информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применениеАтака на Internet
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ну хотите - поставлю эксперимент: Будь то на серваке, серез... 01.12.06 14:58  Число просмотров: 3331
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Port Security MAC+IP и физическая недоступность портов

Ну хотите - поставлю эксперимент: Будь то на серваке, серез арп, будь то на свитче придумаю связку АйПи и какой-нибудь МАК, запрещу если что не так, проверю, что работает, зайду в свойства сетевухи (на этом компе 3С2000), на Закладке "Адвансед" параметр "Нетворк адрес", в поле "Валуе" пропишу МАК из придуманой связки, стуканусь, почему бы и не заработать, если только не будет ошибки в драйвере и он не поменяет МАК на указанный.

> свичей. Тогда чужак сможет работать только с нужными
> IP-MAC, расположение розетки будет заранее известно. Либо
> отсаживать каждого юзера в свой вилан и выпускать из него
> пакеты только с одним IP. Дальше работае обычная парольная
> защита.

Обычно все должны сидеть в одном вилане так, что смысл в нем пропадает, поскольку народ пользуется сетевой печатью напрямую, без принт-сервера и это вполне нормально. Мало того все лезут на серваки, в инет, ...

> P.S.
> Так же поучительно было бы почитать свежую статью (и
> каменты к ней) на СекЛабе:
> http://www.securitylab.ru/contest/278872.php

Может я чего не понял, но эта система исключает включение нескольких хостов сразу в несколько виланов одновременно. В конце концов речь идет о "широковещательности" и опять же на МАК адресах, которые легко меняются.
<networking>
Как блокировать неучтеные хосты в локалке? 30.11.06 19:35  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 30.11.06 19:36  Количество правок: 2
<"чистая" ссылка>
То есть пришел чел (как правило сотрудник) в контору со своим буком, втыкнул патч в розетку или из временно не работающего компа патч взял. И чтоб ему что-то вроде "Иди на ..., поскольку ты чужак", а на серваке в логе запись соответствующую.
Port Security MAC+IP и физическая недоступность портов... 01.12.06 13:51  
Автор: ddmitry Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Port Security MAC+IP и физическая недоступность портов свичей. Тогда чужак сможет работать только с нужными IP-MAC, расположение розетки будет заранее известно. Либо отсаживать каждого юзера в свой вилан и выпускать из него пакеты только с одним IP. Дальше работае обычная парольная защита.

P.S.
Так же поучительно было бы почитать свежую статью (и каменты к ней) на СекЛабе:
http://www.securitylab.ru/contest/278872.php
Ну хотите - поставлю эксперимент: Будь то на серваке, серез... 01.12.06 14:58  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Port Security MAC+IP и физическая недоступность портов

Ну хотите - поставлю эксперимент: Будь то на серваке, серез арп, будь то на свитче придумаю связку АйПи и какой-нибудь МАК, запрещу если что не так, проверю, что работает, зайду в свойства сетевухи (на этом компе 3С2000), на Закладке "Адвансед" параметр "Нетворк адрес", в поле "Валуе" пропишу МАК из придуманой связки, стуканусь, почему бы и не заработать, если только не будет ошибки в драйвере и он не поменяет МАК на указанный.

> свичей. Тогда чужак сможет работать только с нужными
> IP-MAC, расположение розетки будет заранее известно. Либо
> отсаживать каждого юзера в свой вилан и выпускать из него
> пакеты только с одним IP. Дальше работае обычная парольная
> защита.

Обычно все должны сидеть в одном вилане так, что смысл в нем пропадает, поскольку народ пользуется сетевой печатью напрямую, без принт-сервера и это вполне нормально. Мало того все лезут на серваки, в инет, ...

> P.S.
> Так же поучительно было бы почитать свежую статью (и
> каменты к ней) на СекЛабе:
> http://www.securitylab.ru/contest/278872.php

Может я чего не понял, но эта система исключает включение нескольких хостов сразу в несколько виланов одновременно. В конце концов речь идет о "широковещательности" и опять же на МАК адресах, которые легко меняются.
Усложним задачу:-) Снимаешь МАС с любой карточки и прописываешь его на свитч через копи пасте с "закрытыми глазами". А потом пытаешься подрубить другую сетевую. Все админ консоли закрыты:-) 01.12.06 15:22  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
К сожалению есть либо неуправляемые свитчи, либо управляемый, но пока недоступен для опытов. 01.12.06 15:43  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Эта тема недавно поднималась в uafug - не оттуда ли волна? 01.12.06 08:55  
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
<"чистая" ссылка>
MAC несложно подделать, да и учесть все мак-адреса в конторе с приличным кол-вом рабочих станций (а еще нужно учитывать и мобильных клиентов - ноуты, кпк) почти нереально...
Отвечу сразу всем. 01.12.06 12:20  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.12.06 12:25  Количество правок: 5
<"чистая" ссылка>
> MAC несложно подделать, да и учесть все мак-адреса в
> конторе с приличным кол-вом рабочих станций (а еще нужно
> учитывать и мобильных клиентов - ноуты, кпк) почти
> нереально...

Отвечу сразу всем.
Все началось с коллизии, которая произошла, видимо, из-за того, что у какого-то хоста остался прописан статический АйПи (зачем-то временно это было нужно), а ДХЦП выда кому-то еще этот адрес то ли из пула, то ли из резервации, уже не важно.
Разгоресля спор, заключавшийся в неправильном трактовании слова "резервация". Один товарищ думал, что если адрес зарезервирован для какого-то МАКа, то хост с другим МАКом под этим АйПи в сетке работать не сможет, а тут даже заризирвированый хост не пускает. Это миф, который был развеян демонстрацией, после неудавшейся попытки переубедить. Чел остался сильно возмущен.
Подобное поведение является нормальным, но может нарушить безопасность, которая может быть построена на АйПи. То есть логически сетка бьется на область резервации и пул. На определенных серваках файрволом ставятся определенные правила (доступ к сервисам, в интернет и пр.) на каждую из частей сети свои. Полагаться на неосведомленность нарушителя нельзя, тогда ему останется прописать нужный АйПи адрес у себя (на компе, если есть права, или на буке, например).
Приписывание МАКа порту управляемого свитча может являться достаточно сильным решением, но только в предположении того, что нарушитель не является даже средним спецом, чтобы на поменять МАК на МАК того хоста, который временно (например в виду временного отсутствия сотрудника) не включен и воспользоваться его патчем.
В принципе то же самое будет и с arp -s. Мало того статическую таблицу придется организовать на всех хостах, в предположении того, что злоумышленник полезет не только на серваки, но и на РС.
Похоже подобное решение проблемы "чужака" отсутствует.
Родалась у меня тут идейка, только не знаю - есть ли реализация. Это должен быть ДХЦП сервер, поскольку только он сможет быстро распознать соответствие АйПи МАКу. Как только хост (драйвер АйПи) стартует, он проверяет на конфликт адресов и в случае такового давит обслуживание протокола. То есть чужак включил комп, при инициализации комп опрашивает (широковещательным пакетом, который дойдет и до сервака) на конфликт адресов, сервак получив пакет проверяет на соответствие МАКа предпологаемому АйПишнику и если что не так, то от своего имени посылает пакет, о том, что, мол, есть уже такой АйПишник, ну, скажем, у меня. Решение тоже не идеальное, но, думаю, забавное и не сложное.
Полагаю что проблема достаточно интересна и может оказаться полезна многим. Следует учесть, что на уровне АйПи нет никаких предпосылок к какой-либо авторизации, то есть чтоб работать в сетке, стучаться куда-то, просто как-либо пакостить не нужно ни логинов, ни паролей, ни сертификатов.
Лежит статья как раз об этом 01.12.06 14:36  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> Похоже подобное решение проблемы "чужака" отсутствует.
> Родалась у меня тут идейка, только не знаю - есть ли
> реализация. Это должен быть ДХЦП сервер, поскольку только
> он сможет быстро распознать соответствие АйПи МАКу. Как
> только хост (драйвер АйПи) стартует, он проверяет на
> конфликт адресов и в случае такового давит обслуживание
> протокола. То есть чужак включил комп, при инициализации
> комп опрашивает (широковещательным пакетом, который дойдет
> и до сервака) на конфликт адресов, сервак получив пакет
> проверяет на соответствие МАКа предпологаемому АйПишнику и
> если что не так, то от своего имени посылает пакет, о том,
> что, мол, есть уже такой АйПишник, ну, скажем, у меня.
> Решение тоже не идеальное, но, думаю, забавное и не
> сложное.

Лежит статья как раз об этом. Правда, я не в курсе, в каком состоянии сейчас эта программа, но автор наш студент, можно стукнуть.

http://bugtraq.ru/library/security/securedhcp.html
Можно начать с корректировки существующей ссылки в статье,... 01.12.06 15:35  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.12.06 15:36  Количество правок: 1
<"чистая" ссылка>
> Лежит статья как раз об этом. Правда, я не в курсе, в каком
> состоянии сейчас эта программа, но автор наш студент, можно
> стукнуть.

Можно начать с корректировки существующей ссылки в статье, которая за два с половиной года уже стала неработоспособна, или е-мэйл если изменился то обновить, по существующему я пока не писал.
Практически молодой гений! Денег за прогк просит? Посмотреть интересно - есть ли уязвимости в последних версиях...
свистну 01.12.06 17:31  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
Дело в том, что программа SecureDHCP так и не была доведена... 05.12.06 15:42  
Автор: aiorlov Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Дело в том, что программа SecureDHCP так и не была доведена до ума. Я думаю, что в ближайшем времени работа над проектом будет продолжена. А пока, можно использовать свои программы, которые легко написать для каждой конкретной ситуации. Рекомендую WinPCap для работы с пакетами.
Жаль. Хотя, думается, проект слишком сложный. Насколько я... 05.12.06 18:10  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Дело в том, что программа SecureDHCP так и не была доведена

Жаль. Хотя, думается, проект слишком сложный. Насколько я понял это целый сервер. Не знаю возможно ли, но хватило бы обычного плаина для стандартного сервера, который только сэмулирует коллизию для фиксированно прописаных адресов. Это бы позволило наиболее простым способом управлять на третьем уровне.
Теоретически можно и на уровне активного оборудования, но сложнее и дороже. Еще периодически перепрописывать придется, если какие-либо перемещения техники.
По-Микрософтовски тоже геморно - для РС генерить сертификаты, устанавливать сертификаты других машин, которые теоретически смогут обратиться к ней.

> до ума. Я думаю, что в ближайшем времени работа над
> проектом будет продолжена. А пока, можно использовать свои

Мне еще идея понравилась: несколько критереев в довесок к МАКу: тип ОС, Имя машины, ...
Хотя это все тоже не панацея - подделать можно.

> программы, которые легко написать для каждой конкретной
> ситуации. Рекомендую WinPCap для работы с пакетами.

Хотелось бы просто "галочку" поставить. Ну пусть даже чтоб она появилась что-нибудь "накатить" пришлось бы.
Кстати задача изменения МАС адреса не такая уж и тривиальная. 01.12.06 12:58  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Для этого надо бутанутся с альтернативного источника.
Запрет на изменение бутовых устройст и пароль на БИОС значительно усложнят задачу.
Если сетевая встроенная - БИОС сетевой в БИОС компа, пароль на БИОС комп - как вариант решения.
Запрет на изменение параметров сетевого интерфейса и устройств (а это делать прийдется обязательно) также ограничивает доступ к изменени МАС.

Навороченные экземпляры сетевых тех же интел позволяют метить пакеты аля ключом. Необходимо ограничивать доступ пользователей к ключам и следить за "пустыми" портами, выключая их, предотвращая подключение снифера.
Возможно существуют умные свитчи, которые умеют понимать такие метки в пакетах и ограничивать непомеченные пакеты. ИМХО с серверным железом проблем не будет, сложнее десктопное найти.
Эта задача средней тривиальности. 01.12.06 13:20  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 01.12.06 13:25  Количество правок: 6
<"чистая" ссылка>
Эта задача средней тривиальности.
Я даже видел карточки, в которых можно было поменять только несколько последних байтиков.
А так сетевухи можно разделить на 3 группы: 1 - МАК изменить нельзя, 2 - МАК можно изменить во флешке, 3 - МАК можно поменять "в оперативке"/"на лету" до выключения питания. Если мак меняется, то его можно менять либо зайдя в сетап/БИОС, либо отдельной прогой, если во флешке или прописывать в параметрах драйвера, например (владельцы 3СОМ ревизии "С" могут посмотреть настройки), если оперативно.

> Для этого надо бутанутся с альтернативного источника.
> Запрет на изменение бутовых устройст и пароль на БИОС
> значительно усложнят задачу.
> Если сетевая встроенная - БИОС сетевой в БИОС компа, пароль
> на БИОС комп - как вариант решения.
> Запрет на изменение параметров сетевого интерфейса и
> устройств (а это делать прийдется обязательно) также
> ограничивает доступ к изменени МАС.

Чел может прийти со своим буком. Паролирование БИОСа в большинстве случаев не прокатит, а для рабочих лошадок, естетсвенно сетап запаролирован.

> Навороченные экземпляры сетевых тех же интел позволяют
> метить пакеты аля ключом. Необходимо ограничивать доступ

Вот это интересно. Раньше не слышал.

> пользователей к ключам и следить за "пустыми" портами,
> выключая их, предотвращая подключение снифера.

Точнее за розетками. Но нужно не забывать о "временно не работающих" рабочих машинках.

> Возможно существуют умные свитчи, которые умеют понимать
> такие метки в пакетах и ограничивать непомеченные пакеты.
> ИМХО с серверным железом проблем не будет, сложнее
> десктопное найти.
Всё это недоделанные велосипеды. Повторяю — умный свич (а ля HP Pro Curve) + IEEE 802.1X решает задачу 100%. Карточки проканают любые. Потратится прийдётся только на свич и оси... Win2k, XP и Linux всё это поддерживают. 01.12.06 15:36  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.12.06 15:38  Количество правок: 1
<"чистая" ссылка>
Каталисты тоже умеют, но насчет выгодности по цене - не... 01.12.06 16:50  
Автор: leo <Леонид Юрьев> Статус: Elderman
<"чистая" ссылка>
Каталисты тоже умеют, но насчет выгодности по цене - не знаю.
Согласен, интересное решение. Надо поизучать поподробнее. 01.12.06 16:02  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Вот хорошая дока, как это делается в серед windows 01.12.06 16:33  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>


http://www.microsoft.com/downloads/details.aspx?familyid=05951071-6b20-4cef-9939-47c397ffd3dd&displaylang=en
Для этого придется ставить IAS - чего, как раз, не хочется... 01.12.06 18:31  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Извини, не понял. Почему не хочется? 01.12.06 19:45  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
1  |  2 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach