει κάποιο IDS, όλα αυτά έχουν δικά τους log files και καταγράφουν τις ενέργειες που γίνονται σε ένα σύστημα. Μπορεί το logging να μην γίνετε τοπικά αλλά σε κάποιον log server, μπορεί το firewall να μην τρέχει τοπικά οπότε και τα logs του θα είναι αλλού. Ακόμα και το log της πρόσβασης στον web server εκτός από τοπικά στην περίπτωση ύπαρξης κάποιου reverse proxy στο δίκτυο να βρίσκετε και αλλού. Οι περιπτώσεις είναι πάρα πολλές και δεν υπάρχει συγκεκριμένη απάντηση σε μια τόσο γενική ερώτηση.

Re: [Ερώτηση]: Αρχεία καταγραφής εισερχόμενων συνδέσεων

Δημοσιεύτηκε: 03 Ιούλ 2012, 21:33
από billytziv
Μάλλον η απάντηση είναι "Δεν είναι τόσο απλό...". Με κάλυψες πάντως thx