Alexander Udet Опубликовано 4 ноября, 2002 · Жалоба Поднимаю темы которые многим интересны. суть. В сети появились люди которые умеют пользоваться сниферами и прочими сканерами уязвимостей и портов. Кто что противопостовляет (софт) у себя против таких персонажей? Давайте говорить сразу Win и Unix. Хотя делать серваки в городских сетях под Win ИМХО - извращение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Filin Опубликовано 5 ноября, 2002 · Жалоба Пока стоит 2000 проф. Обыкновенная одноранговая сеть. Использую винроут с максимальными настройками. Планирую поднять домен, поставить 2000 сервер и сделать привязку ИП адресов к МАК адресам. БОльше пока ничего не придумал :)) Может в дальнейшем перейду на юникс, но пока меня устраивает винда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DrDiesel Опубликовано 5 ноября, 2002 · Жалоба что дает привязка MAC-IP? сам сижу на линухе ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX 5 сек, и у меня MAC соседа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Maxim Опубликовано 6 ноября, 2002 · Жалоба что дает привязка MAC-IP?сам сижу на линухе ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX 5 сек, и у меня MAC соседа... Вот для противодействия этому безобразию и используем VPN на W2k! Кстати винда отлично справляется с VPN! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iksmel Опубликовано 6 ноября, 2002 · Жалоба Планирую поднять домен. Вот из-за таких решений может появится невообразимая куча гемороя... думаю, может имеет смысл накодить демона, который будет удалённо снимать данные о хосте появляющемся в сети, и отмечать изменение оных для каждого хоста... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lesnik Опубликовано 8 ноября, 2002 · Жалоба думаю, может имеет смысл накодить демона, который будет удалённо снимать данные о хосте появляющемся в сети, и отмечать изменение оных для каждого хоста... А чего его кодить? arpwatch уже давно накодили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iksmel Опубликовано 8 ноября, 2002 · Жалоба я имел в виду не МАСи а другие параметры системы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander Udet Опубликовано 12 ноября, 2002 · Жалоба Я открывал эту тему думая что меня кто нибудь поучит как сниферов поганых находить или еще что то в этом духе. А получилась дискусия на тему подмены IP и защиты от этого. Тьфу. Про подмену IP: Хватит одно и тоже. VPN VPN VPN и еще раз VPN Как? Все легко ... а на сайте www.netup.ru даже есть подробная дока по настройке оного под Unix-ы. P.S. Все давайте в форумах не будем более распространятся про подмену IP, Супер навороченый билинг за 10 рублей и обжим витой пары - как?. Честное слово надоело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander Udet Опубликовано 12 ноября, 2002 · Жалоба Я открывал эту тему думая что меня кто нибудь поучит как сниферов поганых находить или еще что то в этом духе. А получилась дискусия на тему подмены IP и защиты от этого. Тьфу. Про подмену IP: Хватит одно и тоже. VPN VPN VPN и еще раз VPN Как? Все легко ... а на сайте www.netup.ru даже есть подробная дока по настройке оного под Unix-ы. P.S. Все давайте в форумах не будем более распространятся про подмену IP, Супер навороченый билинг за 10 рублей и обжим витой пары - как?. Честное слово надоело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DrDiesel Опубликовано 12 ноября, 2002 · Жалоба 1. Чтоб не снифирили - нормальные свитчи 2. Защита от сканирования - как вариант portsentry Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexsander Опубликовано 16 ноября, 2002 · Жалоба 1. Чтоб не снифирили - нормальные свитчи2. Защита от сканирования - как вариант portsentry Ха свичи второго уровня обходятся и очень даже легко ЛЮБЫЕ... Даже под WIN есть софт... Cам думаю как избежать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avial Опубликовано 16 ноября, 2002 · Жалоба Про подмену IP:Хватит одно и тоже. VPN VPN VPN и еще раз VPN Как? Все легко ... P.S. Все давайте в форумах не будем более распространятся про подмену IP, Супер навороченый билинг за 10 рублей и обжим витой пары - как?. Честное слово надоело. Ага. Подними на скоростном канале VPN юзеров так на 200 с полной шифрацией трафика без соответствующего аппаратного за килобаксы. Вот тогда и тему можно будет прикрыть. Да и пароль узнать ненамного сложнее, чем мак подменить. Просто ответственность перекладывается на пользователся. Типа галки не ставь, да пароль соседу не говори. Не для того VPN создавалась. Полгода назад я пытался найти, даже поднимал на форумах юниксовых тему о создании клиент-серверного варианта идентификации компа. Сервер на юниксе собирает данные от клиентов и кладет их в базу. Клиент у юзера сообщает серваку то, что надо. (прикидка: тип и частоту проца, какие-либо серйники аппаратные, вообще данные о конфигурации - да придумать много можно). Юзерам сообщать необязательно о том, что делает клиент. Что мы имеем: - Знаем время включения/выключения компа. - с большой долей вероятности в домашней гетерогенной сетке можно идентифицировать комп среди 50-100 других. - ограничивать инет на основе данных логина не обязательно. Гораздо эффектнее продемострировать умнику распечатку логинов с его компа и порядок смены им айпишников :-) - инет включать только при наличии клиента - ну это само собой. В общем, примерно так. Первые мысли. Правда, при кол-ве народу>100, уже оправданна привязка на портах соотв. коммутаторов. Не так уж и дороги они для крупных сетей. Так что это вариант для пионеров :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mevg Опубликовано 17 ноября, 2002 · Жалоба Есть программа под Unix, которая определяет линуксовые машины в сети, на которых сетевуха стоит в promisc mode. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DrDiesel Опубликовано 17 ноября, 2002 · Жалоба Ха свичи второго уровня обходятся и очень даже легко ЛЮБЫЕ... Даже под WIN есть софт... Cам думаю как избежать ну тогда расскажи как Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mi4el Опубликовано 17 ноября, 2002 · Жалоба Есть программа под Unix, которая определяет линуксовые машины в сети, на которых сетевуха стоит в promisc mode. Это потому что linux сетевуха в promisc mode криво как-то работает, да и все звери в основном под win сидят. Там та прога под unix не поможет :(. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DrDiesel Опубликовано 20 ноября, 2002 · Жалоба Ха свичи второго уровня обходятся и очень даже легко ЛЮБЫЕ... Даже под WIN есть софт... Cам думаю как избежать ну тогда расскажи как Ну так как там насчет ЛЮБЫХ? ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 19 марта, 2005 · Жалоба Пока стоит 2000 проф. Обыкновенная одноранговая сеть.Использую винроут с максимальными настройками. Планирую поднять домен, поставить 2000 сервер и сделать привязку ИП адресов к МАК адресам. БОльше пока ничего не придумал :)) Может в дальнейшем перейду на юникс, но пока меня устраивает винда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bob Опубликовано 20 марта, 2005 · Жалоба Есть 2 вопроса, думаю интересные всем. Как противостоять ARPspoofing'у (или хотя бы детектировать спуфера). arpwath не очень для этого подходит. И как контролировать работу маршрутов при динамической маршрутизации. (анализ таблиц маршрутизаци не предлагать! :) т.к. во первых сеть гетерогенная, а во вторых этих роутов немерянно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 марта, 2005 · Жалоба 802.1x + MAC lockdown и хоть обменяйся :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 24 марта, 2005 · Жалоба Есть 2 вопроса, думаю интересные всем.Как противостоять ARPspoofing'у (или хотя бы детектировать спуфера). arpwath не очень для этого подходит. Т.е. не очень ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 24 марта, 2005 · Жалоба а так, что засечь сам факт сможет, но реально дать хоть какие-то данные для поимки урода - нет switchport port-security violation shutdown спасет мир ИМХО Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 3 мая, 2005 · Жалоба Есть программа под Unix, которая определяет линуксовые машины в сети, на которых сетевуха стоит в promisc mode. Это потому что linux сетевуха в promisc mode криво как-то работает, да и все звери в основном под win сидят. Там та прога под unix не поможет :(. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sadmitry Опубликовано 4 мая, 2005 · Жалоба А кто-нить юзает Snort ? Интересно мнение народа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 4 мая, 2005 · Жалоба DrDiesel, защита от сканирования - это грамотно настроеный фарвол + "слегка" изменённые параметры ядра через sysctl, а portsentry мексимум что может сделать это "зарезать" ip с которго сканировали порты, и потом сообщить администратору по почте... но такой подход не всегда возможен... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...