[Re:] [sh4d0w:] DNS-monitoring - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Új hozzászólás Aktív témák

#8 hcl titán

Új Válasz 2020-12-14 11:53:39 #8
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

hcl

titán

LOGOUT blog

EZ jó ötlet! El is kezdtem nézegetni, hogy OpenWrt-n hogyan lehetne ezt megoldani, lehetőleg a router szétterhelése nélkül...
@tsiga18 :Hmmmm, ez hasznos
#7 tsiga18 tag sh4d0w #6

Új Válasz 2020-12-14 10:42:24 #7
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

tsiga18

tag

válasz sh4d0w #6 üzenetére

Jogos amit írsz, én a saját tapasztalaim alapján mondom, hogy a legjobbnak találom ezt.
#6 sh4d0w félisten tsiga18 #4

Új Válasz 2020-12-14 10:28:25 #6
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sh4d0w

félisten

válasz tsiga18 #4 üzenetére

Tapasztalataimból kiindulva nem hiszem, hogy kijelenthető: egy mindenek felett. Önmagában az kérdés, hogy melyik a jó? Amelyik könnyen kezelhető, de rossz a detektálási algoritmusa, esetleg az is jó, de a korrelációs engine nem? Vagy jól detektál, jól korrelál, de egy ELK stackből kell kibányászni az adatokat, mert a kezelőfelület nem jó?
#5 sh4d0w félisten Gargouille #3

Új Válasz 2020-12-14 10:21:28 #5
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sh4d0w

félisten

válasz Gargouille #3 üzenetére

Nem tervezem (jelenleg), hogy technikai szinten írok erről. A DNS valóban elég régi, mint ahogy a protokollok nagy része is az, de a világ annyira rá van cuppanva ezekre, hogy nagyon nehéz kiváltani őket olyanokkal, amikbe eleve bele van tervezve a biztonság.
#4 tsiga18 tag

Új Válasz 2020-12-14 10:18:50 #4
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

tsiga18

tag

Szerintem DNS alapú védelemre (jelenleg) a legjobb a Cisco Umbrella. A tiltott oldalat/kategóriákat még a DNS kérés szakaszában képes blokkolni úgy, hogy a DNS kérésre nem a lekért oldal címét adja vissza, hanem átirányítja a klienst egy általunk kreált oldalra, ahol tudathatjuk hogy nem engedélyezett az elérés.
Van fizetős (céges), és ingyenes (butított) otthoni változata is OpenDNS néven.
Vezettem be nulláról illetve üzemeltettem ilyen rendszert, elég felhasználóbarát és könnyen átlátható mit miért csinál a rendszer.
#3 Gargouille őstag sh4d0w #2

Új Válasz 2020-12-14 09:45:56 #3
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

válasz sh4d0w #2 üzenetére

Igen, igen. Ha esetleg majd tervezed még a jövőben ezt a témát folytatni akkor javaslatként mondom csak, hogy érdemes lehet a DNS forgalom védelméről, titkosításáról (DoT, DoH stb.) vagy a validálásáról (DNSSEC) is írnod. Egyébként azért örülök a témaválasztásnak mert a DNS egy kulcs fontosságú elem a hálózatoknál, mégis kevés figyelmet kap általában, kicsit olyan "kőkorszakban ragadt" protokoll.
#2 sh4d0w félisten Gargouille #1

Új Válasz 2020-12-13 23:43:14 #2
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sh4d0w

félisten

válasz Gargouille #1 üzenetére

Ez merőben technikai kérdés. Forensics esetében általában pcap elemzés segíthet, (majdnem) realtime inkább network monitoring, illetve SIEM segíthet.
#1 Gargouille őstag

Új Válasz 2020-12-13 18:41:59 #1
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Gargouille

őstag

Ismét egy nagyon jó témáról írtál! Lehet érdemes lenne kiegészíteni pár konkrét megoldással is, ha valakit érdekelne, hogy a megvalósítás akkor merre induljon el.