... на свитчах АРП запросы (они ведь широковещательные) трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет с какому-нить хосту передать данные, он будет вынужден послать АРП запрос - вот тут его и надо ловить.. Т.о. достаточно будет слушать все АРП запросы и искать в поле SRC MAC неучтенный МАС адрес...
так выглядит идея... насчет готовых прог - посоветовать могу ARPWatch
Скоро у нас ожидается появление чела, которому по долгу службы надо интересоваться всякой информацией ;) Устранить возможность втыкания лаптопа в сеть не выйдет, но права на это он не имеет. Соответственно задача:
установить мониторинг сети на предмет присутствия левых устройств, дабы в случае возможных несанкционированных действий чела повинтить.
- Предполагаемое решение: снифить трафик на предмет MAC-адресов в заголовках и сравнивать MAC отправителя с таблицей "своих". При обнаружении "чужого" тихонько кричать, а чтобы чел не заскучал пока, бомбить его кривыми ARP-ответами с IP-адресами подсетки :).
-Осложняющий момент (и для меня, и для чела): сеть на свичах. (Все хосты под NT4.) Посему, с одной стороны, хрен он чего пассивно отснифит, с другой стороны, хрен чего я просто так поймаю.
Пока у меня единственная мысль по этому поводу -установить сканирование трафика на всех хостах. При обнаружении левого MAC слать широковещательный пакет c указанием этого MAC-адреса на установленный IP-порт. Слушать данный порт и при получении такого сообщения начинать бомбить указанное устройство ложными ARP-ответами со своим адресом. [Прекратить прием/передачу остального трафика. (?)]
У кого есть какие наметки / свои решения подобной задачи, поделитесь, PLZZ!!!
"Гость" в LAN15.02.02 15:49 Автор: babay <Andrey Babkin> Статус: Elderman Отредактировано 15.02.02 15:55 Количество правок: 1
> Скоро у нас ожидается появление чела, которому по долгу > службы надо интересоваться всякой информацией ;) Устранить > возможность втыкания лаптопа в сеть не выйдет, но права на > это он не имеет. Соответственно задача: > установить мониторинг сети на предмет присутствия левых > устройств, дабы в случае возможных несанкционированных > действий чела повинтить.
Ты написал что сеть на НТ, я во первых повозился бы с настройками Security на серваках жаль конечно, но по моему в 4 нет IPSecurity :-(, но логи тоже кой чего могут дать.
> > - Предполагаемое решение: снифить трафик на предмет > MAC-адресов в заголовках и сравнивать MAC отправителя с > таблицей "своих". При обнаружении "чужого" тихонько > кричать, а чтобы чел не заскучал пока, бомбить его кривыми > ARP-ответами с IP-адресами подсетки :). > > -Осложняющий момент (и для меня, и для чела): сеть на > свичах. (Все хосты под NT4.) Посему, с одной стороны, хрен > он чего пассивно отснифит, с другой стороны, хрен чего я > просто так поймаю.
Ну отснифит и что, чего ты боишься, что он там наловит? Он какую цель приследовать будет , наверняка файло ободрать или базу утянуть ?
Я вижу решение проблемы отлова таже как и ZaDNiCa, не вижу другого варианта кроме как запустить родной Netmon создать в нем фильтр по ARP на серваке который отвечает за авторизацию в сети и на серваке разрешения сетевых имен и следить за своим списком МАСов.
Поймаешь MAC его карты и радуйся.
Да, забыл добавить, если железо умное - самый распространенный способ ставить ловушки SNMP на активность какого либо порта, например - на все неактивные порты в комнате куда может забрести этот чел.
"Гость" в LAN20.02.02 10:20 Автор: PnD! Статус: Незарегистрированный пользователь
> Ну отснифит и что, чего ты боишься, что он там наловит? Он > какую цель приследовать будет , наверняка файло ободрать > или базу утянуть ? Я бы сам наверное постарался натаскать чего смогу по части аутентификации и поглядеть на работу с брандмаузером/сервером почты. В идеале - затем сунуть трояна, работающего, скажем, через какой-нибудь служебный/редко используемый mailbox. И свалить, а все остальное делать румутом без палева.
> Я вижу решение проблемы отлова таже как и ZaDNiCa, не вижу > другого варианта кроме как запустить родной Netmon создать > в нем фильтр по ARP на серваке который отвечает за > авторизацию в сети и на серваке разрешения сетевых имен и > следить за своим списком МАСов. > Поймаешь MAC его карты и радуйся. > Да, забыл добавить, если железо умное - самый > распространенный способ ставить ловушки SNMP на активность > какого либо порта, например - на все неактивные порты в > комнате куда может забрести этот чел. Глупое :( Ничего не попишешь - придется мониторить ARP
Тогда правило 3Д20.02.02 12:35 Автор: babay <Andrey Babkin> Статус: Elderman
> > Ну отснифит и что, чего ты боишься, что он там > наловит? Он > > какую цель приследовать будет , наверняка файло > ободрать > > или базу утянуть ? > Я бы сам наверное постарался натаскать чего смогу по части > аутентификации и поглядеть на работу с > брандмаузером/сервером почты. В идеале - затем сунуть > трояна, работающего, скажем, через какой-нибудь > служебный/редко используемый mailbox. И свалить, а все > остальное делать румутом без палева.
Правило 3Д - Дай Дорогу Дураку
Я не имею ввиду что тот чел - дурак, я к тому - возьми инициативу в свои руки. Как прийдет - сам сделай ему эккаунт с мин. правами за одно посмотришь какой софт у него и какое железо, тот же МАС опять-же, уже проще будет жить, станет примерно ясно чего ждать. А на счет работы с брандмаузером - если есть свой диалап постарайся обзавестись определителем номеров и чаще логи смотри. Если есть только постоянный коннект - поставь свой брандмаузер на макс. логирование. Ну вобщем мысль такая - прояви инициативу ;-))
дело в том что...15.02.02 12:45 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
... на свитчах АРП запросы (они ведь широковещательные) трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет с какому-нить хосту передать данные, он будет вынужден послать АРП запрос - вот тут его и надо ловить.. Т.о. достаточно будет слушать все АРП запросы и искать в поле SRC MAC неучтенный МАС адрес...
так выглядит идея... насчет готовых прог - посоветовать могу ARPWatch
> ... на свитчах АРП запросы (они ведь широковещательные) > трансмитятся на ВСЕ порты. Поэтому когда левый фейс захочет > с какому-нить хосту передать данные, он будет вынужден > послать АРП запрос - вот тут его и надо ловить.. Т.о. > достаточно будет слушать все АРП запросы и искать в поле > SRC MAC неучтенный МАС адрес... > так выглядит идея... насчет готовых прог - посоветовать > могу ARPWatch Thank's за хинт- пошел рыть (т.к. *x в сети нет пока, то ARPWatch неактуален).