Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: ZEN on September 09, 2008, 10:33:39

Title: Помогите вычислить нарушителя
Post by: ZEN on September 09, 2008, 10:33:39
Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?
Title: Помогите вычислить нарушителя
Post by: fredina on September 09, 2008, 11:15:22
а что за тексты печатает "злоумышленник"?

пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)
Title: Помогите вычислить нарушителя
Post by: ZEN on September 09, 2008, 11:52:53
Quote from: fredina
а что за тексты печатает "злоумышленник"?

пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)
Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею  может спец программой снифить этот IP ?
Title: Помогите вычислить нарушителя
Post by: vkv on September 10, 2008, 13:32:44
Quote from: ZEN
Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею  может спец программой снифить этот IP ?
посмотри на секлабе, там есть, что тебе нужно
Title: Помогите вычислить нарушителя
Post by: never hood on September 10, 2008, 15:49:49
Quote from: ZEN
Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?
Использовать сниффер (SwitchSniffer, Wireshark, например). Для этого желательно, чтобы использовались хабы, но некоторые коммутаторы, например 3Com, позволяют наблюдать за некоторыми портами. Для этого есть специальный режим "Port monitoring", при котором на коммутаторе назначаются порты "наблюдающий" и "наблюдаемый". Порт к которому подключен принтер, есессно, д.б. "наблюдаемым", а тот, к которому подключен комп со сниффером (например, ваш), "наблюдающим".
Все пакеты, идущие на принтер будут вам видны и, возможно, вы сможете обнаружить "злоумышленника".
Некоторые снифферы используют ARP-poisoning для перехвата пакетов на коммутаторах, но не все коммутаторы бывают уязвимы для этого вида атаки (а это именно атака).
Title: Помогите вычислить нарушителя
Post by: .05 on September 10, 2008, 16:57:07
насоветуете  млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?

Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе

пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит
Title: Помогите вычислить нарушителя
Post by: ZEN on September 11, 2008, 09:10:18
Quote from: .05
насоветуете  млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?

Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе

пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит

Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...
Title: Помогите вычислить нарушителя
Post by: .05 on September 11, 2008, 14:07:11
Quote from: ZEN
Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...
При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото  там еще
Title: Помогите вычислить нарушителя
Post by: ZEN on September 12, 2008, 08:21:58
Quote from: .05
При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото  там еще

открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету.  я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?

ПЫСЫ: да я ламер, но я быстро учусь!
Title: Помогите вычислить нарушителя
Post by: .05 on September 12, 2008, 20:28:53
Quote from: ZEN
открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету.  я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?

ПЫСЫ: да я ламер, но я быстро учусь!

панель управления-> администрирование -> просмотр событий -> (журнал система)-> фильтр по событию print

у меня вот так работает )
Title: Помогите вычислить нарушителя
Post by: ZEN on September 15, 2008, 08:50:24
по какой то причине у меня там отображается печать только одного принтера, а их около 20.....