The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Организация защиты от подмены IP адреса"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Скрипты, настройки и файлы конфигурации. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Организация защиты от подмены IP адреса" 
Сообщение от darckly emailИскать по авторуВ закладки on 03-Окт-02, 12:50  (MSK)

Как можно не допустить подмену IP адреса на чужой машине? Раньше эта проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через arp -s, но теперь встретился с фактом, что можно на некоторых картах прямо в их настройках вручную изменять MAC. Можно ли как-либо ещё что-то сделать, чтобы избежать такого проникновения?
  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Volodymyr emailИскать по авторуВ закладки on 07-Окт-02, 10:21  (MSK)
Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC. То есть карточка привязана к порту. Это могут Cisco Catalyst. Про остальных вендоров не в курсе.

>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Организация защиты от подмены IP адреса" 
Сообщение от darckly emailИскать по авторуВ закладки on 07-Окт-02, 19:48  (MSK)
>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>остальных вендоров не в курсе.
>

Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно допустить, что на каком-либо свиче в то время, пока реальный хозяин отсутствует, может быть произведёно нелегальное подключение в тот же порт. Как я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку идентифицироваться под другим именем.
Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка иного мака уже идёт програмно. Вот и призадумался, можно ли получить "реальный" адрес сетевой в обход программному?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Организация защиты от подмены IP адреса" 
Сообщение от LS emailИскать по авторуВ закладки on 07-Окт-02, 23:09  (MSK)
>>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>>остальных вендоров не в курсе.
>>
>
>Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое
>пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно
>допустить, что на каком-либо свиче в то время, пока реальный хозяин
>отсутствует, может быть произведёно нелегальное подключение в тот же порт.

Общие мысли:

Если клиент имеет возможность изменять физическую структуру сети (т.е. грубо говоря отключиться от одного порта такого "умного" свича и подсоединиться к другому с подменой mac адреса сетевой карты), то единственный на мой взгяд выход, который обеспечивает достаточную надежность - это аутентификация клиента при подключении.

После аутентификации выдать ему определенный IP, и на его основе биллинговать клиента в течении сесии. Другие варианты в исходных условиях задачи по моему не применимы (хотя может быть я их просто не вижу).

Общий ход мысли прост - если клиент может менять все исходные условия задачи (mac, ip, место подключения в физической структуре сети), то нет возможности опираться на эти изначально ненадежные параметры, и единственная возможность достоверно определить клиента - старый дедовский способ - логин+пароль.

В результате вырисовывается хорошо известный механизм AAA - Authentication (опознавание клиента - в простейшем случае опять же логин+пароль), Authorizatition (назначение клиенту ресурсов/параметров соединения, которые он может использовать - в частности IP), Accounting (подсчет ресурсов, использованных клиентом, на основании выданных ему параметров соединения - в частности на основании выданного IP)


Как
>я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку
>идентифицироваться под другим именем.
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
>Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка
>иного мака уже идёт програмно. Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Организация защиты от подмены IP адреса" 
Сообщение от artcode Искать по авторуВ закладки on 08-Окт-02, 08:18  (MSK)
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.

Как вариант можно подключить аутентификацию через squid, socks прокси или активировать подключение по PPPOE или PPTP. Тогла о MAC и IP можно не беспокоится, но вылазит другая проблема - как предотвратить перехват пароля пользовтеля.
1. Перехват на машине пользователя, путем раскопки его локальных файлов содержащих запомненный пароль или установки перехватчика вводимых с клавиатуры символов. Как решение - жесткое паролирование машин пользователей.
2. Перехват сниффером. Решается подключением через IPSEC или PPTP, но если машин много -это не совсем эффективно и излишне ресурсоемко. Подключать каждую машину к свичу, тоже не выход - появислоь куча снифферов, которые и при подключении к свичу все что угодно заснифят, путем той же подмены MAC адреса и введения свича в заблуждение - в итоге опять пришли от чего отталкивались - привязка MAC к порту свича.

> Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?

Думаю, что нет.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "небольшая подсказка по защите от смены MAC адреса для свичей..." 
Сообщение от uldus Искать по авторуВ закладки on 07-Окт-02, 10:58  (MSK)
Пример фильтрации по MAC адресу для свичей Cisco Catalyst.

Привязка к MAC адресу:
   mac-address-table secure <mac> <port> [vlan N]
Пример: mac-address-table secure 0007.0eaa.3f10 FastEthernet0/1
(См. также mac-address-table static ...)

Посмотреть таблицу MAC адресов можно через:
   sh mac-address-table

Почистить таблицу MAC адресов:
   clear mac-address-table


Ограничение числа MAC-адресов:
   interface FastEthernet0/1
      port security max-mac-count 1
      port security action <trap|shutdown>

trap - генерировать трап при превышении max-mac-count
shutdown - гасить интрефейс при превышении max-mac-count

Защита от флуда (ограничение большого числа broadcast, unicast или multicast пакетов):
    interface FastEthernet0/1
       port block multicast
       port block unicast
       port storm-control broadcast
       port storm-control trap

Просмотр:
    show port storm-control
    show port block

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "использование vlan'ов" 
Сообщение от uldus Искать по авторуВ закладки on 07-Окт-02, 12:28  (MSK)
Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до ближайшего рутера, а там просто не пропускаем во вне ничеко кроме положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор.
На своей машине юзер прописывает ip 192.168.1.10, ip шлюза 192.168.1.9):
На свиче (Cisco Catalyst):
   interface VLAN1
      ip address 192.168.1.1 255.255.255.0
      no ip directed-broadcast
      no ip route-cache

   interface FastEthernet0/1
      switchport access vlan 2

На рутере (тоже Cisco):
   interface FastEthernet0/0.1
      encapsulation dot1Q 2
      ip address 192.168.1.9 255.255.255.252
      ip access-group user2-in in
      ip access-group user2-out out

   ip access-list extended user2-in
      permit ip 192.168.1.8 0.0.0.3 any
      deny   ip any any
   ip access-list extended user2-out
      permit ip any 192.168.1.8 0.0.0.3                                      
      deny   ip any any log


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: использование vlan'ов" 
Сообщение от Hurricane emailИскать по авторуВ закладки on 07-Окт-02, 17:53  (MSK)
VPN
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: использование vlan'ов" 
Сообщение от darckly emailИскать по авторуВ закладки on 07-Окт-02, 19:53  (MSK)
>VPN
Чуть подробнее можно?
Просто не знаю, где в Virtual Private Network можно не допустить подмены IP?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: использование vlan'ов" 
Сообщение от Hurricane emailИскать по авторуВ закладки on 08-Окт-02, 00:09  (MSK)
>>VPN
>Чуть подробнее можно?
>Просто не знаю, где в Virtual Private Network можно не допустить подмены
>IP?

Не надо опираться на IP ... И на MAC .. По протоколу VPN происходит авторизация клиента в сети и создается частное соеденение .. То есть я могу прийти к другу и посидеть у него, за свой счет Ж)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: использование vlan'ов" 
Сообщение от Sergei Batakov Искать по авторуВ закладки on 11-Окт-02, 14:21  (MSK)
>Кстати, самый простой и дейтсвенный способ я забыл упомянуть: Прокидываем vlan до
>ближайшего рутера, а там просто не пропускаем во вне ничеко кроме
>положенного IP. Недостаток метода: нужен достаточно мощный маршрутизатор.
Это верно, но можно и Unix  машину с поддержкой VLAN, и сделать тоже самое на РС. :)
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Организация защиты от подмены IP адреса" 
Сообщение от appc emailИскать по авторуВ закладки on 10-Окт-02, 15:52  (MSK)
У нас в домашней сети тоже люди есть которые умеют МАС Адрес менять. Одна половина из них это администраторы, другая их друзья ... :).

Вобщем у нас Админы сделали так ... Логин привязали к IP, IP привязали к МАС адресу. Все со своими логинами и паролями с помощью Secure CRT по протоколу SSH2 конектятся на шлюз, а там добавляется правило в фаерволе которое пускает на время открытой сесии в интернет. И они считают что свой пароль ты должен охранять сам, т.е. если похерил свой пароль, то сам виноват.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "RE: Организация защиты от подмены IP адреса" 
Сообщение от mcgru Искать по авторуВ закладки on 31-Окт-02, 13:49  (MSK)
>т.е. если похерил свой пароль, то сам виноват.

ага,
из-под W'98 не входить,
из-под NT входить - а впрочем тоже:
можно запустить программулину которая запоминает в каком приложении какие клавиши нажимались :)


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

35. "RE: Организация защиты от подмены IP адреса" 
Сообщение от ak emailИскать по авторуВ закладки on 21-Июн-03, 02:17  (MSK)
Ага, половина в сети админы, вторая - друзья, а с кого тогда деньги брать? Довольно неудобный способ. pptp проще, многоплатформенный и народ простой к нему быстро привыкает - очень уж на модем похоже.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Организация защиты от подмены IP адреса" 
Сообщение от VDaxer emailИскать по авторуВ закладки on 10-Окт-02, 23:35  (MSK)
может частично сможети помочь arpwatch - если чел не додумается вырубить сетевуху, то есть возможность засечь смену ip/mac

А вообще, имхо, самый реальный подход - конект через ssh к роутеру, как это описано в handsbook - http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/openssh.html.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Организация защиты от подмены IP адреса" 
Сообщение от uldus Искать по авторуВ закладки on 11-Окт-02, 10:09  (MSK)
>может частично сможети помочь arpwatch

В том то и дело, что проблема решается лишь частично, через грамотную организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
Но если пользователь поменяет MAC и IP адреса на MAC и IP соседа, у которого выключена машина, то arpwatch технология не обнаружит такую подмену. Если нужно просто отследить попытки самовольной смены/присвоения IP адресов - то arpwatch (http://online.securityfocus.com/tools/142) весьма неплохое решение.

PS. Недавно натолкнулся на новую, весьма интересную, систему мониторинга http://www.conostix.com/ipfc/

>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,

Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "RE: Организация защиты от подмены IP адреса" 
Сообщение от mimohodom emailИскать по авторуВ закладки on 11-Окт-02, 23:50  (MSK)
У нас это организовано так:
Есть DHCP сервер,
он при включении машины отдает тебе фейковый адрес,
Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет
с помощью Radius'a пускать\не пускать....

работало даже на P1 2x133...
и сети на 30 машин....

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Вадим Искать по авторуВ закладки on 12-Окт-02, 12:46  (MSK)
>У нас это организовано так:
>Есть DHCP сервер,
>он при включении машины отдает тебе фейковый адрес,
>Затем, ты по VPN'у подключаешься к серверу(с помощью логина\пароля), который проверяет
>с помощью Radius'a пускать\не пускать....

Если не сложно, приведи примеры твоих конфигов, покажи как у тебя настроено. Очень интересно посмотреть, я только начинаю настраивать подобную инфраструктуру, посмотреть на уже работающий вариант было бы просто замечательно, возможно многим поможет избежать наступлений на одни и теже грабли.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "RE: Организация защиты от подмены IP адреса" 
Сообщение от gara emailИскать по авторуВ закладки on 22-Окт-02, 14:40  (MSK)
>В том то и дело, что проблема решается лишь частично, через грамотную
>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>
>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.
>
IPSEC или PPTP седает много ресурсов.

Мы делаем делать еще проще(в процессе написания):
пишим клиент под win32
сервер под unix.
при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на соеденение)  и если все ок. открывает файрвол.

если кому интересно можно обсудить по e-mail.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "RE: Организация защиты от подмены IP адреса" 
Сообщение от qq Искать по авторуВ закладки on 27-Окт-02, 22:13  (MSK)
>>В том то и дело, что проблема решается лишь частично, через грамотную
>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>>
>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.
>>
>IPSEC или PPTP седает много ресурсов.
>
>Мы делаем делать еще проще(в процессе написания):
>пишим клиент под win32
>сервер под unix.
>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин
>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на
>соеденение)  и если все ок. открывает файрвол.
>
>если кому интересно можно обсудить по e-mail.

однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети, и подменив свой mac/ip может создать туннель к примеру через udp, и пустить через этот туннель ppp. И ничто в большинстве случаев не укажет работающему в сети легальному пользователю, что у него воруют траффик.
конечно можно написать драйвер (или патч к ядру, или может прогу на libpcap, хотя это спорно), который будет слушать пакеты в сети, и выявлять пакеты со своим source mac адресом, но которые хост не отправлял в течение последнего времени, предпринимая адекватные действия. Однако надо еще написать такой драйвер под все клиентские системы, да и ресурсов проца это может сожрать неплохо если будет большой траффик в сети

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "RE: Организация защиты от подмены IP адреса" 
Сообщение от gara emailИскать по авторуВ закладки on 27-Окт-02, 23:07  (MSK)

>однако при таком раскладе злоумышленник, имея доступ к хосту снаружи вашей сети,
>и подменив свой mac/ip может создать туннель к примеру через udp,
>и пустить через этот туннель ppp. И ничто в большинстве случаев
>не укажет работающему в сети легальному пользователю, что у него воруют
>траффик.
.....
Небоглибы вы отредактировать предыдущее послание а то непонятно коментарием к какой теме(методике) он идет.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "RE: Организация защиты от подмены IP адреса" 
Сообщение от qq Искать по авторуВ закладки on 28-Окт-02, 12:55  (MSK)
это был комментарий к методу с программой авторизациии, когда после авторизации доступ юзеру открывается файрволом

а вообще, при условии что сеть на хабах и нет pptp,ipsec или pppoe, кража траффика возможна , хоть как ты изощряйся.
так как входящие пакеты приходят всем компам в сети, и можно слать информацию любому из них, а то и всем сразу, и собирать это ловлей пакетов с проверкой, какие были отправлены специально для тебя (программой, которую для этого придется написать и которая будет работать на хосте в инете)


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "RE: Организация защиты от подмены IP адреса" 
Сообщение от gara emailИскать по авторуВ закладки on 28-Окт-02, 13:48  (MSK)
>это был комментарий к методу с программой авторизациии, когда после авторизации доступ
>юзеру открывается файрволом
>
>а вообще, при условии что сеть на хабах и нет pptp,ipsec или
>pppoe, кража траффика возможна ,
Согласен но c программой авторизации становится сложнее на порядок а то и на 2.
Другими словами если человек такой крутой спец что может сломать все.
то он не будет заниматься кражей трафика. ему проще и его купить. т.к. з/п у него должнабыть высокой. если это не так то фраер он :)))

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

36. "RE: Организация защиты от подмены IP адреса" 
Сообщение от tikkit emailИскать по авторуВ закладки on 03-Фев-04, 19:27  (MSK)
>>В том то и дело, что проблема решается лишь частично, через грамотную
>>организацию системы мониторинга. Но это может оказаться на порядок проще и дешевле, чем организовывать VPN или делать фиксацию MAC адреса на порту.
>>>А вообще, имхо, самый реальный подход - конект через ssh к роутеру,
>>
>>Это наколеночный метод, для обычных виндовых юзеров ssh туннель не поднять, и
>>к тому же  слишком ресурсоемко. Выход в IPSEC или PPTP.
>>
>IPSEC или PPTP седает много ресурсов.
>
>Мы делаем делать еще проще(в процессе написания):
>пишим клиент под win32
>сервер под unix.
>при старте клиент конектиться к серверу по защищенному протоколу. гворит свой логин
>пароль. сервер конектиться к БД, проводит авторизацию(+ip откуда посткпил запрос на
>соеденение)  и если все ок. открывает файрвол.
А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-та
>если кому интересно можно обсудить по e-mail.
tikkit@yandex.ru

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

38. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Wandering Star emailИскать по авторуВ закладки on 23-Фев-05, 13:16  (MSK)
>А как фаревол открывать? и закрывать для конкретного пользователя?... приведите пример пож-та

Я это пытаюсь реализовать так: серверная часть на с++ форчится, а потом экзеком просто выполняет следующую команду:
iptables -I iptables_chain -s client_ip -j ACCEPT
iptables -I iptables_chain -d client_ip -j ACCEPT
это естественно самый примитивный вариант, без маркировки пакетов и проч.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Maxim Chirkov emailИскать по авторуВ закладки on 16-Окт-02, 12:29  (MSK)
Работа с VLAN и ограничения полосы пропускания под Linux

В статье "Узел доступа с применением VLAN и ограничения полосы пропускания (Shaping)" описывается решение проблемы изоляции аппаратуры клиентов друг от друга с одновременным предоставлением доступа к единому каналу доступа в интернет для потребителей через применение коммутатора второго уровня с поддержкой 802.1Q (VLAN).

http://www.opennet.me/docs/RUS/vlan_solution/index.html

Организация доступа клиентов с применением технологии VPN и тунеллирования

В статье описана технология организации виртуального канала, между потребителем и сервером доступа с использованием существующей IP инфраструктуры. При этом для организации туннеля со стороны пользователя требуется знание учетной записи и пароля. Серверная часть реализуется на Linux, клиентская часть под Linux или Windows.

http://www.opennet.me/docs/RUS/vpn_solution/index.html

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "RE: Организация защиты от подмены IP адреса" 
Сообщение от jr emailИскать по авторуВ закладки on 18-Ноя-02, 17:59  (MSK)
Для развия темы: для конфигурации freebsd/linux + pptp хотелось бы узнать, насколько мощное железо нужно для 10, 20, 30 и т.д. активных пользователей с шифрованием и без шифрования pptp туннеля? Просто приведите примеры из жизни у кого так работают шлюзы...
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "RE: Организация защиты от подмены IP адреса" 
Сообщение от irish2000 emailИскать по авторуВ закладки on 22-Ноя-02, 13:33  (MSK)
>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?

Я сделал так:
Для пользователей под маскарадингом все просто -
1. Открывается аккаунт, пользователю шеллом ставится intmasq (см ниже)
2. Скрипт billmas в кроне на одну минуту по циклу
3. Каталог юзверя содержит:
intmasq
userdata
flag
----------
intmasq:

#! /usr/bin/perl -w
#programma START/STOP Inet
open (flags1,"/home/user/flag.txt");
$usl = <flags1>;
if ($usl == 1){
print "Inet DOWN";
open(flags1,">/home/user/flag.txt"); #esli flag=1 to NET vkluchen - otkluchaem
print flags1 0,"\n"; #sbrasivaem flag
close(flags1);
open (userfile1,"> /home/user/userdata"); #ustanavlivaem flag dla billmas.pl
print userfile1 0 , "\n"; #otrubaem NET
close userfile1;
}
else{
print "Inet UP";
open(flags1,">/home/user/flag.txt"); #NET vikluchen - vkluchaem
print flags1 1,"\n"; #ustanavlivaem flag
close(flags1);
open (userfile1,"> /home/user/userdata");
print userfile1 1 , "\n";
close userfile1;
  }
-------------
billmas:
#! /usr/bin/perl -w
# Eta programma vipolnaetsa pod ROOT i vkl/vikl cepochki IPCHAINS
# po zapusku skriptov START/STOP v katalogah polzovatelej
# Etot variant TOLKO DLA MASKARADINGA!
system ("ipchains -L forward -n -v > /internet/forward.txt");
open (datafile1, "/internet/forward.txt") || die "Fuck off!!!";

OUTER:
system ("/sbin/ipchains -L output -n -v > /internet/chains.txt");
open (userfile4, "/home/user/userdata") || die;
$data = <userfile4>;
close (userfile4);
if ($data==1) { #
    while (defined ($line = <datafile1>))
    {
    chomp $line;
    #ichem sovpadenie
    if ($line =~ /\b192.168.1.2\b/) {
    print "inet UP - not duble";
    goto dfg56rtmetka;
    };
    }
open (userfile1, ">> /internet/userstat") || die; #
print userfile1 "----------" , "\n"  ;                 #
close (userfile1); #

system ("date >> /internet/userstat"); #pishem datu vhoda v Inet
system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp");

open (traf1, "/internet/statuser/user/tmp.grp") || die; #blok zapisi statistiki START
$line=<traf1>;
close(traf1);

open (userfile1, ">> /internet/userstat") || die; #
print userfile1 $line;                 #
close (userfile1); #

open (userfile2, "> /home/user/userdata") || die; #
print userfile2 2 , "\n"  ;                 #pishem flag "NOP"
close (userfile2); #
system ("/sbin/ipchains -A forward -i eth0 -s 192.168.1.2 -j MASQ") #razreshaem MASQ
};

if ($data==0) { #flag vihoda iz Inet
system ("/bin/grep 192.168.1.2 /internet/chains.txt > /internet/statuser/user/tmp.grp");

open (traf1, "/internet/statuser/user/tmp.grp") || die; #blok zapisi statistiki START
$line=<traf1>;
close(traf1);
open (userfile1, ">> /internet/userstat") || die; #
print userfile1 $line;                 #
close (userfile1); #

system ("date >> /internet/userstat"); #

open (userfile3, "> /home/user/userdata") || die; #
print userfile3 2 , "\n"  ; #
close (userfile3); #
system ("/sbin/ipchains -D forward -i eth0 -s 192.168.1.2 -j MASQ") #zaprechaem MASQ
};
#------------------------------------------------------------------------------
Авторизация юзеров по SSH , не коннектясь на сервер лазят только внутри локалки...
Скрипты написаны коряво конечно, но программер я хреновый...


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "RE: Организация защиты от подмены IP адреса" 
Сообщение от zond Искать по авторуВ закладки on 01-Янв-03, 23:28  (MSK)
Есть такой вариант:
юзер входит в свою статистику по http
с авторизацией по паролю типа mod_auth_pam-1.0a.
там вкл выход в инет запуском скрипта по
ссылке.
Скрипт проверяет юзера и ip елси ок
выставляет в SQL базу ip, name, поле проверки и тп.

В памяти серва крутится др скрипт типа
while (.T.){
....
wait 5
}
который проверяет базу SQL на наличие
новых юзеров и выставляет аккаунт новым

Через крон через n минут запускать проверку
работы юзера в инет, если не работал и есть аккаунт
убираем аккаунты.

Вариантом можно сделать что бы юзер мог сам
выключить выход в инет (типа закрой дверь быстрей).

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "RE: Организация защиты от подмены IP адреса" 
Сообщение от gara emailИскать по авторуВ закладки on 02-Янв-03, 01:04  (MSK)
>Вариантом можно сделать что бы юзер мог сам
>выключить выход в инет (типа закрой дверь быстрей).

Предложенная вами схема даавно работает!!!
сделайте поиск по форуму.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "RE: Организация защиты от подмены IP адреса" 
Сообщение от gara emailИскать по авторуВ закладки on 02-Янв-03, 01:07  (MSK)
>>Вариантом можно сделать что бы юзер мог сам
>>выключить выход в инет (типа закрой дверь быстрей).
>
Предложенная вами схема даавно работает!!!
сделайте поиск по форуму.

Даже написан клиент на c++ под free  который смотрит в базу mysql и сам прописывает в ядро правила ipfw.


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Vladislav emailИскать по авторуВ закладки on 02-Янв-03, 01:16  (MSK)
>>>Вариантом можно сделать что бы юзер мог сам
>>>выключить выход в инет (типа закрой дверь быстрей).
>>
>Предложенная вами схема даавно работает!!!
>сделайте поиск по форуму.
>
>Даже написан клиент на c++ под free  который смотрит в базу
>mysql и сам прописывает в ядро правила ipfw.

Не хочу никого обидеть, но на админов вы не сильно похожи, да и не программистов тем более.
Что вам дает сочитание MAC + IP ? Полным счетом ничего,
потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
пользователя сети, зделать его такой же себе, ему изменить, поменять свой IP на его, тогда ваша "умная" программа его отключит а я
стану сидеть за счет честного человека в интернете .
Вот эта схема работает чудесно :)
Есть выход - это авторизация по логину и паролю, что - то напонминает
pppoe и т.п.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "RE: Организация защиты от подмены IP адреса" 
Сообщение от gara emailИскать по авторуВ закладки on 02-Янв-03, 01:31  (MSK)
Если вы отвечали gare то вот вам мой ответ!
>Не хочу никого обидеть, но на админов вы не сильно похожи, да
>и не программистов тем более.
А как на них похожи?
>Что вам дает сочитание MAC + IP ? Полным счетом ничего,
>потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
>пользователя сети, зделать его такой же себе, ему изменить, поменять
>свой IP на его, тогда ваша "умная" программа его отключит а я
>стану сидеть за счет честного человека в интернете .
Вы делаете выводы не разобравшись в сути.
Когда пользователь блокирует свой IP то блокируется выход в инет с его IP/
т.е. в файрвол прописывается правило что по этому IP никакого трафика.

>Вот эта схема работает чудесно :)
И вы можете обставиться кучей маков, ничего у вас работать небудет.
>Есть выход - это авторизация по логину и паролю, что - то
>напонминает pppoe и т.п.
Об этом тоже много писалось на форуме, да вариант хороший дающий большую безопастность но поедающий много ресурсов.
только ненадо щас рассказывать что у вас 100 клиентов и что все работает замечательно быстро на p-4 2.4G.

Мы рассматриваем универсальный вариант. когда есть много роутеров, подключенных к инету в разных местах. И надо в разных местах вести авторизацию чтоб 2_жды не гонать трафик!

У вас-же в большинстве случаев, все (~100 компов) подключенно в 1 месте, и стоит нереально мощная машина. А вы на p-i 100 16Мб предложите решение.

А если вам что-то гдето напоминает, то будьте подробры примеры, рабочие конфиги, исходники , желательно с возможностью подключаться к разным БД..

А то кое кто  кричит что-то напоминает а реально статистики нету...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

37. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Юзер Искать по авторуВ закладки on 21-Окт-04, 01:45  (MSK)
>Что вам дает сочитание MAC + IP ? Полным счетом ничего,
>потому что MAC меняется проще простого, IP тоже, я могу посмотреть MAC
>
>пользователя сети, зделать его такой же себе, ему изменить, поменять свой IP

Ставить конечным пользователям свичи с В-ЛАНАМИ, сосед соседа не видит, как следствие МАС адресов тоже, да и количество хостов + топологию сети.
Все это хозяйство втыкать в другие В-ЛАНЫ ;) на роутере, мы например юзаем Marconi/Fore Power Hub 6000-7000 итд, там на каждый порт можно прописать соответствующие связки ИП + МАС, как следствие - других дятлов со свича не пустит. От юзера виден только ГВ, гостальное за ним.

Чисто софтверных решений (надежных) не существует. ИМХО

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "RE: Организация защиты от подмены IP адреса" 
Сообщение от zond Искать по авторуВ закладки on 02-Янв-03, 14:09  (MSK)
>>Вариантом можно сделать что бы юзер мог сам
>>выключить выход в инет (типа закрой дверь быстрей).
>
>Предложенная вами схема даавно работает!!!
>сделайте поиск по форуму.

клацно! а я тут сам выеживаюсь, выдумываю

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

31. "RE: Организация защиты от подмены IP адреса" 
Сообщение от uzna Искать по авторуВ закладки on 20-Фев-03, 14:51  (MSK)
Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. В ней можно запретить пользователю менять в винде все - начиная с установки программ и заканчивая броузинком сети. Это очень жестко конечно но действует. Необходимо наличие домена( на Самбе или винде, роли не играет).


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

32. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Gara emailИскать по авторуВ закладки on 22-Фев-03, 11:52  (MSK)
>Можно жестко контролировать сеть используя виндовую примочку - так называемый profile. В

uzna Вы вобще прочитали ВЕСЬ топик ?... какойто ответ у вас не в кассу:))))))))))))))))))

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

33. "RE: Организация защиты от подмены IP адреса" 
Сообщение от Zed Искать по авторуВ закладки on 25-Фев-03, 18:08  (MSK)
>
>Как можно не допустить подмену IP адреса на чужой машине? Раньше эта
>проблема решалась с помощью жёсткой привязки мас-адреса к ip адресу через
>arp -s, но теперь встретился с фактом, что можно на некоторых
>картах прямо в их настройках вручную изменять MAC. Можно ли как-либо
>ещё что-то сделать, чтобы избежать такого проникновения?
Знаешь у меня сейчас точно такая же проблема! Я прочитал книгу "Технологии защиты информации" (Мамаев,Петренко) и против подмены IP-MAC не нашел подходящего решения! Я даже сталкивался со случаями, когда меняли IP-MAC на адрес соседа при включенных машинах, при этом машина мошенника вытесняет машину честного человека! Если кто знает как такое происходит, как идут пакеты, расскажите плиз!!!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

34. "Организация защиты от подмены IP адреса" 
Сообщение от ASM emailИскать по авторуВ закладки on 03-Июн-03, 15:24  (MSK)
Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так, сплошные плюсы:
ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации.

Если же забота о конфиденциальности трафика пользователей не столь актуально или же в компетенции самих пользователей, и нет желания возиться с инсталляцией/переинсталляцией PPPoE клиентов (пользователи любят переустанавливать Виндовс :) ), то оптимальней воспользоваться технологией HotSpot, которая не только ограничивает скорость (download, upload), но и объём скаченного-закаченного трафика, а также время пользования.

Принцип действия следующий: при первой попытке загрузить в броузере сайт, выдаётся страница авторизации, и только ввода правильного логин/пароль с правильного MAC пользователь получает запрашиваемый сайт. Время действия авторизации - до перезагрузки компьютера, по истечению выставленного пользователю времени или ручного log off.

Подробнее о возможностях и настройке HotSpot:
http://www.mikrotik.lv/Documentation/manual_2.7/IP/Hotspot.html

Кстати, в Латвии данная технология используется не только в "домашних" сетях, но и в гостиницах, конференц-залах и учебных заведениях.

Routing The World: http://www.mt.lv

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

39. "Организация защиты от подмены IP адреса" 
Сообщение от Myc Искать по авторуВ закладки(??) on 04-Май-05, 12:17  (MSK)
>Если позволяют ресурсы и функции маршрутизатора, то самый оптимальный способ - использование
>технологии PPPoE. Единственный минусом данного варианта является необходимость установки на компьютере
>пользователя PPPoE клиента (кроме WinXP, где он уже встроен). А так,
>сплошные плюсы:
>ограничение скорости (download, upload) + решение проблемы перехвата трафика благодаря шифрации.

Короче.
pptp и pppoe можно организовать на mpd+radius.
Для mpd (pppoe) на 100 пользователей хватало k6-2 350.
Я думаю, при необходимости можно и туже зажать.
И не нужны тут крутые скрипты для фаерволов.
Разрешен пользователю инет - авторизируйся и сиди спокойно.
Запрещен - свободен.
Если закончился лимит трафика, то сбрасываем сессию.
Также можно mpd+radius считать трафик клиента.

Господа, пользуйтесь фаерволами по назначению.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру