Наши преимущества

Как вычислить "крысу"?

Спасибо за NetResident и CommView. Но данные софтины ничего не могут показать, т.к. все пакеты идут через Циску, которая кроме широковещательных доменных пакетов больше ничего не пускает :(
Буду пробовать с кейлогером...
А разве в Cisco ты этого всего не видеш ??? Покопайся в Cisco хорошенько помоему тебе с таким маршрутизатором эти проги изначально нафиг не нужны :D Хотя в CommView есть такая тема как слушать свитч :D
 
Дело в том, что маршрутизатор администрируют из-за бугра :( Тобишь пароля на 800-ю циску у меня нет... А за опцию CommView слушать свитч - спасибо, попробую
 
попробуй под предлогом апгрейда ПО поставить на его тачку радмин или любой другой бэкдор, предпочитаю радмин 2.1 сидишь и смотришь что и куда он отправляет, геморно правда, но зато в режиме он лайн.
 
Отпадает. Потому что у нас есть система мониторинга софта, которую контролируют админу из-за бугра...
Самый приемлимый на данный момент вариант - настроить на свитче ядра спам-порт, после чего слушать трафик....
 
Я так понимаю он Юзер в домене, и ты являешся админом. поставь чтобы он логинился только на свой стационарный ПК, обреж ему права по самое ...... и групповой политикой закрой флеш устройства/DVD. А вот личную почту просто закрыть приказом по фирме. Ну если это по каким либо причинам невозможно, то тогда снифер - Как увидеть ссылки? | How to see hidden links? все тебе покажет кто куда и зачем :)
 
Последнее редактирование модератором:
gavron, за снифир спасибо. На его машине я локальный админ. Только у него не стационарник, а ноут, что сильно затрудняет дело
В домене у меня права только на наш OU :(. А политика вообще писать не могу...
По поводу почты - такой приказ имеется. Только не по фирме, а по всей корпорации по всему миру! Только на него все херят
 
Ну а доступ к внешней почте у вас где режится ?? Если за бугром то просто отследить, где он забирает почту и сообщить тамошнему админу, а дальше просто это дело расскрутить, вплоть до увольнения !!! И я думаю прежде всего тебе нужно объяснить руководству, что нужно ужесточить контроль за исполнением ваших внутренних правил. Если ноут то просто нужно написать письмецо тамошнему админу и объяснить ситуацию, я думаю вы найдете общий язык :)
 
Спасибо всем. "Крысу" уволили. Дажа не надо было под нее копать со стороны IT, этот человек просто облажался и засветился
 
Всем Привет! Может не в тему. Надо узнать логин учителя. Там очень важная информация. Система базируется типа на citrix с ВИН 2000. Возможно поставить на машину keyloger или типа...
 
Открываешь его винт в режиме "только чтение" через USB-адаптер, заходишь в кэш страниц и каждую!!! сохраненную страничку просматриваешь вручную. Если есть подозрение на определенный временной интервал - пусти фильтр по дате создания файла.
Долго, муторно, но зато самое надежное.
 
интересная тема.
Хоть и прошло время, но я думаю, эта тема волнует всех и до сих пор.
Хотелось бы отметить две вещи.
1. Четкое и безукоризненное соблюдение набора правил информационной безопасности. Это вообще-то комплекс мер, в который входит и жесткое администрирование и жесткие организационные мероприятия внутри фирмы.
В этой связи хочу отметить высказывания gavron - все правильно и по делу.


2. Более частное замечание именно по такому случаю:
контролировать именно почту, а также вложения и связанные утечки можно с помощью мэйлсервера например "демона", особенно с развернутыми доменными правилами и политиками. Например c развернутой AD.
Мэйл сервер можно настроить как на доменные имена, так и на внешние мейлсервера, прописав соответствующий доступ.
На мейлсервере запретить аттач. Можно по маскам. Конечно с гибкой политикой - кому можно а кому нельзя.
В результате всё будет прозрачно, кто куда ходил, можно делать копии писем на пару адресов внутри домена своеобразным "модераторам", цензорам.
Соответствующие правила прописать в должностные обязанности работников предприятия по работе с информацией ( в данном случае членов домена).
Чтобы не коннектились, а точнее - не аутентифицировались непосредственно на внешних мэйл серверах - порубить на файеволе.

P.S. ловить темную крысу в темной комнате самому очень тяжело. Особенно, если нет прав включать рубильник :)

P.P.S в конце концов есть сниффера и еще пару относительно законных методов взломать крысиную почту :))

и еще хотел обратить внимание на перманентную диалектику информационной безопасности - на хитрую попу всегда найдется кое-что с винтом.
это касается обеих сторон. ;)
 
А ещё можно было получить пароль таким путём:
на dns домен контроллера прописать запись на этот мэйл сервак, ip какой нибудь локальный поставить, развернув на нём фэйковую страничку ввода пароля и логина, с последующим редиректом на реальный почтовик.
 
Последнее редактирование модератором:
А что вы ожидаете в снифере увидеть? К гуглю то юзер наверняка по https подключается. Пароль в этом случае не отловится.
 
Верх