| Author |
Message
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
 #1
 15 Feb 2003 13:35 Koncentrator a skanowanie sieci |
|
|
|
Mam pytanie.
Czy administrator sieci jest w stanie w jakikolwiek sposób wykryć wstawiony gdzieś koncentrator? Do koncentratora podłączony jest tylko jeden komp, a pozostałe gniazda wolne.
Jeśli ktoś zetknął się z tym problemem, proszę o pomoc.
Pozdrawiam, Michał.
|
|
| Back to top |
|
 |
c2h5oh
Poziom 24
Joined: 17 Sep 2002
Posts: 5122
Location: WOŁOMIN
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #3
15 Feb 2003 14:49 |
|
|
|
To zależy co rozumiesz pod pojęciem koncentrator. HUB nie powinien byc wykrywany ,Switch też nie pod warunkiem że nie ma dostępu do kompa na końcu.
|
|
| Back to top |
|
|
Masster
Poziom 22
Joined: 24 Mar 2002
Posts: 1906
Location: Ostróda / Szczecin
|
| #4
15 Feb 2003 17:47 |
|
|
|
Jeżeli będzie tylko podłączony to jest niewidoczny i niema prostego sposobu na jego wykrycie, co innego jak podłączysz do niego dodatkowe komputery w takim wypadku dość łatwo sprawdzić ile komputerów jest w lokalu i czy są jakieś nowe.
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #5
15 Feb 2003 20:21 |
|
|
|
:arrow: C2H5OH: dzięki wielkie, troszkę mi to rozjaśniło w głowie, ale to jeszcze nie wszystko, czego szukam.
Problem jest podobny, co i Tremola w poprzednim forum. "Administruję" niewielką siecią, choć raczej powinienem napisać, że doglądam sieci. Niestety, nie znam się na tym zbytnio, przynajmniej na razie. To co mnie boli, postaram się opisać dokładnie. Jest 7 użytkowników w sieci w bloku, ja jestem jednym z nich. Na serwerze DNS są założone jakieś bloki, które ograniczają pasmo do 128kbit na użytkownika. Nie znam szczegółów, ale nie o to chodzi. Ktoś wpina się w sieć przy pomocy koncentratora (HUB'a) i podłącza drugi komputer. Adresy IP chyba nie są zablokowane, dlatego wszystko jest dla niego ok. Jeśli zablokuję adresy, ten ktoś może po prostu podszyć się pod wyłączony komputer jednego z użytkowników, przez co zablokuje mu skutecznie dostęp. No właśnie, ale jak wykryć którym kablem sygnał ucieka? W serwerze stoi kolejny HUB na 7 użytkowników. Jeśli ktoś coś słyszał, to bardzo proszę o głos.
Pozdrawiam, Michał.
P.S. A odnośnie PING'a - wydaje mi się, że firewalle sprzętowe "palą" go skutecznie, chyba że się mylę.
|
|
| Back to top |
|
|
Masster
Poziom 22
Joined: 24 Mar 2002
Posts: 1906
Location: Ostróda / Szczecin
|
| #6
15 Feb 2003 20:37 |
|
|
|
Już kilka razy był poruszany ten temat. Ustaw DHCP+ARP opis znajdziesz na zlobek.ratio.pl lub przedszkole.ratio.pl
|
|
| Back to top |
|
|
Google
|
| #
15 Feb 2003 20:37 |
|
|
|
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #7
15 Feb 2003 20:46 |
|
|
|
Już patrzę na ten adresik. A jak to jest ze sprzętowymi firewallami? Czy to prawda, że jak takie coś stoi, to w żaden sposób kompa się nie wykryje?
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
Masster
Poziom 22
Joined: 24 Mar 2002
Posts: 1906
Location: Ostróda / Szczecin
|
| #8
15 Feb 2003 21:01 |
|
|
|
Jeżeli jest w Twojej sieci i nie kryje się za maskaradą to nawet sprzętowy firewall mu niepomoże bo bezpośrednio kożysta z serwera i Ty jako admin możesz zobaczyć "nowy" komputer w sieci (np. sniffitem) sprawa się komplikuje dopiero jak któryś z użytkowników postawi u siebie maskaradę gdyż to da się ukryć z bardzo dobrym skutkiem.
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #9
15 Feb 2003 21:03 |
|
|
|
Nemo to zależy co chcesz zrobić czy chces kogoś złapać za ręke czy zablokować taką możliwość. Najlepszym rozwiązaniem byłoby przypisać w albo w DHCP na sztywno IP do MAC albo przez firewalla wycinać pakiety z nielegalnymi MAC. Gdybyś miał konfigurowalnego switcha to byś mógł ustawić jeszcze przypisanie gniazdka do adresu MAC ale takie bajery ma dopiero sprzęt za para tysiaków.
Pozatym pomyśl co będzie jeśli ktoś postawi serwer na jednym z dozwolonych numerów IP i zrobi sobie wewnetrzną podsiec?
PS wszytko da się wykryć ale to jest zabawa w kotka i myszke, bo jeśli wykryjesz nielegalnego i im to udowodnisz to na drugi dzień ich wpięcie będzie zabezpieczone troche lepiej itp.
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #10
15 Feb 2003 21:14 |
|
|
|
:arrow: elektryk: dzięki wielkie za pomoc. To znaczy, że jeśli ktoś postawi sobie Maskaradę, to będę miał problem aby go wykryć? No to mnie pocieszyłeś. Obawiam się, że ten człowiek może być lepszy ode mnie w te sieciowe klocki. No i chyba z nim nie wygram. Ale może choć trochę ubarwię mu życie :D .
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #11
15 Feb 2003 21:19 |
|
|
|
Pytanie jest czy chcesz go wykryć i wypowiedzieć mu umowe czy zablokować to. Pamiętaj że jeśli jest maskarada to jest jedno IP i ograniczenie na transfer jest tak jak na jednego urzytkownika niezależnie od tego ile jest kompów więc to nie łamie w niczym umowy, bo nie kradnie przepustowości. Co do wpinania się "na lewo" z innym IP to bardzo nie ładnie z jego strony i musisz jak najszybciej coś z tym zrobić.
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #12
15 Feb 2003 21:33 |
|
|
|
No właśnie, ale co? Jak to namierzyć? Przecież człowiek może korzystać z kompa wtedy, kiedy dany użytkownik ma wyłączony komputer, bo jest w pracy. No i wtedy bryndza. Wszystko jest tak, jak być powinno z punktu widzenia sieci. Co wtedy zrobić?
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #13
15 Feb 2003 21:36 |
|
|
|
Opisz jak masz zbudowaną ,skonfigurowaną sieć jeśli uważasz że to jest ściśle tajne to wal na priv
|
|
| Back to top |
|
|
Google
|
| #
15 Feb 2003 21:36 |
|
|
|
|
|
| Back to top |
|
|
techrys
Poziom 21
Joined: 08 Mar 2002
Posts: 1470
Location: Southampton
|
| #14
15 Feb 2003 21:40 |
|
|
|
Wbrew pozorom maskaradę bardzo łatwo jest wykryć, gdyż maskarada zmienia ttl, tzn pomniejsza o jeden. Co do nielegalnych userów, to:
- na firewallu wyciąć niechciane ip,
- dhcp+arp.
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #15
15 Feb 2003 21:42 |
|
|
|
Serwer DNS w Linuksie (chyba), łącze do dostawcy, koncentrator (HUB) chyba Planet no i siedem kabelków UTP do wszystkich użytkowników. No i to wszystko. Taka minisieć.
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
Google
|
| #
15 Feb 2003 21:42 |
|
|
|
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #16
15 Feb 2003 21:42 |
|
|
|
techrys to z TTL to stare bajki, "najnowsze" zabezpieczenie dostawców to pakiety z TTL=1, jak przejdzie przez maskarade to pakiet umiera. Banalne do ominięcia.
Nemo co znaczy "chyba na linux`ie" czy na serwerze jest maskarada?,
jak są i czy są ograniczenie co do przepustowości? Serwer DNS?
|
|
| Back to top |
|
|
techrys
Poziom 21
Joined: 08 Mar 2002
Posts: 1470
Location: Southampton
|
| #17
15 Feb 2003 22:01 |
|
|
|
:arrow: elektryk: Zgadza się, ale większość małolatów stawiających maskaradę o tym nie wie :wink: A poza tym zawsze można sprawdzić prostym iptrafem, który adres non stop ciągnie :wink: Może to i prostackie, ale podstawowych informacji udziela.
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #18
15 Feb 2003 22:03 |
|
|
|
techrys: a zabronisz urzytkownikom ciągłego obciążania sieci? zejdź na ziemie, w umowie o dostarczanie komus sieci jest napisane tylko ograniczenie maksymalne i do tej wartości mogą ciągnąć ile chcą 24h/dobe
|
|
| Back to top |
|
|
techrys
Poziom 21
Joined: 08 Mar 2002
Posts: 1470
Location: Southampton
|
| #19
15 Feb 2003 22:21 |
|
|
|
Nie chodzi o to, czy może ciągnąć, bo w sumie po to zakłada się neta żeby ciągnąć, chodzi o to że nagle zaczyna ciągnąć i to stale, a to już jest podejrzane, zgadza się? Reszta to już kwstia umowy. Ja stosuję zasadę, że można udostępnić neta tylko i wyłącznie w mieszkaniu, ale juz nie poza nim bo grozi kara umowna w wysokości trzech dziewiątek, a poza tym zawsze mam prawo sprawdzić zakończenie sieciowe. Mozliwych rozwiązań jest mnóstwo, a każda zbroja powoduje powstanie silniejszego miecza i tak zaczyna się błędne koło...
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #20
15 Feb 2003 22:25 |
|
|
|
No właśnie. Nie da się tego zablokować, bo i tak koleś znajdzie sposób, aby to obejść. Można za to utrudnić komuś, kto nie jest w tym najlepszy. Tylko na jak długo?
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #21
15 Feb 2003 22:30 |
|
|
|
Nemo ale jak nie zablokujesz obcych IP to będą ci podkradać sieć, dopóki trzymają sie ustalonych IP i limitów to wszystko jest OK, jeśli mogą włączyć jeden dodatkowy komp to mogą włączyć 10 i więcej.
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #22
15 Feb 2003 22:38 |
|
|
|
No tak, ale tu chodzi o własne IP. np. ja mam IPx.x.x.2, sąsiad x.x.x.3 itd aż do 8 i chodzi o to, że np. sąsiad z x.x.x.3 o 23 wyłacza kompa i włącza dopiero jak wróci z pracy około 16. No ale w międzyczasie ktoś wchodzi na jego IP i ciągnie. Chodzi mi o to, czy da sie to namierzyć.
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #23
15 Feb 2003 22:46 |
|
|
|
Jeśli ktoś robi to "na pałe" to możesz na serwerze ustawić coś takiego żeby zapisywało do pliku np co 15min tablice ARP, wtedy wykryjesz inny adres MAC przypisany do IP, najlepiej żebyś wyczaił klienta kiedy to robi i kiedyś go złapał na gorącym uczynku, jeśli widzisz obcą karte sieciową to pingujesz ten adres IP i wyciągasz po kolei kable ze switcha aż przestanie Ci odpowiadać. Potem po kablu do kłębka :). Jeśli wiesz że ktoś napewno nie ma włączonego kompa to możesz sprawdzać w arp czy jest ten IP, jeśli jest to znaczy że zystały wysłane pakiety przez chyba ostatnie 20min (zależy od serwera).
PS jeśli userzy Ci pomarudzą że im sieć na chwile nie działa to powiedz że wywaliło Ci bezpieczniki w chacie :)
|
|
| Back to top |
|
|
Google
|
| #
15 Feb 2003 22:46 |
|
|
|
|
|
| Back to top |
|
|
techrys
Poziom 21
Joined: 08 Mar 2002
Posts: 1470
Location: Southampton
|
| #24
15 Feb 2003 22:48 |
|
|
|
Pewnie co niektórzy wyślą mnie do wariatkowa, ale już taki ze mnie drań, że wpisałbym do crona regułkę firewalla blokującą jego IP, wtedy pomiędzy 23 a 16 jak gostek włączy neta to sorry winnetou... A tak poza tym zacznij od dhcp+arp, wtedy jak ktokolwiek zmieni cokolwiek, obojętnie czy ip czy mac, to i tak nie będzie neta - musi być pasująca para. Bez tego to i tak są akademickie rozważania co by było gdyby...
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #25
15 Feb 2003 22:51 |
|
|
|
techrys to już są akademickie rozważania bo jeśli ktoś uruchomi snifera z dowolnym IP i dowolnym MAC to może znaleźć sobie pasującą pare adresów.
PS może nie do wariatkowa, ale zmień lekarza :)
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #26
15 Feb 2003 22:56 |
|
|
|
No tak, ale jesli ktoś ma takiego firewalla, że nie puści pinga? Co wtedy?
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
techrys
Poziom 21
Joined: 08 Mar 2002
Posts: 1470
Location: Southampton
|
| #27
15 Feb 2003 22:58 |
|
|
|
Chyba będę musiał odwiedzić bo już dawno nie byłem :wink:
Każdy admin staje przed takim problemem i każdy radzi sobie inaczej :wink:
|
|
| Back to top |
|
|
elektryk
Poziom 26
Joined: 25 Apr 2002
Posts: 11092
|
| #28
15 Feb 2003 23:01 |
|
|
|
Nemo ping jest tylko przykładem, zawsze możesz użyć snifera żeby zobaczyć czy komp nadal nadaje.
|
|
| Back to top |
|
|
Nemo
Poziom 22
Joined: 03 Feb 2003
Posts: 2025
Location: Radom/Lublin
|
| #29
15 Feb 2003 23:41 |
|
|
|
:arrow: techrys: Oki, można. Od tego chyba można zacząć, ale co to da. A może użytkownik właśnie dziś ma urlop, a jak zobaczy że nie ma netu, to kogo pogoni? Biednego dozorcę.
A co mi z tego, że komp nadal nadaje. Ot, przypomniał sobie coś człowiek i włączył raz jeszcze.
Uff, temat chyba mnie na razie przerasta.
Dzięki wszystkim za pomoc, jak będziecie coś jeszcze wiedzieli, to bardzo proszę.
Pozdrawiam, Michał.
|
|
| Back to top |
|
|
Krzysi0
Poziom 23
Joined: 09 Jun 2002
Posts: 2962
|
| #30
16 Feb 2003 00:38 |
|
|
|
Wszystko co tu napisne się zgadza ale i tak idzie wszystko pominąć. Wiem to z doświadczenia bo na codzień mam do czynienia z różnymi takimi przypadkami. Powiem tylko tyle że pomysłowść ludzka nie zna granic. Napewno żadne DHCP+ARP nie zabezpiecza w 100% przed podpięcem nielegalnych userów bo jest jesden prosty sposób na ominięcie tego. Pozatym temat ten był przy okazji w kilku innych tematach opisywany więc zastanawiam się czy nie zamknąć go.
|
|
| Back to top |
|
|
