Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1 2 След.
RSS
Защита сети от несанкционированного доступа
 
#1
Это нравится:0Да/0Нет
27.04.2007 11:37:04
Есть сеть с PDC на Windows 2003 (AD, DNS, DHCP и пр.)
Боюсь, что к моей физической линии подключится какой-нибудь злоумышленник и развернёт СВОЮ локальную сеть но в другой подсети.  :(
Можно ли как-нибудь полностью контролировать все подсети и не впускать никого без санкции?
Может есть какие-нибудь программы-ограничители?

Для примера:
У меня сеть: 192.168.3.*
Хочу, чтобы к линии никто не смог подключиться и присвоить себе адрес из: 192.168.*.*

Заранее благодарен.
 
 
 
#2
Это нравится:0Да/0Нет
27.04.2007 12:59:37
Это в терминологии компьютерынх сетей если не ошибаюсь называется "ограничение уровня доступа".
Сресдтвами домена это не решить. Принципиально человек сможет подключится к сети и использовать её локальные ресурсы. Но допустим он не получит выход в инет.
Хотя и это тоже реализуемо. Берётся какой либо клиент и его станция становится шлюзом для другой сети. Другая сеть может иметь диапазон адресов из разряда 172.16.30/24.
А машина клиента будет раздовать инет. Заметить NAT при должно настройке шлюза принципиально не возможно.
Вот такие дела. Если ж вас инересует именно не возможность подмены ИП и установки так сказать своего ИП, то это решается насколько я знаю только на апаратном уровне.
Практически все железки L2 имеют функцию привязки 1 или нескольких маков к порту.
При появлении "на порту" другого МАКа порт либо отправляется в down либо просто пакеты дропаются.
 
 
 
#3
Это нравится:0Да/0Нет
27.04.2007 13:08:52
http://www.securitylab.ru/forum/read.php?FID=17&TID=26729
 
 
 
#4
Это нравится:0Да/0Нет
27.04.2007 13:36:42
Цитата
fiNis пишет:
http://www.securitylab.ru/forum/read....&TID=26729
Насколько я понял человеку необходимо именно пресечение любого НСД а не обнаружение его. Вроде как пусть хоть тыщу компов по перетыкают но вылезут только с одной пары ип/мак.
А если уж на то пошло то под винду посоветовать могу http://netcp.narod.ru/.
 
 
 
#5
Это нравится:0Да/0Нет
27.04.2007 14:00:26
Pchol меня правильно понял. Мне нужно пресекать, а не обнаруживать.
 
 
 
#6
Это нравится:0Да/0Нет
27.04.2007 14:09:15
Совственно если я был прав то тут в дело идёт лишь уровень ващей "физики".
Какое обоурдование стоит на данный момент, и что это вообще за сеть по стурктуре и топологии. Зная это можно будет что то посоветовать если уже все поянтно, тогда удачи  :D
 
 
 
#7
Это нравится:0Да/0Нет
27.04.2007 14:25:25
to Pchol:
Сеть по топологии: "гирлянда"
Около 10 машин к общему свитчу 3COM Baseline 2226 приходят по оптической линии (через конвертер). На этом же свитче висит машина-шлюз, которая вторым сетевым интерфейсом смотрит в мир.
 
 
 
#8
Это нравится:0Да/0Нет
27.04.2007 14:33:08
Я краем уха слышал, что вроде есть утилиты, которые могут не пропускать устройства в сеть по указанному диапазону. Если же на линию подсаживается компьютер и пытается присвоить себе ip - ему приходит сообщение "Адрес занят".
 
 
 
#9
Это нравится:0Да/0Нет
27.04.2007 15:10:55
Немного не понял.
У вас всего 10 машин или просто есть отдельно 10 машин ?
Как бы то ни было ваш свитч умеет IEEE 802.1x
Цитата

контроль доступа по протоколу IEEE 802.1X предоставляет меры безопасности, основанные на стандартах, в сочетании с проверкой прав доступа на коммутаторе
Ничего более вменяемого я на сайте не нашол как и инструкции по настрйоке данного комутатора.
Если прилагся диск с софтом и руководством то поройтесь. Должно быть что то типа Port Security или MAC Binding что то такое.
Но опять же забив МАКи на данном комутаторе вы ограничиваете людей лишь при прохождении пакетов через данный комутатор.
Если у вас ниже по сети висит в рядок 10 "мыльниц". То просто кто то подключившись к одной из них, получит доступ к сети.
Касательно программ. Есть такой проект http://l2nt.info/ очень инетресны и вполне рабочий.
Ознакомьтесь, если в сети не слишком много машин то работает на ура.
При протяжонности сегмента в 80 мыльниц и на каждой по 4-6 человек то программа не всегда работает эффективно. (личные опыты)
 
 
 
#10
Это нравится:0Да/0Нет
27.04.2007 15:53:41
10 машин - это дополнительно к к основной группе.
Сам свитч неуправляемый, поэтому какие-либо манипуляции с портами исключены.
 
 
 
#11
Это нравится:0Да/0Нет
27.04.2007 16:09:42
Ну тогда вам нужно орагнизовывать уровень доступа в сети.
Либо программа вышеописанная но так как это программная вещь то её можно всё таки обойти.
Лучше конечно продумать и орагнизовать это всё апаратными средствами..
Это можно сделать илшь зная специфику и топологию вашей сети. Если необходим просто контроль аля привязка ип/мак к порту + вкл/выкл абонетский порт то тут вариант загонять ваших абонентов в порты Л2 свитчей.
Их в свою очередь придётся выбирать основываясь на многих критериях.
Так же не забывайте о такой интересной технологии как RADIUS ибо многие свитчи её поддерживают как агенты.
 
 
 
#12
Это нравится:0Да/0Нет
27.04.2007 17:22:22
"Применение IPsec для защиты сети" раздел "Изолирование доменов"
 
 
 
#13
Это нравится:0Да/0Нет
27.04.2007 20:36:30
Цитата
Pchol пишет:
Заметить NAT при должно настройке шлюза принципиально не возможно
Ну это как сказать... К примеру, последовательночть TCP пакетов при установлении соединения у шлюза и у  клиента шлюза - разная. И при совместной работе шлюза и клиента будут заметны 2 разные последовательности пакетов, что является указателем на NAT
Чтобы нельзя было просечь - шлюз должен менять номера пакетов на близкие совей нумерации, а при получении ответного пакета для клиента - менять обратно
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#14
Это нравится:0Да/0Нет
27.04.2007 22:24:42
Воовремя обнаружить - воворемя присеч, дойти и молотком , молотком =))

ну а вообще тут правильный путь указал ZOR , рулить в сторону IPSEC + мониторить несанкционированные подключения arpwatch'em
 
 
 
#15
Это нравится:0Да/0Нет
28.04.2007 00:56:20
Цитата
fiNis пишет:
мониторить несанкционированные подключения arpwatch'em
Злоумышленник может вырубить посылку со своего компа arp-запросов и ловить arp broadcast для создания карты сети
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
#16
Это нравится:0Да/0Нет
28.04.2007 01:05:24
"Мой" злоумышленний не настолько продвинут.
Максимум что он умеет - это обжимать кабель и подсаживаться на чужие свитчи.
 
 
 
#17
Это нравится:0Да/0Нет
28.04.2007 09:03:41
Цитата
Shanker пишет:
Злоумышленник может вырубить посылку со своего компа arp-запросов и ловить arp broadcast для создания карты сети
Для этого и реализован "двусторонний ARP spoofing" в Layer-2 Network Guard.

Даже если злоумышленник отключит у себя посылку ARP запросов, создаст карту сети и т.д. не стоит забывать, что существует второй конец соединения, скажем файловый сервер, цель злоумышленника. Двусторонний спуфинг подразумевает перезапись ARP кеша не только на узле злоумышленника, но и на узле-цели. Нормальная работа сети на узле злоумышленника будет достаточно затруднена.
 
 
 
#18
Это нравится:0Да/0Нет
28.04.2007 11:39:06
А что нам даст IPSес ? Вот если подключаются клиенты которые не принадлежат домену, и они просто вешают несколько машин в сети, и юзают локалку.
 
 
 
#19
Это нравится:0Да/0Нет
28.04.2007 12:38:05
Цитата
Pchol пишет:
А что нам даст IPSес ? Вот если подключаются клиенты которые не принадлежат домену, и они просто вешают несколько машин в сети, и юзают локалку.
А как машина авторизуется в домене для функционирования IPSес по Kerberos?
 
 
 
#20
Это нравится:0Да/0Нет
28.04.2007 13:34:31
Цитата
Барий пишет:
Двусторонний спуфинг подразумевает перезапись ARP кеша не только на узле злоумышленника
Т.е. в сети будут гулять левые arp-запросы/ответы от Layer-2 Network Guard, а сами компы, на которых установлен Layer-2 Network Guard будут знать реальные IP/MAC друг друга? И как только кто-то "поведётся" на левые arp, сразу выявим злоумышленника?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
 
 
Страницы: 1 2 След.
Читают тему