¿Qué está haciendo si observa un ataque MITM contra un servidor Linux? [cerrado]

4

Obtuve esta pregunta en una entrevista de trabajo, pero no sabía la respuesta. Creo que esperaban algunos comandos o paquetes de shell, que pueden ayudar a reaccionar ante el ataque. Supongamos que usted es un administrador del sistema y trabaja para las redes Nokia. Este servidor almacena los detalles de los clientes y se comunica con ellos cuando un cliente desea informar un problema o error a través de las 2 redes globales e internas. Los atacantes están usando DNS-poison y también pueden iniciar el ataque desde la red interna, pero estos detalles no se especificaron. Sé que podría ser una pregunta de Linux, pero en realidad también se está conectando a la seguridad de TI.

    
pregunta ampika 23.03.2015 - 15:40
fuente

2 respuestas

3

Si observa que alguien está administrando activamente un servidor, lo primero que debe hacer es informar a su equipo de seguridad / respuesta ante incidentes.

Deben decidir sobre mitigar los controles, esa es su tarea. Es altamente confiable en qué tecnología está siendo MiTM y de qué manera. También depende en gran medida de dónde está ocurriendo el MiTM. Aparte de volver a ajustar las rutas para ir a través de otra red, no hay mucho que puedas hacer.

    
respondido por el Lucas Kauffman 23.03.2015 - 16:02
fuente
2

Tenga en cuenta el contexto aquí: ya que es una pregunta de entrevista, el objetivo es evaluar su comprensión de la terminología y los conceptos. Probablemente no estaban interesados en alguna herramienta específica, o en un comando exacto que estarías ejecutando (aunque podrías obtener elogios por saber algo así).

Como se mencionó en los comentarios, hay MUCHOS detalles que podrían influir en la respuesta, así que no te preocupes por eso. El punto es demostrar que comprendes qué es un ataque MITM, las posibles formas en que podría detectarse y cómo se relaciona con el trabajo para el que estabas entrevistando.

Por ejemplo, tu respuesta podría haber sido: "Bueno, un ataque MITM involucra a un usuario malintencionado que redirige el tráfico legítimo a través de una máquina que controlan. Si noté esto mientras trabajaba en un servidor, probablemente estaba monitoreando el tráfico de red y vi algo extraño en los patrones de tráfico o en la tabla ARP. también es posible que estuviera revisando los registros de una aplicación / servidor web y noté una actividad anormal en una sola máquina ".

    
respondido por el jlehtinen 23.03.2015 - 16:27
fuente

Lea otras preguntas en las etiquetas