информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСтрашный баг в WindowsВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Очередное исследование 19 миллиардов... 
 Оптимизация ввода-вывода как инструмент... 
 Зловреды выбирают Lisp и Delphi 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
если вы видите этот текст, отключите в настройках форума использование JavaScript
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
дело в том что... 15.02.02 12:45  Число просмотров: 1233
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
... на свитчах АРП запросы (они ведь широковещательные) трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет с какому-нить хосту передать данные, он будет вынужден послать АРП запрос - вот тут его и надо ловить.. Т.о. достаточно будет слушать все АРП запросы и искать в поле SRC MAC неучтенный МАС адрес...
так выглядит идея... насчет готовых прог - посоветовать могу ARPWatch
<networking>
"Гость" в LAN 15.02.02 11:40  
Автор: PnD! Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Скоро у нас ожидается появление чела, которому по долгу службы надо интересоваться всякой информацией ;) Устранить возможность втыкания лаптопа в сеть не выйдет, но права на это он не имеет. Соответственно задача:
установить мониторинг сети на предмет присутствия левых устройств, дабы в случае возможных несанкционированных действий чела повинтить.

- Предполагаемое решение: снифить трафик на предмет MAC-адресов в заголовках и сравнивать MAC отправителя с таблицей "своих". При обнаружении "чужого" тихонько кричать, а чтобы чел не заскучал пока, бомбить его кривыми ARP-ответами с IP-адресами подсетки :).

-Осложняющий момент (и для меня, и для чела): сеть на свичах. (Все хосты под NT4.) Посему, с одной стороны, хрен он чего пассивно отснифит, с другой стороны, хрен чего я просто так поймаю.

Пока у меня единственная мысль по этому поводу -установить сканирование трафика на всех хостах. При обнаружении левого MAC слать широковещательный пакет c указанием этого MAC-адреса на установленный IP-порт. Слушать данный порт и при получении такого сообщения начинать бомбить указанное устройство ложными ARP-ответами со своим адресом. [Прекратить прием/передачу остального трафика. (?)]

У кого есть какие наметки / свои решения подобной задачи, поделитесь, PLZZ!!!
"Гость" в LAN 15.02.02 15:49  
Автор: babay <Andrey Babkin> Статус: Elderman
Отредактировано 15.02.02 15:55  Количество правок: 1
<"чистая" ссылка>
> Скоро у нас ожидается появление чела, которому по долгу
> службы надо интересоваться всякой информацией ;) Устранить
> возможность втыкания лаптопа в сеть не выйдет, но права на
> это он не имеет. Соответственно задача:
> установить мониторинг сети на предмет присутствия левых
> устройств, дабы в случае возможных несанкционированных
> действий чела повинтить.

Ты написал что сеть на НТ, я во первых повозился бы с настройками Security на серваках жаль конечно, но по моему в 4 нет IPSecurity :-(, но логи тоже кой чего могут дать.

>
> - Предполагаемое решение: снифить трафик на предмет
> MAC-адресов в заголовках и сравнивать MAC отправителя с
> таблицей "своих". При обнаружении "чужого" тихонько
> кричать, а чтобы чел не заскучал пока, бомбить его кривыми
> ARP-ответами с IP-адресами подсетки :).
>
> -Осложняющий момент (и для меня, и для чела): сеть на
> свичах. (Все хосты под NT4.) Посему, с одной стороны, хрен
> он чего пассивно отснифит, с другой стороны, хрен чего я
> просто так поймаю.

Ну отснифит и что, чего ты боишься, что он там наловит? Он какую цель приследовать будет , наверняка файло ободрать или базу утянуть ?
Я вижу решение проблемы отлова таже как и ZaDNiCa, не вижу другого варианта кроме как запустить родной Netmon создать в нем фильтр по ARP на серваке который отвечает за авторизацию в сети и на серваке разрешения сетевых имен и следить за своим списком МАСов.
Поймаешь MAC его карты и радуйся.
Да, забыл добавить, если железо умное - самый распространенный способ ставить ловушки SNMP на активность какого либо порта, например - на все неактивные порты в комнате куда может забрести этот чел.
"Гость" в LAN 20.02.02 10:20  
Автор: PnD! Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Ну отснифит и что, чего ты боишься, что он там наловит? Он
> какую цель приследовать будет , наверняка файло ободрать
> или базу утянуть ?
Я бы сам наверное постарался натаскать чего смогу по части аутентификации и поглядеть на работу с брандмаузером/сервером почты. В идеале - затем сунуть трояна, работающего, скажем, через какой-нибудь служебный/редко используемый mailbox. И свалить, а все остальное делать румутом без палева.

> Я вижу решение проблемы отлова таже как и ZaDNiCa, не вижу
> другого варианта кроме как запустить родной Netmon создать
> в нем фильтр по ARP на серваке который отвечает за
> авторизацию в сети и на серваке разрешения сетевых имен и
> следить за своим списком МАСов.
> Поймаешь MAC его карты и радуйся.
> Да, забыл добавить, если железо умное - самый
> распространенный способ ставить ловушки SNMP на активность
> какого либо порта, например - на все неактивные порты в
> комнате куда может забрести этот чел.
Глупое :( Ничего не попишешь - придется мониторить ARP
Тогда правило 3Д 20.02.02 12:35  
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> > Ну отснифит и что, чего ты боишься, что он там
> наловит? Он
> > какую цель приследовать будет , наверняка файло
> ободрать
> > или базу утянуть ?
> Я бы сам наверное постарался натаскать чего смогу по части
> аутентификации и поглядеть на работу с
> брандмаузером/сервером почты. В идеале - затем сунуть
> трояна, работающего, скажем, через какой-нибудь
> служебный/редко используемый mailbox. И свалить, а все
> остальное делать румутом без палева.

Правило 3Д - Дай Дорогу Дураку
Я не имею ввиду что тот чел - дурак, я к тому - возьми инициативу в свои руки. Как прийдет - сам сделай ему эккаунт с мин. правами за одно посмотришь какой софт у него и какое железо, тот же МАС опять-же, уже проще будет жить, станет примерно ясно чего ждать. А на счет работы с брандмаузером - если есть свой диалап постарайся обзавестись определителем номеров и чаще логи смотри. Если есть только постоянный коннект - поставь свой брандмаузер на макс. логирование. Ну вобщем мысль такая - прояви инициативу ;-))
дело в том что... 15.02.02 12:45  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
... на свитчах АРП запросы (они ведь широковещательные) трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет с какому-нить хосту передать данные, он будет вынужден послать АРП запрос - вот тут его и надо ловить.. Т.о. достаточно будет слушать все АРП запросы и искать в поле SRC MAC неучтенный МАС адрес...
так выглядит идея... насчет готовых прог - посоветовать могу ARPWatch
Thank's 20.02.02 10:03  
Автор: PnD! Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ... на свитчах АРП запросы (они ведь широковещательные)
> трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет
> с какому-нить хосту передать данные, он будет вынужден
> послать АРП запрос - вот тут его и надо ловить.. Т.о.
> достаточно будет слушать все АРП запросы и искать в поле
> SRC MAC неучтенный МАС адрес...
> так выглядит идея... насчет готовых прог - посоветовать
> могу ARPWatch
Thank's за хинт- пошел рыть (т.к. *x в сети нет пока, то ARPWatch неактуален).
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2025 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach