Замена управляемых коммутаторов программным решением

[Барий]

Это конечно громко сказано, но некоторые функции контроля и запрета смены MAC/IP адресов, несанкционированный доступ в сеть или отключение пользователя от сети программным путем решить можно...

 

http://forum.nag.ru/viewtopic.php?t=19873

[Korj]

Таких поделок, кроме Вашей, по инету раскиданы пачки. И все одинаково бесполезные. Режим атаки опасен и незаконен. Вцелом imho программу можно признать вредоносной... В купе с отсутствием исходников и платностью это уж полный офтопик получается - чистой воды реклама "коммерческого" поделия.

На курсовую/диплом это ещё потянет, применять в реальной сети - себе дороже.

Защититься от этого бреда - проще простого, а подстановку И ip И mac соседа эта фигня вообще не засечёт.

[Барий]

О каком режиме атаки идет речь?

 

В данном решении никакого режима атаки нет.

 

Максимум, что делает сервис - обманывает нелегитимный узел и все обращения к нему. Никаких вредноносных действий в отношении узла не предпринимается.

 

Насчет "коммерческого" решения:

подобное решение не может быть бесплатным и свободно распространяться, поэтому, trial версия имеет урезаный код и предоставляет только информационные данные.

 

Вообще мне непонятно такое отношение к бюджетному решению.

 

По Вашему (для тех же домовых сетей) лучше купить кучу управляемых свичей, на неизвестно какие деньги, чем использовать бюджетное программное решение?

 

А как Вам такой вариант:

Пользователь подключен к VLAN городского провайдера. У пользователя дома два компьютера подключены через обычный свич. Весь VLAN провайдера построен на неуправляемых коммутаторах, другими словами кроме этих двух компьютеров пользователя в сети оказываются еще пара десятков... (сплошь и рядом).

Нашему пользователю, эта пара десятков в сети не нужна.

Ему остается либо заморачиваться и настраивать файервол, чтоб защитить свои два компьютера от неизвестно кого (файервол тоже платный, и защищает только на L3)...

Либо установить L2NT без лишних забот...

Либо купить за кучу денег управляемый свич...

 

Чем не решение для этого пользователя?

 

Лично я использую L2NT как раз в таком случае. Провайдер - я думаю будет доволен, в моем VLAN сеть не создать -> все пользователи обмениваются информацией через сервис провайдера и платят за это деньги, и ему, провайдеру, лишний раз не надо брать в руки паяльник и модернизировать свои Д-линки. Я уверен, у 99% тех, кто захочет что-то сделать в моем VLAN ничего не выйдет.

Примеров можно привести много.

 

Зря Вы так категорично относитесь к подобным решениям.

Для кого-то это единственный вариант подобной функциональности.

[Korj]

Барий, По моему, лучше понимать, что сеть незащищённая и принимать соответствующие меры, чем тешить себя надеждами.

Максимум, что делает сервис - обманывает нелегитимный узел и все обращения к нему. Никаких вредноносных действий в отношении узла не предпринимается.

Максимум, что делает сервис, насколько это можно понять из отсутствующей документации и закрытого кода - производит ARP-атаку всех компьютеров сети, что не знаю как у Вас, а у нас в принципе карается по УК.

При этом самое частое несанкционированное действие пользователя - подмену MAC и IP на соседские чудо-программа не отловит, работу мало-мальски логично написанного ARP-эксплоита, который не будет отвечать на тупые запросы "левых" компов-ревизоров и бродкастить тоже не будет тоже не просечёт, но будет постоянно флудить.

Плюс ещё и WinPCAP, который во многих конфигурациях роняет виндовый стек пользователя.

Это я перечислил только очевидные "минусы" такой программы.

Вцелом же, программа мало чем отличается от эксплоита - продавать эксплоиты за деньги -- дело не новое, вот рекламировать это на nag-е...

[Barsick]

продавать эксплоиты за деньги -- дело не новое, вот рекламировать это на nag-е...

Будешь смеяться - но я у него заказал... интересно - продаст или нет?

[itl2044]

Скажите, а спасет ли Ваша программа от случаев, когда юзер отключит шнурок от сетевушки, поменяет МАС, IP на данные другого юзера, и включит шнурочек опять в сетевую карту.

И мне не понятно, что в вашей программе значит поле REQ(запрос).

[Nag]

А я пока рекламу-то прибью...

[Nallien]

убивать. это все жульничество, на грани УГОЛОВНОГО кодекса. але ?! люди !? вы чем думаете ? да - от СЛУЧАЙНЫХ ошибок пользователей - она "поможет" :) от умышленного и злонамеренного плана - никак нет. уж не знаю, что это там за неуправляемый свитчи с влан'ами (уж не 1008д ?), но "закон сети" известенет - либо управляемое железо - либо долго и нудно разгребать кучи проблем со всем остальным.

[Барий]

2Korj:

 

Во-первых: документация есть и на сайте и в дистрибутиве.

Во-вторых: в документации выделено жирным шрифтом, что за преднамеренное нарушение работы ЭВМ, их сетей и т.д. предусмотрена УГОЛОВНАЯ ответственность, выдержки из УК тоже есть.

 

Я не пойму, чего вы так испугались-то? Кроме вас никто так категорично не отнесся.

 

Я могу привести ассоциацию с примером из моей жизни:

Уже не один год я хожу с травматическим оружием, на него имеется лицензия. Я знаю закон, знаю для чего оно мне и знаю о последствиях незаконного применения. Я не нарушаю закон.

Другой пример - сплошь и рядом, стреляют, убивают и т.д. из такого же оружия.

 

А теперь вопрос: почему пользователь не может использовать ПО, которое предназначено для защиты и специально разрабатывается для защиты (подобно оружию), но, используя которое можно преступить закон и нанести вред и ущерб другим?

 

Объясните, популярно.

Только не надо говорить, что его своруют, сломают и т.д. и начнется его незаконное применение. Так же я могу сказать, что оружие воруют, покупают на черном рынке и убивают людей, каждый день. И за то и за другое предусмотрена уголовная ответственность. Я не пойму, в чем проблемы. Еще раз повторяю, что программа выложена с уразаным кодом, на нее нужна лицензия, подобно моему пистолету...

 

Насчет ARP атаки всех компьютеров в сети вы не правы. Это касается только нелегитимных узлов (подобно преступникам и боевикам, которых убивают государственные структуры). Легитимные узлы определяет администратор.

 

С тем, что WinPcap роняет виндовый стек пользователя я ни разу не сталкивался. А вот с тем, что приложения, использующие WinPcap - могу согласиться. Но это уже приложения...

 

 

Насчет MAC и IP соседа. Да это возможно, так же как и кража паролей и всего остального, так же как и подключение к порту управляемого коммутатора с фильтрацией MAC. При большом желании все можно сделать. Разница лишь в трудозатратах. И я никогда не соглашусь, что управляемый коммутатор за пару тыс. зеленых и стометровый кусок кабеля от коммутатора до моего домашнего компьютера дают мне 100% уверенность в том, что под моим MAC и IP ни кто не подключится.

[puh]

Барий, а пошли ка вы.... читать прайсы вендоров

 

хочу вам открыть один большой секрет. только тсс! никому больше не говорите! управляемые коммутаторы можно купить за сильно более скромные деньги, чем 2000 зелёных. За вполне подъёмные даже пионерской сети деньги.

[Барий]

2puh:

 

Ну описАлся, чего сразу посылать-то? :-)

 

Хотел написать: "даже за пару тысяч зеленых..." :-)

[Солнечный КОТ]

И я никогда не соглашусь, что управляемый коммутатор за пару тыс. зеленых и стометровый кусок кабеля от коммутатора до моего домашнего компьютера дают мне 100% уверенность в том, что под моим MAC и IP ни кто не подключится.

 

Давайте поспорим на ваше правое ухо, что дает гарантию ненанесения серьезного ущерба как оператору, так и клиенту.

[balamutang]

Насчет MAC и IP соседа. Да это возможно, так же как и кража паролей и всего остального, так же как и подключение к порту управляемого коммутатора с фильтрацией MAC. При большом желании все можно сделать. Разница лишь в трудозатратах.

какие трудозатраты то? это умеют самые сопливые пионеры.

1) пингуем соседа (ping 192.168.0.10)

2) узнаем его МАК (arp -a) (напротив IP будет стоять MAC)

3) когда сосед выключается:

а)заходим в свойства сетевой карты-настроить-дополнительно в поле network address пишем МАК соседа.

б)в свойствах TCP/IP ставим IP соседа.

 

все. ваша программа курит.

 

И я никогда не соглашусь, что управляемый коммутатор за пару тыс. зеленых и стометровый кусок кабеля от коммутатора до моего домашнего компьютера дают мне 100% уверенность в том, что под моим MAC и IP ни кто не подключится.

а зря. ты управляемый коммутатор в руках то держал?

[Барий]

2Солнечный КОТ

 

Тогда ставьте левое! :-)

 

Тот, кому это действительно надо сначала узнает MAC и IP, а потом глубокой ночью придет с ноутбуком, перережет кабель, обожмет и вставит себе в комп. Далее он сделает свое темное дело и уйдет.

 

Ущерб клиенту налицо. Даже если за восстановление кабеля он платить не будет.

 

1:0 в мою пользу :-)

[balamutang]

2Солнечный КОТ

 

Тогда ставьте левое! :-)

 

Тот, кому это действительно надо сначала узнает MAC и IP, а потом глубокой ночью придет с ноутбуком, перережет кабель, обожмет и вставит себе в комп. Далее он сделает свое темное дело и уйдет.

 

Ущерб клиенту налицо. Даже если за восстановление кабеля он платить не будет.

 

1:0 в мою пользу :-)

человек у которого есть ноутбук, инструмент для обжима и который умеет обжимать кабель - ночью по подъездам не ходит в поисках интернета. :)

[ALIEN2002]

balamutang,

Ну подменил я МАС адрес и что, а нахрена чужой ip нужен??

[Nallien]

да в топку тему. чушь все это :( бред и отмазни.

 

если человек думает что НОРМАЛЬНЫЙ управляемый коммутатор можно как-то обойти если на его порт стоит привязка макИП, то соответсвенно и программулина работает так же.

 

повторю народную истину еще раз

"или управляемое железо - или никаких гарантий".

 

предлагаю дальше флэйм не разводить.

[balamutang]

balamutang,  

Ну подменил я МАС адрес и что, а нахрена чужой ip нужен??

да хрен знает... а нафига ты МАК тогда подменил? :)

вобщем-то разговор идет о аутентификации по связке MAC/IP в неуправляемой сети. предполагаю что злонамеренному лицу (ксакепу) нет смысла менять МАК или IP отдельно, если он конечно не ставит себе задачи спалиться...

[balamutang]

если человек думает что НОРМАЛЬНЫЙ управляемый коммутатор можно как-то обойти если на его порт стоит привязка макИП, то соответсвенно и программулина работает так же.

не, чувак задвигает тему что можно физически подключиться к коммутатору на чужой порт с чужим МАК/ИП (которые привязаны к этому порту)... но честно говоря от такого не спасет и его программа. соответственно он на полном серьезе предполагает что его программа в сети равнозначна управляемому свичу :)

бред конечно, но смешно.

по его логике получается что циска по надежности равна PC-роутеру. ведь если обе эти железяки погрузить в таз с водой и включить - обе сломаются одинаково. ;)

[short]

"тезхнические вопросы" - медленно умирают!!!

 

караул!!

 

:DDDDDDDDDD

[Ugnich Anton]

человек у которого есть ноутбук, инструмент для обжима и который умеет обжимать кабель - ночью по подъездам не ходит в поисках интернета. :)

Это злой конкурент портит вашу репутацию. :)

[Reanimator++]

предлагаю применить програмку и в этом случае:

http://forum.nag.ru/viewtopic.php?t=19903

оО

[Bond]

Те L3 комутаторы которые могут привязать болше 60 маков на порт как раз стоят не 100 долларов и не 300, так что как временное решение для сетей до 100-150 юзеров можна опробовать.

[Shiva]

Барий,

Тот, кому это действительно надо сначала узнает MAC и IP, а потом глубокой ночью придет с ноутбуком, перережет кабель, обожмет и вставит себе в комп. Далее он сделает свое темное дело и уйдет.

Мне будет интересно посмотреть, когда этому горе хакеру предложат ввстти логин и пароль для доступ в сеть :) гы-гы. 802.1х рулит :)

 

Ущерб клиенту налицо. Даже если за восстановление кабеля он платить не будет.

А где гарантия, что это не он сам вышел :) В этом будет разбиратся уже управление К. А я честно потребую возместить просиженое.

[Saenara]

Никогда не думал, что гербалайф курят. Аффтар топика открыл мне глаза ;-)