vpsa

Atomic, вообще сами сорцы будут закрытыми, но вопрос решаем. Всегда рад объективной критике))

Как только закончу альфа-тестирование у себя на работе(в случае успеха;)), дам заинтересованным тестовую версию. ориентировочно -- недельки через 2.

up. практически готово. функционал: ведение таблицы арп-ип, корректировка атакуемых в соответсвии с таблицей(опционально). автодобавление новых хостов в таблицу(опционально, можно включить для "автообучения" и отключить) предупреждение о "левых" арп-запросах/ответах(несоответствие полей) арп-пинг проверки на рабатающие снифферы по списку защищаемых хостов(теоретически, все хосты должны быть в этом списке. ) о новых, необъявленных хостах возможно предупреждать. почтовый сервер, для автоуведомлений о нарушениях. добавление записей в эвент-вьювер(опционально). Какие либо другие атаки не исследуются, только арп. так что нет проблем с легальностю "блокировки" атакующего. однако, в дальнейшем, если кого заинтересует, возможно расширение. Зы. и ещё, убедительная просьба всех проголосовать. мне ваша статистика для диплома пригодиться. и для собственной совести:)

нифига себе накой...жизнь можно сказать спасает:) а для мониторинга сети, попробуй например это....http://www.uinc.ru/news/show.php?id=2014

у тебя компы по нетбиос протоколу общаются или over TCP? AFAIK, компы с ХП по умолчанию, если DHCP сервер не скажет иначе, общаются "NetBIOS over TCP". попробуй в hosts прописать явно комп из другой сети, и посмотри, появиться он, пойдет ли пинг, или нет. П.С. либо в lmhosts, что более верно.

а пинги тоже по имени не идут, а по ИП идут? если да, проверь ДНС.

Короче у тебя сейчас NAT поднят на модеме. думаю, можно попробовать отстроить момед, но я не в курсе всех фишек с этой серией. но мне почему-то кажется, что её возможности ограничены. управление в ней через телнет и SMTP. Если хочешь рулить трафик по людски -- флаг в руки. я бы так и поступил. Ты прав, так и подключай, через 2 сетевухи. из ПО, если под виндой, смотри в первую очередь на винрут. сейчас он даже научился резать траффик как по скорости, так и по объёму.

технология подключения не важна. важны настройки. всё это решаемо, однако нужно просто разобраться. я когда начинал, столкнулся с теми-же граблями. так их и не решил тогда, хотя действовал верно. просто оказалось, забыл шлюз на клиенте прописать%) В прниципе мне очень нравиться Winroute, он приятно поумнел к своей теперешней версии(6-й фаервол). Особенно строптивые приложения, которые не хотят работать так, нужно пускать через портмаппинг(если в 6-м, то самый последний пунктик в правилах пакетфильтра). особенно, если необходимо чтобы инициировать могла внешняя сторона.

Fh, если поднят домен, то не забыть включить этот комп в домен. иначе он сам решает кто откуда и куда, и пущает по локальным аккаунтам. если домена нет, то либо гостя разблокируй, либо вводи учётную запись, какая есть на том компе.

а встроенный фаервол в Kerio Winroute Firewall не устраивает? или ты им инет не раздаёшь, а защищаешь именно от "внутренних" пользователей? Shiva а почему сетевой для хоста не подходит? он хост закрывает в том числе, но другое дело если хост трафик не рулит, а выполняет стороние задачи.

это не коммерческий проект:) а цель именно бюджетные локальные сети, т.к. там раздолье полное. в принципе, если смогу попробую подумать на тему встроенного определителя снифферов, но это врядли, там вроде уже виток был, и определитель, и антиопределитель)) реализовать можно, применяя ту-же методику, что и атакующий. единственно конечно, от ARPфлуда защиты нет, и даже не представляю как реализовать. Кстати, вчера изучал статьи LAN на эту тему, IDS от неименитых производителей MITM атаку вообще не детектит увы, и даже какой-то от крупного игрока игнорирует. Ну в принципе IDS специализируются на всех атаках, а действительно мощные решения стоят дюже дорого и имеют смысл только в защищённых сетях...

Да, рекламёр посмешил:)) На счёт передачи данных в терминалах -- тут всё просто, есть например CITRIX METAFRAME, и там загрузка канала очень невелика. даже очень очень, можно даже по модему работать. НО. чтобы прокормить приличную группу компов(кстати, к ним никаких требований -- они хавают уже видеокартинку) нужна ферма серверов. Экономия колоссальная)) что касается скорости диска -- скорость интерфейса и скорость считывания инфы с блинов -- суть разные вещи. кроме того, чем больше приходит разных запросов, тем тугодумнее винт работает. сказям хорошо, у них есть очереди...ну в общем чтобы обеспечить качественно всё-провсё на 10 компов(офисная работа), понадобиться весьма некислый сервак(мож 1процессорник и потянет, но думаю лучше 2-х...), и очень желательно сказёвые винты в 5 рэйде.... Ну я не буду говорить, что лицензионный цитрикс стоит в полной версии энтерпрайза 600, а чисто цитрикс энтерпрайз 400...за лицензию. плюс, лицензии микрософт. ну если всё по закону))) НО у терминалов есть всякие НО. привет автокаду например, и т.д. В плюсах администрирование, но мэйнфреймные решения всегда самые дорогие, зато самые простые в обслуживании. и тут главное найти разумную грань. но вот с палёной конторой связываться, которая "ускорение" обещает...хм..у них может и ускорители интернета есть? (специальная наклейка на модем:))

Roman Ivanov ARPwatch только находит MITM, но не противодействует. А за то время, что админ успеет прочитать почту, кто-то может потерять конфед. информацию. управляемые коммутаторы -- фишка хорошая, но они дороже стоят, и соответственно их не всегда покупают. На счёт найти -- не согласен, особенно, если ARP-spoofing. тут, ИМХО, без хорошего железа не вычислить, ну либо социнжинирингом))

Добрый день, коллеги. Подскажите пожалуйста, кто какими средствами мониторинга в локалках пользуется, и как вычисляете атаки. В частности интересно, есть ли удачные механизмы защиты от ARP-атак всей сети. Я планирую написать утилиту, позволяющую автоматически исправлять ARPзаписи в сети, и блокировать нападющего. плюс к тому, встроенный SMTP для отсылки ахтунгов. Собственно интересно, насколько это всё актуально, и именно в рамках домашней/smalloffice сети, т.к. разумеется, до уровня коммерческих IDS как до луны пешком:) Также буду благодарен, если кто обратит внимание на ещё какие-нибудь серьёзные уязвимости, которые можно относительно легко засечь простым сниффером.