Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
"Гость" в LAN 15.02.02 11:40
Автор: PnD! Статус: Незарегистрированный пользователь
|
Скоро у нас ожидается появление чела, которому по долгу службы надо интересоваться всякой информацией ;) Устранить возможность втыкания лаптопа в сеть не выйдет, но права на это он не имеет. Соответственно задача:
установить мониторинг сети на предмет присутствия левых устройств, дабы в случае возможных несанкционированных действий чела повинтить.
- Предполагаемое решение: снифить трафик на предмет MAC-адресов в заголовках и сравнивать MAC отправителя с таблицей "своих". При обнаружении "чужого" тихонько кричать, а чтобы чел не заскучал пока, бомбить его кривыми ARP-ответами с IP-адресами подсетки :).
-Осложняющий момент (и для меня, и для чела): сеть на свичах. (Все хосты под NT4.) Посему, с одной стороны, хрен он чего пассивно отснифит, с другой стороны, хрен чего я просто так поймаю.
Пока у меня единственная мысль по этому поводу -установить сканирование трафика на всех хостах. При обнаружении левого MAC слать широковещательный пакет c указанием этого MAC-адреса на установленный IP-порт. Слушать данный порт и при получении такого сообщения начинать бомбить указанное устройство ложными ARP-ответами со своим адресом. [Прекратить прием/передачу остального трафика. (?)]
У кого есть какие наметки / свои решения подобной задачи, поделитесь, PLZZ!!!
|
|
"Гость" в LAN 15.02.02 15:49
Автор: babay <Andrey Babkin> Статус: Elderman
Отредактировано 15.02.02 15:55 Количество правок: 1
|
> Скоро у нас ожидается появление чела, которому по долгу
> службы надо интересоваться всякой информацией ;) Устранить
> возможность втыкания лаптопа в сеть не выйдет, но права на
> это он не имеет. Соответственно задача:
> установить мониторинг сети на предмет присутствия левых
> устройств, дабы в случае возможных несанкционированных
> действий чела повинтить.
Ты написал что сеть на НТ, я во первых повозился бы с настройками Security на серваках жаль конечно, но по моему в 4 нет IPSecurity :-(, но логи тоже кой чего могут дать.
>
> - Предполагаемое решение: снифить трафик на предмет
> MAC-адресов в заголовках и сравнивать MAC отправителя с
> таблицей "своих". При обнаружении "чужого" тихонько
> кричать, а чтобы чел не заскучал пока, бомбить его кривыми
> ARP-ответами с IP-адресами подсетки :).
>
> -Осложняющий момент (и для меня, и для чела): сеть на
> свичах. (Все хосты под NT4.) Посему, с одной стороны, хрен
> он чего пассивно отснифит, с другой стороны, хрен чего я
> просто так поймаю.
Ну отснифит и что, чего ты боишься, что он там наловит? Он какую цель приследовать будет , наверняка файло ободрать или базу утянуть ?
Я вижу решение проблемы отлова таже как и ZaDNiCa, не вижу другого варианта кроме как запустить родной Netmon создать в нем фильтр по ARP на серваке который отвечает за авторизацию в сети и на серваке разрешения сетевых имен и следить за своим списком МАСов.
Поймаешь MAC его карты и радуйся.
Да, забыл добавить, если железо умное - самый распространенный способ ставить ловушки SNMP на активность какого либо порта, например - на все неактивные порты в комнате куда может забрести этот чел.
|
| |
"Гость" в LAN 20.02.02 10:20
Автор: PnD! Статус: Незарегистрированный пользователь
|
> Ну отснифит и что, чего ты боишься, что он там наловит? Он
> какую цель приследовать будет , наверняка файло ободрать
> или базу утянуть ?
Я бы сам наверное постарался натаскать чего смогу по части аутентификации и поглядеть на работу с брандмаузером/сервером почты. В идеале - затем сунуть трояна, работающего, скажем, через какой-нибудь служебный/редко используемый mailbox. И свалить, а все остальное делать румутом без палева.
> Я вижу решение проблемы отлова таже как и ZaDNiCa, не вижу
> другого варианта кроме как запустить родной Netmon создать
> в нем фильтр по ARP на серваке который отвечает за
> авторизацию в сети и на серваке разрешения сетевых имен и
> следить за своим списком МАСов.
> Поймаешь MAC его карты и радуйся.
> Да, забыл добавить, если железо умное - самый
> распространенный способ ставить ловушки SNMP на активность
> какого либо порта, например - на все неактивные порты в
> комнате куда может забрести этот чел.
Глупое :( Ничего не попишешь - придется мониторить ARP
|
| | |
Тогда правило 3Д 20.02.02 12:35
Автор: babay <Andrey Babkin> Статус: Elderman
|
> > Ну отснифит и что, чего ты боишься, что он там
> наловит? Он
> > какую цель приследовать будет , наверняка файло
> ободрать
> > или базу утянуть ?
> Я бы сам наверное постарался натаскать чего смогу по части
> аутентификации и поглядеть на работу с
> брандмаузером/сервером почты. В идеале - затем сунуть
> трояна, работающего, скажем, через какой-нибудь
> служебный/редко используемый mailbox. И свалить, а все
> остальное делать румутом без палева.
Правило 3Д - Дай Дорогу Дураку
Я не имею ввиду что тот чел - дурак, я к тому - возьми инициативу в свои руки. Как прийдет - сам сделай ему эккаунт с мин. правами за одно посмотришь какой софт у него и какое железо, тот же МАС опять-же, уже проще будет жить, станет примерно ясно чего ждать. А на счет работы с брандмаузером - если есть свой диалап постарайся обзавестись определителем номеров и чаще логи смотри. Если есть только постоянный коннект - поставь свой брандмаузер на макс. логирование. Ну вобщем мысль такая - прояви инициативу ;-))
|
|
дело в том что... 15.02.02 12:45
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
... на свитчах АРП запросы (они ведь широковещательные) трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет с какому-нить хосту передать данные, он будет вынужден послать АРП запрос - вот тут его и надо ловить.. Т.о. достаточно будет слушать все АРП запросы и искать в поле SRC MAC неучтенный МАС адрес...
так выглядит идея... насчет готовых прог - посоветовать могу ARPWatch
|
| |
Thank's 20.02.02 10:03
Автор: PnD! Статус: Незарегистрированный пользователь
|
> ... на свитчах АРП запросы (они ведь широковещательные)
> трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет
> с какому-нить хосту передать данные, он будет вынужден
> послать АРП запрос - вот тут его и надо ловить.. Т.о.
> достаточно будет слушать все АРП запросы и искать в поле
> SRC MAC неучтенный МАС адрес...
> так выглядит идея... насчет готовых прог - посоветовать
> могу ARPWatch
Thank's за хинт- пошел рыть (т.к. *x в сети нет пока, то ARPWatch неактуален).
|
|
|
подробно о проекте
Анализ криптографических сетевых...
