Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Сертфикаты? 30.11.06 21:06 Число просмотров: 3138
Автор: DamNet <Denis Amelin> Статус: Elderman
|
|
|
|
<networking>
|
Как блокировать неучтеные хосты в локалке? 30.11.06 19:35
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 30.11.06 19:36 Количество правок: 2
|
|
То есть пришел чел (как правило сотрудник) в контору со своим буком, втыкнул патч в розетку или из временно не работающего компа патч взял. И чтоб ему что-то вроде "Иди на ..., поскольку ты чужак", а на серваке в логе запись соответствующую.
|
|
Port Security MAC+IP и физическая недоступность портов... 01.12.06 13:51
Автор: ddmitry Статус: Незарегистрированный пользователь
|
Port Security MAC+IP и физическая недоступность портов свичей. Тогда чужак сможет работать только с нужными IP-MAC, расположение розетки будет заранее известно. Либо отсаживать каждого юзера в свой вилан и выпускать из него пакеты только с одним IP. Дальше работае обычная парольная защита.
P.S.
Так же поучительно было бы почитать свежую статью (и каменты к ней) на СекЛабе:
http://www.securitylab.ru/contest/278872.php
|
| |
Ну хотите - поставлю эксперимент: Будь то на серваке, серез... 01.12.06 14:58
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Port Security MAC+IP и физическая недоступность портов
Ну хотите - поставлю эксперимент: Будь то на серваке, серез арп, будь то на свитче придумаю связку АйПи и какой-нибудь МАК, запрещу если что не так, проверю, что работает, зайду в свойства сетевухи (на этом компе 3С2000), на Закладке "Адвансед" параметр "Нетворк адрес", в поле "Валуе" пропишу МАК из придуманой связки, стуканусь, почему бы и не заработать, если только не будет ошибки в драйвере и он не поменяет МАК на указанный.
> свичей. Тогда чужак сможет работать только с нужными
> IP-MAC, расположение розетки будет заранее известно. Либо
> отсаживать каждого юзера в свой вилан и выпускать из него
> пакеты только с одним IP. Дальше работае обычная парольная
> защита.
Обычно все должны сидеть в одном вилане так, что смысл в нем пропадает, поскольку народ пользуется сетевой печатью напрямую, без принт-сервера и это вполне нормально. Мало того все лезут на серваки, в инет, ...
> P.S.
> Так же поучительно было бы почитать свежую статью (и
> каменты к ней) на СекЛабе:
> http://www.securitylab.ru/contest/278872.php
Может я чего не понял, но эта система исключает включение нескольких хостов сразу в несколько виланов одновременно. В конце концов речь идет о "широковещательности" и опять же на МАК адресах, которые легко меняются.
|
| | |
Усложним задачу:-) Снимаешь МАС с любой карточки и прописываешь его на свитч через копи пасте с "закрытыми глазами". А потом пытаешься подрубить другую сетевую. Все админ консоли закрыты:-) 01.12.06 15:22
Автор: Garick <Yuriy> Статус: Elderman
|
|
|
| | | |
К сожалению есть либо неуправляемые свитчи, либо управляемый, но пока недоступен для опытов. 01.12.06 15:43
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
|
|
|
Эта тема недавно поднималась в uafug - не оттуда ли волна? 01.12.06 08:55
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
|
MAC несложно подделать, да и учесть все мак-адреса в конторе с приличным кол-вом рабочих станций (а еще нужно учитывать и мобильных клиентов - ноуты, кпк) почти нереально...
|
| |
Отвечу сразу всем. 01.12.06 12:20
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.12.06 12:25 Количество правок: 5
|
> MAC несложно подделать, да и учесть все мак-адреса в
> конторе с приличным кол-вом рабочих станций (а еще нужно
> учитывать и мобильных клиентов - ноуты, кпк) почти
> нереально...
Отвечу сразу всем.
Все началось с коллизии, которая произошла, видимо, из-за того, что у какого-то хоста остался прописан статический АйПи (зачем-то временно это было нужно), а ДХЦП выда кому-то еще этот адрес то ли из пула, то ли из резервации, уже не важно.
Разгоресля спор, заключавшийся в неправильном трактовании слова "резервация". Один товарищ думал, что если адрес зарезервирован для какого-то МАКа, то хост с другим МАКом под этим АйПи в сетке работать не сможет, а тут даже заризирвированый хост не пускает. Это миф, который был развеян демонстрацией, после неудавшейся попытки переубедить. Чел остался сильно возмущен.
Подобное поведение является нормальным, но может нарушить безопасность, которая может быть построена на АйПи. То есть логически сетка бьется на область резервации и пул. На определенных серваках файрволом ставятся определенные правила (доступ к сервисам, в интернет и пр.) на каждую из частей сети свои. Полагаться на неосведомленность нарушителя нельзя, тогда ему останется прописать нужный АйПи адрес у себя (на компе, если есть права, или на буке, например).
Приписывание МАКа порту управляемого свитча может являться достаточно сильным решением, но только в предположении того, что нарушитель не является даже средним спецом, чтобы на поменять МАК на МАК того хоста, который временно (например в виду временного отсутствия сотрудника) не включен и воспользоваться его патчем.
В принципе то же самое будет и с arp -s. Мало того статическую таблицу придется организовать на всех хостах, в предположении того, что злоумышленник полезет не только на серваки, но и на РС.
Похоже подобное решение проблемы "чужака" отсутствует.
Родалась у меня тут идейка, только не знаю - есть ли реализация. Это должен быть ДХЦП сервер, поскольку только он сможет быстро распознать соответствие АйПи МАКу. Как только хост (драйвер АйПи) стартует, он проверяет на конфликт адресов и в случае такового давит обслуживание протокола. То есть чужак включил комп, при инициализации комп опрашивает (широковещательным пакетом, который дойдет и до сервака) на конфликт адресов, сервак получив пакет проверяет на соответствие МАКа предпологаемому АйПишнику и если что не так, то от своего имени посылает пакет, о том, что, мол, есть уже такой АйПишник, ну, скажем, у меня. Решение тоже не идеальное, но, думаю, забавное и не сложное.
Полагаю что проблема достаточно интересна и может оказаться полезна многим. Следует учесть, что на уровне АйПи нет никаких предпосылок к какой-либо авторизации, то есть чтоб работать в сетке, стучаться куда-то, просто как-либо пакостить не нужно ни логинов, ни паролей, ни сертификатов.
|
| | |
Лежит статья как раз об этом 01.12.06 14:36
Автор: dl <Dmitry Leonov>
|
> Похоже подобное решение проблемы "чужака" отсутствует.
> Родалась у меня тут идейка, только не знаю - есть ли
> реализация. Это должен быть ДХЦП сервер, поскольку только
> он сможет быстро распознать соответствие АйПи МАКу. Как
> только хост (драйвер АйПи) стартует, он проверяет на
> конфликт адресов и в случае такового давит обслуживание
> протокола. То есть чужак включил комп, при инициализации
> комп опрашивает (широковещательным пакетом, который дойдет
> и до сервака) на конфликт адресов, сервак получив пакет
> проверяет на соответствие МАКа предпологаемому АйПишнику и
> если что не так, то от своего имени посылает пакет, о том,
> что, мол, есть уже такой АйПишник, ну, скажем, у меня.
> Решение тоже не идеальное, но, думаю, забавное и не
> сложное.
Лежит статья как раз об этом. Правда, я не в курсе, в каком состоянии сейчас эта программа, но автор наш студент, можно стукнуть.
http://bugtraq.ru/library/security/securedhcp.html
|
| | | |
Можно начать с корректировки существующей ссылки в статье,... 01.12.06 15:35
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.12.06 15:36 Количество правок: 1
|
> Лежит статья как раз об этом. Правда, я не в курсе, в каком
> состоянии сейчас эта программа, но автор наш студент, можно
> стукнуть.
Можно начать с корректировки существующей ссылки в статье, которая за два с половиной года уже стала неработоспособна, или е-мэйл если изменился то обновить, по существующему я пока не писал.
Практически молодой гений! Денег за прогк просит? Посмотреть интересно - есть ли уязвимости в последних версиях...
|
| | | | |
свистну 01.12.06 17:31
Автор: dl <Dmitry Leonov>
|
|
|
| | | | | |
Дело в том, что программа SecureDHCP так и не была доведена... 05.12.06 15:42
Автор: aiorlov Статус: Незарегистрированный пользователь
|
|
Дело в том, что программа SecureDHCP так и не была доведена до ума. Я думаю, что в ближайшем времени работа над проектом будет продолжена. А пока, можно использовать свои программы, которые легко написать для каждой конкретной ситуации. Рекомендую WinPCap для работы с пакетами.
|
| | | | | | |
Жаль. Хотя, думается, проект слишком сложный. Насколько я... 05.12.06 18:10
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Дело в том, что программа SecureDHCP так и не была доведена
Жаль. Хотя, думается, проект слишком сложный. Насколько я понял это целый сервер. Не знаю возможно ли, но хватило бы обычного плаина для стандартного сервера, который только сэмулирует коллизию для фиксированно прописаных адресов. Это бы позволило наиболее простым способом управлять на третьем уровне.
Теоретически можно и на уровне активного оборудования, но сложнее и дороже. Еще периодически перепрописывать придется, если какие-либо перемещения техники.
По-Микрософтовски тоже геморно - для РС генерить сертификаты, устанавливать сертификаты других машин, которые теоретически смогут обратиться к ней.
> до ума. Я думаю, что в ближайшем времени работа над
> проектом будет продолжена. А пока, можно использовать свои
Мне еще идея понравилась: несколько критереев в довесок к МАКу: тип ОС, Имя машины, ...
Хотя это все тоже не панацея - подделать можно.
> программы, которые легко написать для каждой конкретной
> ситуации. Рекомендую WinPCap для работы с пакетами.
Хотелось бы просто "галочку" поставить. Ну пусть даже чтоб она появилась что-нибудь "накатить" пришлось бы.
|
| | |
Кстати задача изменения МАС адреса не такая уж и тривиальная. 01.12.06 12:58
Автор: Garick <Yuriy> Статус: Elderman
|
Для этого надо бутанутся с альтернативного источника.
Запрет на изменение бутовых устройст и пароль на БИОС значительно усложнят задачу.
Если сетевая встроенная - БИОС сетевой в БИОС компа, пароль на БИОС комп - как вариант решения.
Запрет на изменение параметров сетевого интерфейса и устройств (а это делать прийдется обязательно) также ограничивает доступ к изменени МАС.
Навороченные экземпляры сетевых тех же интел позволяют метить пакеты аля ключом. Необходимо ограничивать доступ пользователей к ключам и следить за "пустыми" портами, выключая их, предотвращая подключение снифера.
Возможно существуют умные свитчи, которые умеют понимать такие метки в пакетах и ограничивать непомеченные пакеты. ИМХО с серверным железом проблем не будет, сложнее десктопное найти.
|
| | | |
Эта задача средней тривиальности. 01.12.06 13:20
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.12.06 13:25 Количество правок: 6
|
Эта задача средней тривиальности.
Я даже видел карточки, в которых можно было поменять только несколько последних байтиков.
А так сетевухи можно разделить на 3 группы: 1 - МАК изменить нельзя, 2 - МАК можно изменить во флешке, 3 - МАК можно поменять "в оперативке"/"на лету" до выключения питания. Если мак меняется, то его можно менять либо зайдя в сетап/БИОС, либо отдельной прогой, если во флешке или прописывать в параметрах драйвера, например (владельцы 3СОМ ревизии "С" могут посмотреть настройки), если оперативно.
> Для этого надо бутанутся с альтернативного источника.
> Запрет на изменение бутовых устройст и пароль на БИОС
> значительно усложнят задачу.
> Если сетевая встроенная - БИОС сетевой в БИОС компа, пароль
> на БИОС комп - как вариант решения.
> Запрет на изменение параметров сетевого интерфейса и
> устройств (а это делать прийдется обязательно) также
> ограничивает доступ к изменени МАС.
Чел может прийти со своим буком. Паролирование БИОСа в большинстве случаев не прокатит, а для рабочих лошадок, естетсвенно сетап запаролирован.
> Навороченные экземпляры сетевых тех же интел позволяют
> метить пакеты аля ключом. Необходимо ограничивать доступ
Вот это интересно. Раньше не слышал.
> пользователей к ключам и следить за "пустыми" портами,
> выключая их, предотвращая подключение снифера.
Точнее за розетками. Но нужно не забывать о "временно не работающих" рабочих машинках.
> Возможно существуют умные свитчи, которые умеют понимать
> такие метки в пакетах и ограничивать непомеченные пакеты.
> ИМХО с серверным железом проблем не будет, сложнее
> десктопное найти.
|
| | | | |
Всё это недоделанные велосипеды. Повторяю — умный свич (а ля HP Pro Curve) + IEEE 802.1X решает задачу 100%. Карточки проканают любые. Потратится прийдётся только на свич и оси... Win2k, XP и Linux всё это поддерживают. 01.12.06 15:36
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.12.06 15:38 Количество правок: 1
|
|
|
| | | | | |
Каталисты тоже умеют, но насчет выгодности по цене - не... 01.12.06 16:50
Автор: leo <Леонид Юрьев> Статус: Elderman
|
|
Каталисты тоже умеют, но насчет выгодности по цене - не знаю.
|
| | | | | |
Согласен, интересное решение. Надо поизучать поподробнее. 01.12.06 16:02
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
|
|
| | | | | | | |
Для этого придется ставить IAS - чего, как раз, не хочется... 01.12.06 18:31
Автор: Den <Денис Т.> Статус: The Elderman
|
|
|
| | | | | | | | |
Извини, не понял. Почему не хочется? 01.12.06 19:45
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
