С некоторых пор в сети завелся хакер. Подделывает IP и MAC. Вычислить физическое местоположение не представляется возможным. Как его можно вычислить? Есть возможность на шлюзе запустить снифферилку. Только какую выбрать, чтобы она могла писать удобоваримый(читаемый) лог и не все подряд, а только про конкретный IP (пользователей много, так что места на диске и на час работы не хватит, а он выходит в сеть редко и в основном по ночам). На шлюзе FreeBSD 4.8.Вопрос номер два: как обезопасить себя в дальнейшем? Сегмент Ethernet раскинут по территории города и области. Клиенты самые разные: Linux/FreeBSD/Win95/Win98/WinME/Win2K/WinME/Cisco/Dlink. Что можно использовать? PPPoE? На сколько без проблем его можно использовать в среде с такими разными ОС? Все ли это умеют? Есть ли еще какие варианты?
Если кто-то реально может помочь и имел опыт с подобными проблемами - по почте могу описать ситуацию детальнее.
на вопрос N2
мона пользовать pptp, с киской -хз, вроде с linux,win проблем нет
По поводу будущего ;)
Можно следить за тем, какой MAC какой IP использует. Т.е. следить за сопоставлением IP<=>MAC.Вот что есть: /usr/ports/net-mgmt/arpwatch
This directory contains source code for arpwatch and arpsnmp, tools
that monitors ethernet activity and maintain a database of ethernet/ip
address pairings. It also reports certain changes via email.Или вот ещё: http://www-user.tu-chemnitz.de/~ensc/ip-sentinel/
This program tries to prevent unauthorized usage of IPs within the local ethernet broadcastdomain by giving an answer to ARP-requests. After receiving such a faked reply, the requesting party stores the told MAC in its ARP-table and will send future packets to this MAC. Because this MAC is invalid, the host with the invalid IP can not be reached.
>С некоторых пор в сети завелся хакер. Подделывает IP и MAC. Вычислить
>физическое местоположение не представляется возможным. Как его можно вычислить? Есть возможность
>на шлюзе запустить снифферилку. Только какую выбрать, чтобы она могла писать
>удобоваримый(читаемый) лог и не все подряд, а только про конкретный IP
>(пользователей много, так что места на диске и на час работы
>не хватит, а он выходит в сеть редко и в основном
>по ночам). На шлюзе FreeBSD 4.8.
>
>Вопрос номер два: как обезопасить себя в дальнейшем? Сегмент Ethernet раскинут по
>территории города и области. Клиенты самые разные: Linux/FreeBSD/Win95/Win98/WinME/Win2K/WinME/Cisco/Dlink. Что можно использовать?
>PPPoE? На сколько без проблем его можно использовать в среде с
>такими разными ОС? Все ли это умеют? Есть ли еще какие
>варианты?
>
>Если кто-то реально может помочь и имел опыт с подобными проблемами -
>по почте могу описать ситуацию детальнее.По конкретному IP и tcpdump умеет, погляди sniffit, может подойдет.
Использовать авторизацию - идея хорошая, можно поднять несколько серверов, например pptp, и ipsec одновременно, и кто что умеет - туго туда и отправлять.Если в сети используются управляемые свичи (например Cisco Catalyst) можно проследить на каком порту появляется МАС когда хакер выходит в сеть, и выяснишь ветку, откуда он вылазит.
>>Вопрос номер два: как обезопасить себя в дальнейшем? Сегмент Ethernet раскинут по
>>территории города и области.научится правильно строить сети. Это кто ж Ethernet на территорию гопода делает ????
>>>Вопрос номер два: как обезопасить себя в дальнейшем? Сегмент Ethernet раскинут по
>>>территории города и области.
>
>научится правильно строить сети. Это кто ж Ethernet на территорию гопода делает
>????Приезжай в г.Кемерово.
Здесь 5 провов свои сетки тянут витой парой с 10 мбит хабами.
Самое бюджетное решение.
>>>Вопрос номер два: как обезопасить себя в дальнейшем? Сегмент Ethernet раскинут по
>>>территории города и области.
>
>научится правильно строить сети. Это кто ж Ethernet на территорию гопода делает
>????С этого момента поподробнее. Как это "правильно"? И интересно каково Ваше отношение к концепции Cisco "Metro Ethernet" или что-то вроде этого.
Сегмент желательно разделять роутерами, это во-первых даст возможность более гибкого управления и диагностики неисправностей конечно, а во-вторых повысит надежность сети.
>Если в сети используются управляемые свичи (например Cisco Catalyst) можно проследить на
>каком порту появляется МАС когда хакер выходит в сеть, и выяснишь
>ветку, откуда он вылазит.Это все очевидно, но есть такая штука - 802.11b
:(
>С некоторых пор в сети завелся хакер. Подделывает IP и MAC. Вычислить
>физическое местоположение не представляется возможным. Как его можно вычислить? Есть возможность
>на шлюзе запустить снифферилку. Только какую выбрать, чтобы она могла писать
>удобоваримый(читаемый) лог и не все подряд, а только про конкретный IP
>(пользователей много, так что места на диске и на час работы
>не хватит, а он выходит в сеть редко и в основном
>по ночам). На шлюзе FreeBSD 4.8.
>
>Вопрос номер два: как обезопасить себя в дальнейшем? Сегмент Ethernet раскинут по
>территории города и области. Клиенты самые разные: Linux/FreeBSD/Win95/Win98/WinME/Win2K/WinME/Cisco/Dlink. Что можно использовать?
>PPPoE? На сколько без проблем его можно использовать в среде с
>такими разными ОС? Все ли это умеют? Есть ли еще какие
>варианты?
>
>Если кто-то реально может помочь и имел опыт с подобными проблемами -
>по почте могу описать ситуацию детальнее.Только сегодня обсуждали ту-же проблему ;-)
pppoe решение на данный момент наиболее популярное, но не решает всех проблем, лучше делать полноценный VPNстоит посмотреть на такие варианты - openvpn,FreeS/WAN(SecureIP) и проч.
(ищи сдесь и гугле по слову vpn)Кстати, а каким боком cisco и dlink стали клиентами ? ;-)
если вся эта сетка ходит через цисковский роутер, то и отталкиваться надо от его возможностей(точнее от своих финансов).
Привет,PPPoE/VPN проблем не решают... при PPPoE несложно перехватить имя и пароль, при VPN у вас overhead получиться немалый, в обоих случаях юзеры не будут видеть друг друга (т.е. не смогуть качать друг у друга фильмы :), а они из-за этого и в ЛАН приходят...
Решение правильное (но несколько дорогое): управляемый switch, включаешь MAC верификацию по портам и готово... впрочем, не так дорого - 24-потровый BayStack-350T можно купить за 100 долларов на eBay, в особенности, если оптом...
Решение неправильное, но возможное: SSL клиент на компе каждого, раз в минуту посылает свой ключ серверу и получает от него новый... если ключ не совпадает или ключ не пришел, сервер режет связь... это у меня есть и работает, но все равно считаю его неправилным :) Демо системы управлениь можно посмотреть на http://sandbox.online.bg (user: bulgaria, password: online)
WWell,
>PPPoE/VPN проблем не решают... при PPPoE несложно перехватить имя и пароль, при
>VPN у вас overhead получиться немалый, в обоих случаях юзеры не
>будут видеть друг друга (т.е. не смогуть качать друг у друга
>фильмы :), а они из-за этого и в ЛАН приходят...Огорчу - в обоих случаях юзеры будут друг друга видеть ;-)
в VPN, overhead - обмен сессионными ключами (и их генерация),
так-что единственный минус - нужны машинки пошустрее для криптопреобразований трафика. Зато даёт возможность прозрачного объединения удалённых сетей.
PPPoE затрудняет только нелегальное использование шлюза, на обмен между клиентами не влияет никак (имеется в виду один сегмент Ethernet).
Выбор средств зависит от задачи и настроения;-)А вот предлженное Вами решение - УЖАС..недаром оно Вам не нравится
> SSL клиент на компе каждого, раз в минуту посылает свой ключ серверу и
> получает от него новыйУправляемый switch конечно решает проблему, но не всегда есть возможность его поставить
IMHO : есть вся сеть как на ладони, и есть возможность ставить switch - то это самое правильное решение
иначе наиболее удачным будет все-же VPN
Привет,> Огорчу - в обоих случаях юзеры будут друг друга видеть ;-)
Это я вас огорчу - не будут... щелкнете мышкой на Network Neighborhood, а там никого... и куча нещастных юзеров, которые вместо того, чтоб качать фильмы с компьютера соседа, теперь будут их качать по вашему же ИНтернет каналу...
>в VPN, overhead - обмен сессионными ключами (и их генерация),
А также весь криптированный траффик...
> PPPoE затрудняет только нелегальное использование шлюза, на обмен между клиентами не
>влияет никак (имеется в виду один сегмент Ethernet).PPPoE - обычный dialup, имеющий еще кучу недостатков: пароль можно запросто стащить (PPPoE пользуется PAP и пароль проходит в plain text); связь прерывается (это все-таки РРР :Р); связь асинхронна (half-duplex: это все-таки РРР); РРР вешает свой overhead из-за особенностей протокола, вкл. MTU...
>А вот предлженное Вами решение - УЖАС..недаром оно Вам не нравится
>> SSL клиент на компе каждого, раз в минуту посылает свой ключ серверу и
>> получает от него новыйПредложеное решение работает прекрасно... и оно не нравиться мне по чисто "идеологическим", а не технически причинам. В техническом аспекте оно непробиваемо - в отличие от РРРоЕ.
>Управляемый switch конечно решает проблему, но не всегда есть возможность его поставить
Интересно, почему? Из-за денег? Но если делать сервис, то делать его как надо... не говоря уже о том, что управляемый switch дает еще кучу возможностей... подумайте только об включение multicast трафика (например, показ телевизионных и радио программ через сеть) и упраление всей сетью через IGMP...
WWell,
>Привет,
>
>> Огорчу - в обоих случаях юзеры будут друг друга видеть ;-)
>
>Это я вас огорчу - не будут... щелкнете мышкой на Network Neighborhood,
>а там никого... и куча нещастных юзеров, которые вместо того, чтоб
>качать фильмы с компьютера соседа, теперь будут их качать по вашему
>же ИНтернет каналу...Может это у меня чего-йто не правильно сделанно ??
Сейчас пишу ответ сидя под XP, вижу две сетки - 1) на работе километрах в 50 (через VPN и MTU-Stream) 2) местячкового провайдера, с PPPoE для Internet, и как-то всё работает ;-)) Ту же картину наблюдаю в Linux..
Может подскажите как это всё исправить ?>>в VPN, overhead - обмен сессионными ключами (и их генерация),
>
>А также весь криптированный траффик...Справка : обрамление пакетов не настолько велико, +многие реализации VPN имеют возможность компрессии данных.
>> PPPoE затрудняет только нелегальное использование шлюза, на обмен между клиентами не
>>влияет никак (имеется в виду один сегмент Ethernet).
>
>PPPoE - обычный dialup, имеющий еще кучу недостатков: пароль можно запросто стащить
>(PPPoE пользуется PAP и пароль проходит в plain text); связь прерывается
>(это все-таки РРР :Р); связь асинхронна (half-duplex: это все-таки РРР); РРР
>вешает свой overhead из-за особенностей протокола, вкл. MTU...
>
>>А вот предлженное Вами решение - УЖАС..недаром оно Вам не нравится
>>> SSL клиент на компе каждого, раз в минуту посылает свой ключ серверу и
>>> получает от него новый
>
>Предложеное решение работает прекрасно... и оно не нравиться мне по чисто "идеологическим",
>а не технически причинам. В техническом аспекте оно непробиваемо - в
>отличие от РРРоЕ.Ваше решение к сожалению имеет защиту класса "Неуловимый Джо"+серьезно напрягает сеть при росте кол-ва клиентов.
>>Управляемый switch конечно решает проблему, но не всегда есть возможность его поставить
>
>Интересно, почему? Из-за денег? Но если делать сервис, то делать его как
>надо...Именно из-за денег, из-за желания их оптимального расходования,
из-за протяженности и разнородности сети, из-за недостатка помещений, etc..
Причин может быть множество и часть уже перечисленна (см. предыдущие сообщения в теме) и кстати сервис это не только и не столько коммутационное оборудование.>не говоря уже о том, что управляемый switch дает еще
>кучу возможностей... подумайте только об включение multicast трафика (например, показ телевизионных
>и радио программ через сеть) и упраление всей сетью через IGMP...multicast как-то так нормальненько работает и без управляемых свичей,
а сетями люди управляют по SNMP..может Вы что-то другое имели в виду?Для показа телепрограмм по сети недостаточно уже ресурса медного кабеля,
вот когда хотя бы multy-mode кабель и SOHO-оборудование приблизятся по цене к нынешнему Ethernet, вот тогда можно уже говорить про DV-по-заказу,
conference и еще про очень много чего.Возвращаясь к теме :
Чтоб хакеру жизнь мёдом не казалась, в сети надо внедрять криптографию, тот-ж самый VPN,SecureIP,Ipv6(на выбор) с нормальной инфраструктурой ключей. И никуда от этого не дется - всё равно жизнь заставит. Да и защита вообще говоря бывает только комплексной..а по отдельности - всё полумеры;-)
Привет,>Справка : обрамление пакетов не настолько велико, + многие реализации VPN имеют возможность компрессии данных.
Какая вам польза, если уже качаете скомпрессированные данные? MPEG, JPEG - основной трафик любой енд-юзерской сети...
>Ваше решение к сожалению имеет защиту класса "Неуловимый Джо" + серьезно напрягает сеть при росте кол-ва клиентов.
Да, это так. Особого трафика оно не генерирует, но нагрузка на gateway растет существенно. Поэтому я всегда предпочитаяю управляемые switch-и.
>кстати сервис это не только и не столько коммутационное
>оборудование.Сервис в главной степени зависит от оборудования... если вы кладете под землю (или вешаете по деревьям) кабель для внутренней прокладки (он дешевле рааз в два, чем тот что надо)... то это конечно скажется на качестов сервиса - в палне отказа сети.
>multicast как-то так нормальненько работает и без управляемых свичей,
>а сетями люди управляют по SNMP..может Вы что-то другое имели в виду?Multicast работает и по нормальным switch-ам, но как тогда вы запретите некоторым юзерам получатьт тот трафик (например тем, которые не хотят платить за просмотр программ)? IGMP это вам легко позволит... Я имел ввиду не управления самими устройствами, а управление сервисами, которые вы предлагаете через сеть... ибо Интернет - давно уже не тот сервис, на котором можно заработать.. или если у вас все еще можна, то этому скоро придет конец. Интернет слишком дешев. Чтобы выжить, сети нужно предлагать сервисы - телефон, телевидение, видео по заказу... а это требует гибкости опорного оборудования.
>Для показа телепрограмм по сети недостаточно уже ресурса медного кабеля,
При multicast на телепрограмму хватает 1 Mbps. Если у вас опорная сеть работает на 1 Gbps, то не вижу чего опасаться... вы вряд ли станете вещать более 30-40 программ.
>Возвращаясь к теме :
> Чтоб хакеру жизнь мёдом не казалась, в сети надо внедрять криптографию,
>тот-ж самый VPN,SecureIP,Ipv6(на выбор) с нормальной инфраструктурой ключей. И никуда от
>этого не дется - всё равно жизнь заставит. Да и защита
>вообще говоря бывает только комплексной..а по отдельности - всё полумеры;-)Вообще-то да... что опять-таки сводиться к деньгям :)
WWell,
>Это я вас огорчу - не будут... щелкнете мышкой на Network Neighborhood,
>а там никого... и куча нещастных юзеров, которые вместо того, чтоб
>качать фильмы с компьютера соседа, теперь будут их качать по вашему
>же ИНтернет каналу...При небольшой донастройке на компе пользователя все прекрасно работает одновременно, так что ненадо раздувать из мухи слона.
Перехват пароля - криптовать пароли надо, кроме того вести логи с какого ИП+МАС коннектился какой логин, а при использовании нормальных свичей - так тув все вообще хорошо отслеживается
>
>>Это я вас огорчу - не будут... щелкнете мышкой на Network Neighborhood,
>>а там никого... и куча нещастных юзеров, которые вместо того, чтоб
>>качать фильмы с компьютера соседа, теперь будут их качать по вашему
>>же ИНтернет каналу...
>
>При небольшой донастройке на компе пользователя все прекрасно работает одновременно, так что
>ненадо раздувать из мухи слона.
>Перехват пароля - криптовать пароли надо, кроме того вести логи с какого
>ИП+МАС коннектился какой логин, а при использовании нормальных свичей - так
>тув все вообще хорошо отслеживаетсяПодскажите, очень плиз, что за донастройка, или дайте УРЛ.
Заранее грейт сенкс!
>Кстати, а каким боком cisco и dlink стали клиентами ? ;-)
>если вся эта сетка ходит через цисковский роутер, то и отталкиваться надо
>от его возможностей(точнее от своих финансов).
Как я уже говорил (вернее писал) все сеть ходит через PC-роутер с FreeBSD. Клиентами же стали Cisco и D-Link по той простой причине что подключается иногда не комп, а целая сетка и подключается она через роутеры у тех кто побогаче через Cisco 800/2600/1700, кто победнее D-Link или Linux/FreeBSD ну и разные виндовые варианты. Только для меня они все эти сетки выглядят как один клиент.
>>Кстати, а каким боком cisco и dlink стали клиентами ? ;-)
>>если вся эта сетка ходит через цисковский роутер, то и отталкиваться надо
>>от его возможностей(точнее от своих финансов).
>Как я уже говорил (вернее писал) все сеть ходит через PC-роутер с
>FreeBSD. Клиентами же стали Cisco и D-Link по той простой причине
>что подключается иногда не комп, а целая сетка и подключается она
>через роутеры у тех кто побогаче через Cisco 800/2600/1700, кто победнее
>D-Link или Linux/FreeBSD ну и разные виндовые варианты. Только для меня
>они все эти сетки выглядят как один клиент.
как я понимаю Вы весьма огранниченны в изменениях конфигурации и настроек сети ;[
ловля хацкера в ваших условиях, занятие довольно длительное, но интересное;)
* во первых Вам бы надо разделить частные хосты и подсети. То есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это именно он. Варианты :
- использовать туннели между роутерами (ipip gre и проч.)
- использовать косвенную информацию - например тем что на роутерах работает OSPF. (написать скрипт/программку которая эт. проверяет)
Далее ищем одного хакера в собственной сети..
(если их больше одного, то всё сильно усложняется)
* Долго и нудно собирать статистку от arpwatch - так как на шлюзе место мало, её надо перекидывать на отдельную машину. Далее запряч sed,awk,sql загнать её в удобоваримую базу. И анализировать,анализировать..
* Собственно надо выяснить реальный mac злыдня, и время его активности (предпочитаемое время суток, дни недели). Примерные мысли по анализу - mac адрес злоумышленника пропадает незадолго до атаки + скорее всего на его реальном mac всегда один и тот-же ip (то есть свой адрес он не подменяет).
Заодно выяснить типичный режим для остальных юзеров. Не помешает также список излюбленных жертв.
* составить базу действительных mac - то есть тех которые присутствуют в вашей сети. Если мальчик балуется со всяким, то возможно иногда выдаёт мас которого в сети физически нет, или mac от фантастичного производителя.
* поставить машинку, которая будет делать то-же что и мальчик, то есть иногда менять свои mac и ip - на заранее Вам известные. Смысл, чтобы хакер
воспользовался вашей парой mac-ip - по её неожиданному появлению в сети Вы
обнаружите его активность. (вообще honey-сервер очень даже не повредит в любой сети)
* написать скрипт который при появлении нового mac/ip разберет какая ось там работает (nmap в руки+база по пользователям) - если ВераИванна 63 лет вдруг пересела на BSD, то практически наверняка это не она, значит её атакуют, значит все прочие активные mac считаем реальными - вычеркиваем из списка подозрительных.Заодно высняем, дуалистов(у кого на машине более 1 ОС) ставим их под подозрение.
* практически наверняка перед подменой адресов(или постоянно) хакер 'слушает' сеть - переводит карту в promisc.. ищем тулзы для обнаружения promisc - ставим.
* следим за конфликтами ip/ip mac/mac - они точно указывают на похождения хацкера - его реальный mac при этом не отвечает. Причем наверняка за какое-то время до этого он был засвечен в сети.
* наконец когда круг подозреваемых стал достаточно узок, меням собственный график работы, чтобы в on-line видеть атаку. Тут уж подручными средствами придётся отсеивать оставшихся.
* (Долгожданный миг) Ищем (или пишем) тулзу блокирующую mac адрес. (искуственно вывзвать конфликт mac), максимально ухудшаем качество обслуживания для требуемого лица (бьем пакеты, задерживаем соединения и проч.) хулиганим по полной. Вообщем ждём возмущенного звонка ;-) При звонке проявляя виртуозность дипломата настаиваем на визите или встрече на нейтральной территории.
Далее - в зависимости от воображения и кровожадности ;-)
и _всё_ это мимо тазика если хакер воткнул со своей стороны свитч (10 у.е.) и вторую сетевую карту (3 у.е.). :(
>и _всё_ это мимо тазика если хакер воткнул со своей стороны свитч
>(10 у.е.) и вторую сетевую карту (3 у.е.). :(
хоть два свича - броадкасты всё равно ходят, mac`и вычисляются так-же..
со второй сетевой картой сложнее и дольше, но всё равно можно что-нить придумать,на что нить оперется в поисках..аналитика страшная вещь ;-)
а потом с вероятностью 90% это куль-хацкер школьного возраста, начитавшийся всякой лабуды..люди посерьезнее не будут тырить трафик у соседа и копошиться в локальной сетке.
Хотя в чём-то Вы правы - это всё будет мимо тазика, если ворог технически хорошо подкован.
Лучший админ - бывший хакер, самый страшный хакер - злой,опытный админ.
>>и _всё_ это мимо тазика если хакер воткнул со своей стороны свитч
>>(10 у.е.) и вторую сетевую карту (3 у.е.). :(
>хоть два свича - броадкасты всё равно ходят, mac`и вычисляются так-же..
>со второй сетевой картой сложнее и дольше, но всё равно можно что-нить
>придумать,на что нить оперется в поисках..аналитика страшная вещь ;-)
>а потом с вероятностью 90% это куль-хацкер школьного возраста, начитавшийся всякой лабуды..люди
>посерьезнее не будут тырить трафик у соседа и копошиться в локальной
>сетке.
>Хотя в чём-то Вы правы - это всё будет мимо тазика, если
>ворог технически хорошо подкован.
>Лучший админ - бывший хакер, самый страшный хакер - злой,опытный админ.ОС Linux-Slackware + 3 сетевые карты, 100% (из личного опыта) :_)
>>>и _всё_ это мимо тазика если хакер воткнул со своей стороны свитч
>>>(10 у.е.) и вторую сетевую карту (3 у.е.). :(
>>хоть два свича - броадкасты всё равно ходят, mac`и вычисляются так-же..
>>со второй сетевой картой сложнее и дольше, но всё равно можно что-нить
>>придумать,на что нить оперется в поисках..аналитика страшная вещь ;-)
>>а потом с вероятностью 90% это куль-хацкер школьного возраста, начитавшийся всякой лабуды..люди
>>посерьезнее не будут тырить трафик у соседа и копошиться в локальной
>>сетке.
>>Хотя в чём-то Вы правы - это всё будет мимо тазика, если
>>ворог технически хорошо подкован.
>>Лучший админ - бывший хакер, самый страшный хакер - злой,опытный админ.
>
>ОС Linux-Slackware + 3 сетевые карты, 100% (из личного опыта) :_)
Просто ловить тебя было некому и незачем ;-)
А так - ставится второй шлюз, персонально вам направляется, на любой попавший под подозрение адрес, icmp об изменении маршрута и если все две(три четыре) карты повелись - значит стоят они в одной машине и пользуются одной таблицей маршрутизации.
Практически универсальный способ - взять лаптоп и идти вдоль сети, периодически прослушивая активные порты, вы со своей стороны ну никак не заметите что вас ищут..времени уйдет - на дорогу вдоль сети + 10 мин на свич..
Так что не надо ля-ля - злыдни просто пользуются добродушием и ленью администраторов, и как говорит один мой знакомый 60~ лет "на любую хитрую ж.. найдется x.. с винтом" ;-)
>>>>и _всё_ это мимо тазика если хакер воткнул со своей стороны свитч
>>>>(10 у.е.) и вторую сетевую карту (3 у.е.). :(
>>>хоть два свича - броадкасты всё равно ходят, mac`и вычисляются так-же..
>>>со второй сетевой картой сложнее и дольше, но всё равно можно что-нить
>>>придумать,на что нить оперется в поисках..аналитика страшная вещь ;-)
>>>а потом с вероятностью 90% это куль-хацкер школьного возраста, начитавшийся всякой лабуды..люди
>>>посерьезнее не будут тырить трафик у соседа и копошиться в локальной
>>>сетке.
>>>Хотя в чём-то Вы правы - это всё будет мимо тазика, если
>>>ворог технически хорошо подкован.
>>>Лучший админ - бывший хакер, самый страшный хакер - злой,опытный админ.
>>
>>ОС Linux-Slackware + 3 сетевые карты, 100% (из личного опыта) :_)
>Просто ловить тебя было некому и незачем ;-)
>А так - ставится второй шлюз, персонально вам направляется, на любой попавший
>под подозрение адрес, icmp об изменении маршрута и если все две(три
>четыре) карты повелись - значит стоят они в одной машине и
>пользуются одной таблицей маршрутизации.
>Практически универсальный способ - взять лаптоп и идти вдоль сети, периодически прослушивая
>активные порты, вы со своей стороны ну никак не заметите что
>вас ищут..времени уйдет - на дорогу вдоль сети + 10 мин
>на свич..
>Так что не надо ля-ля - злыдни просто пользуются добродушием и ленью
>администраторов, и как говорит один мой знакомый 60~ лет "на любую
>хитрую ж.. найдется x.. с винтом" ;-)
Так оно так вот и лови, трать свое время, если тебе платят, как сказал предыдущий товарищ лучший админ-бывший хакер который знает способы защитится от себе подобных.
>как я понимаю Вы весьма огранниченны в изменениях конфигурации и настроек сети
>;[
>ловля хацкера в ваших условиях, занятие довольно длительное, но интересное;)
На всякий случай еще раз напоминаю что речь идет о 802.11b ("радиоэзернет").>* во первых Вам бы надо разделить частные хосты и подсети. То
>есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это
>именно он. Варианты :
> - использовать туннели между роутерами (ipip gre и проч.)
> - использовать косвенную информацию - например тем что на роутерах
>работает OSPF. (написать скрипт/программку которая эт. проверяет)
Не совсем понятен смысл сих действий. В большинстве случаев для меня один MAC - один клиент. Сеть это за роутером с натом или нет, мне это уже не важно.>Далее ищем одного хакера в собственной сети..
>(если их больше одного, то всё сильно усложняется)
Пока вроде один. :)>* Долго и нудно собирать статистку от arpwatch - так как на
>шлюзе место мало, её надо перекидывать на отдельную машину. Далее запряч
>sed,awk,sql загнать её в удобоваримую базу. И анализировать,анализировать..
>* Собственно надо выяснить реальный mac злыдня, и время его активности (предпочитаемое
>время суток, дни недели).
Ситуация тут такова, что скорее всего MAC он подделывает, ибо выходит в сеть с маком карты из моего ноутбука, которая прописана на точке доступа (Cisco AIR-AP352). Естественно карта и ноутбук в этот момент лежат в сейфе и никуда выходить не могут. :) Клиентов на этой точке немного, но скорее всего это не они, а кто-то со стороны (просканировать эфир 802.11b не так уж сложно - было бы желание). IP соответственно подставлялся тоже от ноутбука, но были попытки подстановки и других адресов.>Примерные мысли по анализу - mac адрес
>злоумышленника пропадает незадолго до атаки + скорее всего на его реальном
>mac всегда один и тот-же ip (то есть свой адрес он
>не подменяет).
>Заодно выяснить типичный режим для остальных юзеров. Не помешает также список излюбленных
>жертв.
>* составить базу действительных mac - то есть тех которые присутствуют в
>вашей сети.
Т.к. клиентов на точке всего с десяток и все их мак-адреса прописываются в списках доступа, то тут особо не забалуешь.> Если мальчик балуется со всяким, то возможно иногда выдаёт
>мас которого в сети физически нет, или mac от фантастичного производителя.
По описанным выше причинам сие не имеет место.>
>* поставить машинку, которая будет делать то-же что и мальчик, то есть
>иногда менять свои mac и ip - на заранее Вам известные.
>Смысл, чтобы хакер
>воспользовался вашей парой mac-ip - по её неожиданному появлению в сети Вы
>
>обнаружите его активность. (вообще honey-сервер очень даже не повредит в любой сети)
>
>* написать скрипт который при появлении нового mac/ip разберет какая ось там
>работает (nmap в руки+база по пользователям) - если ВераИванна 63 лет
>вдруг пересела на BSD, то практически наверняка это не она, значит
>её атакуют, значит все прочие активные mac считаем реальными - вычеркиваем
>из списка подозрительных.Заодно высняем, дуалистов(у кого на машине более 1 ОС)
>ставим их под подозрение.
>* практически наверняка перед подменой адресов(или постоянно) хакер 'слушает' сеть - переводит
>карту в promisc.. ищем тулзы для обнаружения promisc - ставим.
Как оно в 802.11b интересно живет?>* следим за конфликтами ip/ip mac/mac - они точно указывают на похождения
>хацкера - его реальный mac при этом не отвечает. Причем наверняка
>за какое-то время до этого он был засвечен в сети.
>* наконец когда круг подозреваемых стал достаточно узок, меням собственный график работы,
>чтобы в on-line видеть атаку. Тут уж подручными средствами придётся отсеивать
>оставшихся.
>* (Долгожданный миг) Ищем (или пишем) тулзу блокирующую mac адрес. (искуственно вывзвать
>конфликт mac), максимально ухудшаем качество обслуживания для требуемого лица (бьем пакеты,
>задерживаем соединения и проч.) хулиганим по полной. Вообщем ждём возмущенного звонка
>;-) При звонке проявляя виртуозность дипломата настаиваем на визите или встрече
>на нейтральной территории.
>Далее - в зависимости от воображения и кровожадности ;-)
Это все хорошо, но если исходить из того, что хакер из легальных пользователей сети, а если нет? Заблокировать мак и ip - так как они для тестового бука - дело пяти минут, но это не решит проблемы...
>На всякий случай еще раз напоминаю что речь идет о 802.11b ("радиоэзернет").Если это радио, да еще и такое обширное, то канал однозначно надо шифровать, а то у ваших пользователей завтра и пароли все просканят и прочую информацию, причем даже не включаясь в сеть, а только слушая.
Если бы у вас это был кабель, то еще есть смысл искать нарушителя, т.к. к нему по кабелю можно дойти, а так что вам это даст?
В лучшем случае, если его и найдут, он через неделю просто нарушит работу сети, генерируя вместо мака шлюза свой собственный.
>>* во первых Вам бы надо разделить частные хосты и подсети. То
>>есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это
>>именно он. Варианты :
>> - использовать туннели между роутерами (ipip gre и проч.)
>> - использовать косвенную информацию - например тем что на роутерах
>>работает OSPF. (написать скрипт/программку которая эт. проверяет)
>Не совсем понятен смысл сих действий. В большинстве случаев для меня один
>MAC - один клиент. Сеть это за роутером с натом или
>нет, мне это уже не важно.
Тут дело в том, что можно отличить Роутер Cisco от, скажем линуха, особенно, если точно извесно, что на этом роутере есть, скажем ftp (или любой другой сервис, наличее которого можно проверить)
+ я на все свои PC-роутеры и роутеры подключенных сеток ставлю свою собственную утилиту, которая,в том числе, дает возможность убедится в наличии/живости этого роутера.
>
>>Далее ищем одного хакера в собственной сети..
>>(если их больше одного, то всё сильно усложняется)
>Пока вроде один. :)
>
Мне кажется, что, в корне не правильный подход - ИСКАТЬ вломщика. Такого рода проблеммы нужно предоствращать, как было сказанно выше, коплексом мер.Я вижу несколько вариантов:
1. VPN. притом в 2 вариантах - тольлко для доступа раздачи интернета и дргих платных ресурсов. или для доступа в саму _сеть_ (это, ИМХО, слишком дорогостоящее и не практичное решение)
2. Комплекс
- привязка mac-ip (даже не обсуждается)
- авторизатор (обмен ключами с клиентом)
- проверки заведомо извесных машин и устройств (как было сказанно выше)
естесвенно, это не полный список.
3. "Умные" свитчи - это дорогостоящее, но на мой взкляд 100%-ное решение.PS. я, в данный момент, пишу авторизатор и если кому-нибуть нужно дам исходники.
>
>>>* во первых Вам бы надо разделить частные хосты и подсети. То
>>>есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это
>>>именно он. Варианты :
>>> - использовать туннели между роутерами (ipip gre и проч.)
>>> - использовать косвенную информацию - например тем что на роутерах
>>>работает OSPF. (написать скрипт/программку которая эт. проверяет)
>>Не совсем понятен смысл сих действий. В большинстве случаев для меня один
>>MAC - один клиент. Сеть это за роутером с натом или
>>нет, мне это уже не важно.
>Тут дело в том, что можно отличить Роутер Cisco от, скажем
>линуха, особенно, если точно извесно, что на этом роутере есть, скажем
>ftp (или любой другой сервис, наличее которого можно проверить)
>+ я на все свои PC-роутеры и роутеры подключенных сеток ставлю свою
>собственную утилиту, которая,в том числе, дает возможность убедится в наличии/живости этого
>роутера.
>
>>
>>>Далее ищем одного хакера в собственной сети..
>>>(если их больше одного, то всё сильно усложняется)
>>Пока вроде один. :)
>>
>Мне кажется, что, в корне не правильный подход - ИСКАТЬ вломщика. Такого
>рода проблеммы нужно предоствращать, как было сказанно выше, коплексом мер.
естественно по уму - надо бороться с причиной ;-)
профилактика дешевле лечения ;-)
Просто один из вопросов в теме был - КАК ПОЙМАТЬ, какие варианты.
>
>Я вижу несколько вариантов:
>1. VPN. притом в 2 вариантах - тольлко для доступа раздачи интернета
>и дргих платных ресурсов. или для доступа в саму _сеть_ (это,
>ИМХО, слишком дорогостоящее и не практичное решение)
>2. Комплекс
> - привязка mac-ip (даже не обсуждается)
> - авторизатор (обмен ключами с клиентом)
> - проверки заведомо извесных машин и устройств (как было сказанно выше)
>
> естесвенно, это не полный список.
>3. "Умные" свитчи - это дорогостоящее, но на мой взкляд 100%-ное решение.
>
>
>PS. я, в данный момент, пишу авторизатор и если кому-нибуть нужно дам
>исходники.
А что/кого он авторизует? и главное как ??
аторизует клиетнские машины.
алорим пока ещё в разработке.
сейчас реализован такой вариант:Спросили у пользователя логин/пароль
Открыли соединние -> получили временный ключ -> зашифровали ключем пароль передали логин/шифрованниый пароль -> получили идентификатор сессии -> запрашиваем у сервера подключить услугу (итрернет, например) ->
закрыли соединение;каждые $t минут шлем логин и идентификатор сессии (если в течении $t*2 сервер не получил, то клиенту все отключается)
По сигналу от пользователя соединяемя, даем идентификатор,запрашиваем у сервера отключить услугу;есть сервер под UNIX на perl-е, запускаемый под tcpserver. сейчас переписываю без супер-сервера.
написать клиет для unix дело одного дня.
есть не законченный клиент под Windows на Delphi (плохо у меня с программирование под win)есть вариант сдеать постоянное tcp-соединение (те - пока есть соединение - есть услуга)
и есть идея запустить все это поверх SSL
>аторизует клиетнские машины.
>алорим пока ещё в разработке.
>сейчас реализован такой вариант:
>
>Спросили у пользователя логин/пароль
>Открыли соединние -> получили временный ключ -> зашифровали ключем пароль передали логин/шифрованниый пароль -> получили идентификатор сессии -> запрашиваем у сервера подключить услугу (итрернет, например) ->
>закрыли соединение;
>
>каждые $t минут шлем логин и идентификатор сессии (если в течении $t*2
>сервер не получил, то клиенту все отключается)
>
>По сигналу от пользователя соединяемя, даем идентификатор,запрашиваем у сервера отключить услугу;
>
>есть сервер под UNIX на perl-е, запускаемый под tcpserver. сейчас переписываю без
>супер-сервера.
>написать клиет для unix дело одного дня.
>есть не законченный клиент под Windows на Delphi (плохо у меня с
>программирование под win)
>
>есть вариант сдеать постоянное tcp-соединение (те - пока есть соединение - есть
>услуга)
>и есть идея запустить все это поверх SSL
А как генерится временный ключ ?
а обратная авторизация ?
(кстати если поверх SSL - то это всё лишнее - эти действия делает SSL,
а то получится масло-масленное)
могу помоч с алгоритмом - когда-то раньше делал протокол взаимной
авторизации.
max_kma (at) mail.ru
для временных ключей использую md5
алгоритм такой:
временный ключ:
$temp_key = md5_hex((int(rand(900000000)));$test_key = md5_hex(md5_hex($password).$temp_key);
обратной авторизации пока нет. из идей - зашить ssl ключ в клиента.
и ещё - на счет SSL.
это можно назвать параноей, а можно избыточностью.
как мне кажется - SSL нужен для:
- безосаной передачи логина, временных ключей и идетнификатора сесси
(если их много наловить, то можно подобрать пароль )
- обратной идентификации клиентом сервера (те то, что мы коннектимся именно к тому, к чему должы ), если я правильно понимаю механизм работы SSL
pppoe использует авторизацию и чап и пап)
такая проблема и уменя, по наследству досталась сеть очень большая прозрачная около 1000 машин все в одном влане седят,
подмена МАК ИП частое дело, каждый карапуз уже знает=)
лечиться двумя способами(может и тремя)
1. Используем упровляемое оборудование на всех сегментах сети
грубо говоря едрим порт секьюрити (если каталиста то там все просто)
2. Используем средства автоизации пользователей
тут как можно просто едрануть окошко с проверкой логина пароля и вслучае ОК делать доступ,
можно делать ПППтП он же ВПН (будут проблемы с карапузами) т.е. говоря колхозным языком тунелировать трафик о тклиента до точки доступа
можно делать ПППоЕ но оно работет иначе, клиен пппое броадкастом сам ищет сервис...если сетей много...а впн соединяется на конкретный хост
но влюбом случае будут проблемы с роутингом, это все как диалап вы дозванились сменился шлюз поумолчанию ...с соседом в квейк не получица поиграть т.к. он уже в другой сети какбы...
>территории города и области. Клиенты самые разные: Linux/FreeBSD/Win95/Win98/WinME/Win2K/WinME/Cisco/Dlink. Что можно использовать?
>PPPoE? На сколько без проблем его можно использовать в среде сPPPoE точно может работать со всеми ОС перечисленными выше, кроме, может быть Win95, на всех остальных работает точно.
С цисками и свитчами скорее всего ничего не получится. PPPoE может некоторое оборудование Dlink, по крайней мере Dlink его так анонсирует. Некоторые циски могут работать как коллекторы, т.е. как аксесс сервера, но вот как клиенты - хз.