יום שישי, 25 בפברואר 2011

Patriot NG Host IDS v2.0


Patriot NG is a Host IDS‟ tool that allows real-time monitoring changes in Windows systems. According to Wikipedia, an IDS is defined as “a program used to detect unauthorized access to a computer or a network”.

Prerequisites.

You need to have installed correctly Winpcap (http://www.winpcap.org/install/default.htm) to be fully functional Patriot 2.0.


Patriot monitors:

 • Changes in Registry keys: Indicating whether any sensitive key (autorun, internet explorer settings…) is altered.
 • New files in ‘Startup’ directories
 • New Users in the System
 • New Services installed
 • Changes in the hosts file
 • New scheduled jobs
 • Alteration of the integrity of Internet Explorer: (New BHOs, configuration changes, new toolbars)
 • Changes in ARP table (Prevention of MITM attacks)
 • Installation of new Drivers
 • New Netbios shares
 • TCP/IP Defense (New open ports, new connections made by processes, PortScan detection…)
 • Files in critical directories (New executables, new DLLs…)
 • New hidden windows (cmd.exe / Internet Explorer using OLE objects)
 • Netbios connections to the System
 • ARP Watch (New hosts in your network)
 • NIDS (Detect anomalous network traffic based on editable rules)

Downloadיום חמישי, 10 בפברואר 2011

RDP


קיימים לא מעט ארגונים אשר משתמשים בגישת ההפרדה

בין רשת ה - DMZ לבין הרשת הפנימית, וברשת הפנימית בין סיגמנט השרתים

לבין סיגמנט המשתמשים , שימוש בהפרדה בין סיגמנטים

ורק גישה ב - RDP ובשימוש ב - Policy מוקשח על השרת הם חשיבה נכונה

ואבטחתית אשר בד"כ מצמצמות את הסיכונים הקיימים.

כאשר אנחנו מגבילים את המשתמש אך ורק לפורט RDP-3389 ומקשיחים את

השרת כראוי מתקיימת סביבת הגנה טובה.

לאחרונה יצא לי להיתקל בכלי שקצת שובר את תפיסת האבטחה שציינתי

הכלי מנצל את פרוטוקול ה - RDP ומאפשר למשתמש "לרכוב" על צינור ה -

RDP בשירותים שונים, אז איך זה נראה:


ואיפה מורידים את זה את בטח שואלים:


עלמנת להתקין את צד ה - Server אנחנו עדיין צריכים לשבור

חלק מהקשחה שמבוצעת אבל מניסיון זה תמיד אפשרי בצורה

כזאת או אחרת.