Toon posts:

IP logging op Windows 2000 advanced server

Pagina: 1
Acties:

zondag 7 april 2002 13:51

Acties:

Verwijderd

Topicstarter
Mischien niet zo "advanced" maar kan het niet zo snel vinden.

Sinds kort heb ik te maken met inbraakpogingen. In het security log van de win2k server staan wel alle "failed attempts" maar de bijbehorende informatie (domein en workstation name) zijn van een intern domein. Ik wil graag een log maken met deze gegevens maar ook het IP nummer van de server die de communicatie verzorgd van dit interne domein. ik bedoel aan "london" en workstation "brisbane" heb ik niet zoveel. ik heb ook geen tijd om de hele dag te gaan wachten tot het begint (meestal net voor het weekend) om met netstat de bron te achterhalen. Is er een makkelijke manier om de IP nummers van alle connecties te loggen en eventueel te filteren? Alvast dank

mocht dit te simpel zijn, mijn excuses. heb wel gezocht maar wat ik vind is niet erg bruikbaar. groeten.

zondag 7 april 2002 13:54

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 02-05 12:31

DJSmiley

Paar dingen zijn mij ff niet duidelijk..


1. Worden de pogingen van intern uit uitgevoerd? (eigen netwerk?)
2. Of komt het van buitenaf??
3. Op welke manier? IIS bugs? DDOS? iets bekend hierover?

In geval van IIS: LOGS zijn er al.
In ander geval... zet een nachtje zonealarm oid erop, en log gewoon alles... krijg je vanzelf wel een beste log, die je dan gaat nazoeken...

zondag 7 april 2002 14:25

Acties:

Verwijderd

Topicstarter
Het is een erg lang verhaal..

de aanvallen komen van buitenaf. De persoon die probeert er in te komen heeft ooit toegang gehad. Zone alarm o.i.d. is inderdaad een goede maar in dit geval is het een SQL productie server. Ik wil niet een halve dag rules gaan zitten maken. (kun je overigens met Zone Alarm alleen IP ranges toegang geven?) dat zou makkelijk zijn.
Ik wil overigens niet dat deze persoon merkt dat er gekeken wordt naar zijn pogingen (en met Zone Alarm zou dat wel zo zijn dacht ik). De persoon in kwestie probeert (onder andere) via terminal Services en SQL in te loggen. Passwords veranderen kan bij bepaalde accounts niet omdat deze "hard gebakken" zit in de client applicatie die op de SQL server draait. Ik wil eigenlijk dat het hem lukt binnen te komen en daar een zeer uitgebreid log van hebben. De data op de server is in principe veilig dus veel scade zal hij niet kunnen aanrichten (en ik weet dat dat niet het doel is). Groeten.

zondag 7 april 2002 14:30

Acties:
  • DJSmiley
  • Registratie: Mei 2000
  • Laatst online: 02-05 12:31

DJSmiley

Op zondag 07 april 2002 14:25 schreef saffi een lang verhaal met fatsoenlijke info:
Uh.. idee?
Zorg dat een account dat hij heeft / kent toegang heeft tot Terminal services. Spijker die wel ff beetje dicht, zodat ie eigenlijk niets kan,behalve inloggen.

Dan zonealarm erop, gewoon alles accepteren, ALLEEN 't verkeer op poort 3389 loggen (da's terminal service)
En dan ff wachten......

Dan aan de hand van logfile en de inlogtijd van die goser combineren -> voila, z'n IP.

Daarna: zonealarm opnieuw configgen: log alles van DAT ip.
Dan ff alle pogingen van m loggen, mail to abuse@provider.nl en hoppa

Moet die goser:
a. wel een vast ip hebben
b. wel in terminal service mogen komen, dunno hoe dat zit moet client access licenties enz.

Anders gewoon iedereen loggen op prt 3389, als die verder niet gebruik wordt, is dat een optie.

zondag 7 april 2002 14:34

Acties:
  • Jorn
  • Registratie: Juni 2001
  • Laatst online: 20:42

Jorn

Ik gebruik altijd neowatch voor deze log's, en als firewall werkt het ook goed, daar kun je ip's of applicaties gewoon trusten, dus poorten open zetten en ip's vertrouwen.

En als je het in combinatie met neotrace gebruikt krijg je hele uitgebreide info over het ip zoals: netwerk, subnetmask, computernaam, plaats, land, langs welke servers hij komt en nog veel meer.

* Erkens is een sukkel en ramt in mirc op f5 :+
* XTerm GROOOOOOTE kuis houden op hd's :)

zondag 7 april 2002 14:58

Acties:

Verwijderd

Topicstarter
bedankt, ik was gewoon een beetje lui denk ik. Ik dacht aan een over het hoofd gezien vinkje in win2k waarmee ik alles kon loggen. Voor zone-alarm heb ik nog wel een licentie liggen geloof ik. Neowatch is van Mcafee zag ik. Daar moet hier ook wel ergens een licentie van zijn. Dan toch maar een "third party" applicatie. groeten.
Pagina: 1
Reageer