Ситуация: сеть класса B. Большое здание, неуправляемое оборудование, ~800 машин. Периодически в сети появляется неизвестная рабочая станция, работает и исчезает. ОС - похоже, WinXP. Похоже, firewall.
Задача: найти и обезвредить :-)
Проблемы: обнаружить появление можно, например, NMAPом (долго сканировать, ну уж ладно). Что дальше с ней делать? Локализовать не получается. Как не дать нормально работать, при этом не мешая другим?
Может, кто решал подобные проблемы, может, есть мысли по этому поводу?
По какому протоколу работает сетка? Если TCP, то какой механизм раздачи адресов - статика, динамика? Вычислить MAC, поставить в сетке IDS, в большинстве из них, кажется, есть функции вычисления появления в сети "нежелательных" хостов. Либо просто повесить в сети tcpdump с фильтром на этот хост. По получении уведомления о присутствии в сетке этой машины, попытаться просканить ее ShadowSecurityScan или XSpider - на предмет наличия exploitable vulnerabilities - потом попытаться ломануть её, либо вычислить по косвенным данным, что за машина. Если XP - возможно, разрешает null session по NBT - можно снять данные о группах и юзерах, и другую ценную инфу. Возможно, IIS есть... В общем, дальше творчески развивать успех :)
TCP, местами DHCP, местами статика. Сетка-то немаленькая...
MAC встроенной карточки известен, привязан на DHCP, проверяется NAGIOSом, но кто мешает взять у соседа PCMCI (в сети ~400 ноутбуков)? Кто мешает установить статический адрес...
>TCP, местами DHCP, местами статика. Сетка-то немаленькая...
>MAC встроенной карточки известен, привязан на DHCP, проверяется NAGIOSом, но кто мешает
>взять у соседа PCMCI (в сети ~400 ноутбуков)? Кто мешает установить
>статический адрес...
т.е. сетка не имеет единого управления и распределенная по структуре? Сложнее. Организационные меры надо принимать для начала - отключать незадействованные легальными пользователями розетки, поставить вопросы службе безопасности, если есть такая. Насколько я понимаю в медицине, не дать ей работать (гнать пакеты в сеть) нет возможности, если в этом задача была. Если задача была понять, кто гадит - я бы провел разведку так, как написал.
Я обычно делаю так.
Висит arpwatch, шлет на мыло сообщения о новых станциях.
дальше - со шлюза ping -f "новый ip", бежишь вдоль хабов-свитчей и смотришь на бешено мигающие лампочки - до самого низа, и с разгона в ухо сапогом ;)Более правильный выход - замороженная arp-таблица + грамотный firewall
Еще раз.
Здание - 5 этажей. Куча сетевого оборудования на каждом. Это насчет лампочек - многовато будет.
На данный момент (утро, 10.30) в сети 350 машин. Всего - около 800. Из них больше половины - кочующих, ноутбуки. Карточки сетевые путают, настройки в командировках сбивают, рабочие места меняют. Тут ничего не поделать. Это насчет arp-таблицы и firewall.
Более интересно сделать бессмысленным 'левое' подключение. Засекать можно, заносить в 'черный список' - например, проходясь иногда NESSUSом, по сочетанию каких-либо признаков.
Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить таймауты, не дать работать... Но точечно :-)
Есть идеи?
>Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить
>таймауты, не дать работать... Но точечно :-)
>Есть идеи?
есть устроить флуд - то под винду есть софтинка icmp - винде от неё плохеет :>
можно ping -f
или можно прописать на alias своей сетевухи IP этого чела, тогда он точно не сможет работать по нормальному... главное - запустить arpwatch, что бы отловить момент, когда он переключиться на другой ip.а можно и просто запустить arpwathc, и смотреть, вдруг кто из своих мигрирует по сетке... маняет себе IP или другое...
>Еще раз.
>Здание - 5 этажей. Куча сетевого оборудования на каждом. Это насчет лампочек
>- многовато будет.
>На данный момент (утро, 10.30) в сети 350 машин. Всего - около
>800. Из них больше половины - кочующих, ноутбуки. Карточки сетевые путают,
>настройки в командировках сбивают, рабочие места меняют. Тут ничего не поделать.
>Это насчет arp-таблицы и firewall.
>Более интересно сделать бессмысленным 'левое' подключение. Засекать можно, заносить в 'черный список'
>- например, проходясь иногда NESSUSом, по сочетанию каких-либо признаков.
>Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить
>таймауты, не дать работать... Но точечно :-)
>Есть идеи?
Ну знаеш ли, это у тебя не сеть а помойное ведро, все кругом что хотят то и делают. Какой нафиг тогда левый комп, там левую сеть поставить могут. И порносайты пооткрывать. Меняй оборудование.
>>Еще раз.
>>Здание - 5 этажей. Куча сетевого оборудования на каждом. Это насчет лампочек
>>- многовато будет.
>>На данный момент (утро, 10.30) в сети 350 машин. Всего - около
>>800. Из них больше половины - кочующих, ноутбуки. Карточки сетевые путают,
>>настройки в командировках сбивают, рабочие места меняют. Тут ничего не поделать.
>>Это насчет arp-таблицы и firewall.
>>Более интересно сделать бессмысленным 'левое' подключение. Засекать можно, заносить в 'черный список'
>>- например, проходясь иногда NESSUSом, по сочетанию каких-либо признаков.
>>Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить
>>таймауты, не дать работать... Но точечно :-)
>>Есть идеи?
>
>
>Ну знаеш ли, это у тебя не сеть а помойное ведро, все
>кругом что хотят то и делают. Какой нафиг тогда левый комп,
>там левую сеть поставить могут. И порносайты пооткрывать. Меняй оборудование.
произвести реструктуризацию сети, расколотить на сети/подсети и рулить
- много легче будет высечь, на сети разбивать поэтажно и таким макаром сажать на свитчи, вобщем где-то так. Сеть <-> территория, территориальная разбивка, чтобы сузить место куда надо бежать, искать и с ходу давать в репу.
Да, тут точно нужно ставить вопрос к директору об укреплении трудовой дисциплины. :( Это бардак, в нем без мазы порядок наводить. Единственное, что, на мой взгляд, можно было бы сделать (или попробовать сделать) - поиграть с идеей шифрования ip траффика от всех "легальных" клиентов и сервисов. Вроде, были пакеты такого функционала. Тогда, в сети просто станет бессмысленным "левое" подключение, потому, как сервисов доступных не будет. Но проги эти были коммерческие и довольно дорогие. В принципе, если все клиенты поддерживают vpn, можно самые интересные сервисы убрать из доступа напрямую, а выделить в сетку, доступную через vpn подключение - так часто теперь организуют доступ в инет ethernet-провайдеры. Есть минус - большая работа по консультированию пользователей и настройкам...
Кстати, а что имелось ввиду под "похоже файрволл"? Просто интересно :)
NMAP выдал неоднозначный набор открытых портов, после чего станция пропала.
Похоже на плохо настроенный локальный файрволл.