Интересный вопрос.
сетка внутренняя построена на хабах ( т.е. можно снифферить ).
Так вот - частенько меня достают этим - балуется кто-то...
вот седня - вижу, что ARP запрос на адрес дается...
а пинг и все остальное - так бы нет хоста.(типа чтобы антисниффер не обнаружил )
определил MAC-адрес.. прошелся по предприятию - вроде как не обнаружил, ( или переписали, или карточку заменили ).
Так вот собственно вопрос - ну определил я комп этот. а дальше что ? арестовывать комп, делать ревизию и искать логи ?
т.е. как с этим покончить ? ( переход на коммутаторы не предлагать..:(( пока что обновление железа не предусматривается..)
просто не обращать внимание не могу - нарушение закона о локалке и плюс - могут перехватить данные.
Может кто сталкивался с этим ?
поделитесь опытом в этом плане..

• RE: Поимка ламмеров...,mrAngel, 15:14 , 06-Ноя-01
  • RE: Поимка ламмеров...,Андрей, 17:55 , 06-Ноя-01
    • RE: Поимка ламмеров...,darkmonk, 21:48 , 06-Ноя-01
    • RE: Поимка ламмеров...,lavr, 15:27 , 07-Ноя-01
      • RE: Поимка ламмеров...,Андрей, 12:26 , 08-Ноя-01
      • RE: Поимка ламмеров...,Sciurus, 14:22 , 09-Ноя-01
• RE: Поимка ламмеров...,uldus, 01:30 , 09-Ноя-01
  • RE: Поимка ламмеров...,Max, 20:41 , 12-Ноя-01
    • RE: Поимка ламмеров...,lavr, 23:10 , 12-Ноя-01
• RE: Поимка ламмеров...,Igor, 03:17 , 14-Ноя-01
• RE: Поимка ламмеров...,Дмитрий, 14:16 , 16-Ноя-01
  • RE: Поимка ламмеров...,lavr, 16:05 , 16-Ноя-01

>Интересный вопрос.
>сетка внутренняя построена на хабах (
>т.е. можно снифферить ).
>Так вот - частенько меня достают
>этим - балуется кто-то...
>вот седня - вижу, что ARP
>запрос на адрес дается...
>а пинг и все остальное -
>так бы нет хоста.(типа чтобы
>антисниффер не обнаружил )
>определил MAC-адрес.. прошелся по предприятию -
>вроде как не обнаружил, (
>или переписали, или карточку заменили
>).
>Так вот собственно вопрос - ну
>определил я комп этот. а
>дальше что ? арестовывать комп,
>делать ревизию и искать логи
>?
>т.е. как с этим покончить ?
>( переход на коммутаторы не
>предлагать..:(( пока что обновление железа
>не предусматривается..)
>просто не обращать внимание не могу
>- нарушение закона о локалке
>и плюс - могут перехватить
>данные.
>Может кто сталкивался с этим ?
>
>поделитесь опытом в этом плане..

ага, вопрос актуальный, у мна ещё и pop3 imap слушают, абыдно да?

Ну с технической стороны понятно...
меня интересует политический (организационный вопрос).
что делать если я обнаружил комп, который этим занимается и человека ?
И еще вот интересно - какие данные нужно предъявить начальству, чтобы наказать виновного ?

Это зависит то начальства, Вам должно быть виднее.
Некоторым достаточно сказать, а уж они человека разведут.

>Ну с технической стороны понятно...
>меня интересует политический (организационный вопрос).
>что делать если я обнаружил комп,
>который этим занимается и человека
>?
>И еще вот интересно - какие
>данные нужно предъявить начальству, чтобы
>наказать виновного ?

Прежде чем что-либо делать, надо создать
policy для Local-Net, продумать, написать документ
в котором были бы отражены:

- права
- обязанности
- ответственные и ответственность:
  - общественная и организационная
  - административная

данный документ в строго-обязательном порядке
должен быть рассмотрен и завизирован РУКОВОДИТЕЛЕМ
предприятия/фирмы.
После чего масса вопросов отпадет сама, а
документ будет время от времени дополняться и
видоизменяться.
Как показывает опыт и практика, самым важным
моментом является - оформление документа при
регистрации НОВОГО пользователя в Локальной сети,
НЕ ВАЖНО какой доступ и к каким ресурсам этот
пользователь получает, ЛЮБОЙ администратор,
любого сервера - обязан направить НОВОГО
пользователя в Сетевой Центр для оформления
документа "Пользователь сети Local-Net",
где Local-Net, имя локальной сети, например:
JINR-Net.
В этом документе должны быть перечислены права,
обязанности и возможная ответственность, включая
административную.
Новый пользователь ставит СВОЮ подпись и теперь
он несет ответственность как и все остальные.
После чего администраторам, NOC'у - нет необходимости ломать голову ЧТО ЖЕ ДЕЛАТЬ.
Да, ПРАВИЛА, едины для ВСЕХ, будь то начальник
- большой-маленький или рядовой сотрудник.
Данный подход, как нельзя лучше работает в
универах и федеральных-бюджетных (халявных)
системах, ибо на фирмах - просто выгоняют к свиням

Сие совершенно серьезно и близко не смешно,
сети имееют тенденцию расти, а сетевые проблемы
растут еще быстрее - как снежный ком.
Если кто-то полагает что сие геморройно, отнюдь,
гораздо геморройнее потом защищаться и вычищать
хакеров, что в итоге - почти невозможно в
сильно выросшей сети(по размеру и структуре)

К сожалению, пройдено на личном опыте :(((
Начальству это по-перву как бы не нужно, а вот
потом... Оно - начальтво начинает гнуть пальцы
и тыкать всех носом в свое же дерьмо :(((
Поэтому надо убедить и обрисовать _радужные_
переспективы взломов, писем из CERT'а на предмет
переинсталляции ВСЕХ серверов, блокирование
ваших сетей-подсетей, mail-relay'ев - жопа короче

PS. Sorry - очень больной вопрос. :-?

Спасибо..
действительно больной вопрос...
Если есть еще опыт - поделитесь...
Вполне актуальный и важный вопрос...

>Прежде чем что-либо делать, надо создать
>policy для Local-Net, продумать, написать >документ в котором были бы отражены:

А чтобы сей документ имел юридическую силу, его нужно оформить как *должностные обязанности* , с которыми новичка при устройстве ознакамливают и под которыми он подписывается. Тогда любое невыполнение требований по работе в сети будет расцениваться как нарушение должностных обязанностей, ну а дальше начальству решать, что с таким перцем делать.
ТолЬко начальство должно быть соответствующее :)

>Так вот собственно вопрос - ну
>определил я комп этот. а
>дальше что ?

При хабе - все попытки бесполезны, MAC на большинстве сетевух меняется программно за 1 сек. Выявить грамотного сниффера невозможно. Выход - TCP/IP трафик гонять через шифрованные туннели.
Самая большая трудность - поставить всем клиентам туннелеобразующиее ПО, что на предприятии вообще не проблема.

Можно просто авторизацию на рутере сделать через Апач + ССЛ + файрвол и туннели вроде не нужны.

>Можно просто авторизацию на рутере сделать
>через Апач + ССЛ +
>файрвол и туннели вроде не
>нужны.

это хорошо для outside connection и небольшом
количестве unix-серверов в local-net.
Например, в JINR > 2000 телеге и >500 OS Unix
и от локальных ломов это не спасет.

В данной ситуёвине рискну предложить книжонку. Кореш (дал на почитать).

Д.Рей "системное администрирование UNIX".

Пока читал - плевался. Мадам налила кучу воды.
Перелив из пустого в порожнее.
Лучше бы я это время употребил для пивчанского. :(

Но в той книге "писательница"(кста там есть её фото, вид со спины ;) )
одгрохала не хилую тучу места под эту самую "Системную политику"
(в качестве примера присутствует бумажная копия договора, типа сдал - принял, протокол).
Тут уже пипл приводил примеры, а в книжонке перемалывается вдоль и
поперёк. Причем там много "плавных" переходов от настройки софта к
этой самой "политике". Good luck!

не надо никого ловить
если нашел комп с которого происходит это
безобразие, то подключай иго через pc bridge(писюк с 2 сетевушками, ОС - openbsd или кому какая нравится)
и пусть он остается сам с собой наедине

ps но это дело надо провернуть как можно более незаметно.

>не надо никого ловить
>если нашел комп с которого происходит
>это
>безобразие, то подключай иго через pc
>bridge(писюк с 2 сетевушками, ОС
>- openbsd или кому какая
>нравится)
>и пусть он остается сам с
>собой наедине
>
>ps но это дело надо провернуть
>как можно более незаметно.

сие есть "спорт", в техническом плане - абсолютно
верно, но в плане построения технологического
процесса - ни в какие ворота не влазит.

Те, вся соль в том что если есть ШТАТНАЯ
служба security - то это ее работа. Если же
официально такой службы нет, и этим занимается
администратор - это "спорт", сисадм должен
работать, а не заниматься играми.