[Alexander Udet]

Поднимаю темы которые многим интересны.

суть.

В сети появились люди которые умеют пользоваться сниферами и прочими сканерами уязвимостей и портов.

Кто что противопостовляет (софт) у себя против таких персонажей?

Давайте говорить сразу Win и Unix.

Хотя делать серваки в городских сетях под Win ИМХО - извращение.

[Filin]

Пока стоит 2000 проф. Обыкновенная одноранговая сеть.

Использую винроут с максимальными настройками.

 

Планирую поднять домен, поставить 2000 сервер и сделать привязку ИП адресов к МАК адресам.

БОльше пока ничего не придумал :))

 

Может в дальнейшем перейду на юникс, но пока меня устраивает винда.

[DrDiesel]

что дает привязка MAC-IP?

сам сижу на линухе

ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX

5 сек, и у меня MAC соседа...

[Maxim]

что дает привязка MAC-IP?

сам сижу на линухе

ifconfig eth0 hw ether XX:XX:XX:XX:XX:XX

5 сек, и у меня MAC соседа...

Вот для противодействия этому безобразию и используем VPN на W2k!

Кстати винда отлично справляется с VPN!

[iksmel]

Планирую поднять домен.

Вот из-за таких решений может появится невообразимая куча гемороя...

 

думаю, может имеет смысл накодить демона, который будет удалённо снимать данные о хосте появляющемся в сети, и отмечать изменение оных для каждого хоста...

[Lesnik]

думаю, может имеет смысл накодить демона, который будет удалённо снимать данные о хосте появляющемся в сети, и отмечать изменение оных для каждого хоста...

 

А чего его кодить? arpwatch уже давно накодили

[iksmel]

я имел в виду не МАСи а другие параметры системы

[Alexander Udet]

Я открывал эту тему думая что меня кто нибудь поучит как сниферов поганых находить или еще что то в этом духе.

А получилась дискусия на тему подмены IP и защиты от этого.

Тьфу.

Про подмену IP:

Хватит одно и тоже.

VPN VPN VPN и еще раз VPN

Как?

Все легко ...

а на сайте www.netup.ru даже есть подробная дока по настройке оного под Unix-ы.

 

P.S. Все давайте в форумах не будем более распространятся про подмену IP, Супер навороченый билинг за 10 рублей и обжим витой пары - как?. Честное слово надоело.

[Alexander Udet]

Я открывал эту тему думая что меня кто нибудь поучит как сниферов поганых находить или еще что то в этом духе.

А получилась дискусия на тему подмены IP и защиты от этого.

Тьфу.

Про подмену IP:

Хватит одно и тоже.

VPN VPN VPN и еще раз VPN

Как?

Все легко ...

а на сайте www.netup.ru даже есть подробная дока по настройке оного под Unix-ы.

 

P.S. Все давайте в форумах не будем более распространятся про подмену IP, Супер навороченый билинг за 10 рублей и обжим витой пары - как?. Честное слово надоело.

[DrDiesel]

1. Чтоб не снифирили - нормальные свитчи

2. Защита от сканирования - как вариант portsentry

[Alexsander]

1. Чтоб не снифирили - нормальные свитчи

2. Защита от сканирования - как вариант portsentry

 

Ха свичи второго уровня обходятся и очень даже легко ЛЮБЫЕ...

Даже под WIN есть софт... Cам думаю как избежать

[avial]

Про подмену IP:

Хватит одно и тоже.

VPN VPN VPN и еще раз VPN

Как?

Все легко ...

 

P.S. Все давайте в форумах не будем более распространятся про подмену IP, Супер навороченый билинг за 10 рублей и обжим витой пары - как?. Честное слово надоело.

 

Ага. Подними на скоростном канале VPN юзеров так на 200 с полной шифрацией трафика без соответствующего аппаратного за килобаксы.

Вот тогда и тему можно будет прикрыть. Да и пароль узнать ненамного сложнее, чем мак подменить. Просто ответственность перекладывается на пользователся. Типа галки не ставь, да пароль соседу не говори. Не для того VPN создавалась. Полгода назад я пытался найти, даже поднимал на форумах юниксовых тему о создании клиент-серверного варианта идентификации компа. Сервер на юниксе собирает данные от клиентов и кладет их в базу. Клиент у юзера сообщает серваку то, что надо. (прикидка: тип и частоту проца, какие-либо серйники аппаратные, вообще данные о конфигурации - да придумать много можно). Юзерам сообщать необязательно о том, что делает клиент.

Что мы имеем:

- Знаем время включения/выключения компа.

- с большой долей вероятности в домашней гетерогенной сетке можно идентифицировать комп среди 50-100 других.

- ограничивать инет на основе данных логина не обязательно. Гораздо эффектнее продемострировать умнику распечатку логинов с его компа и порядок смены им айпишников :-)

- инет включать только при наличии клиента - ну это само собой.

 

В общем, примерно так. Первые мысли.

 

Правда, при кол-ве народу>100, уже оправданна привязка на портах соотв. коммутаторов. Не так уж и дороги они для крупных сетей. Так что это вариант для пионеров :-)

[mevg]

Есть программа под Unix, которая определяет линуксовые машины в сети, на которых сетевуха стоит в promisc mode.

[DrDiesel]

Ха свичи второго уровня обходятся и очень даже легко ЛЮБЫЕ...  

Даже под WIN есть софт... Cам думаю как избежать

ну тогда расскажи как

[Mi4el]

Есть программа под Unix, которая определяет линуксовые машины в сети, на которых сетевуха стоит в promisc mode.

Это потому что linux сетевуха в promisc mode криво как-то работает, да и все звери в основном под win сидят. Там та прога под unix не поможет :(.

[DrDiesel]

Ха свичи второго уровня обходятся и очень даже легко ЛЮБЫЕ...  

Даже под WIN есть софт... Cам думаю как избежать

ну тогда расскажи как

Ну так как там насчет ЛЮБЫХ? ;-)

[Гость]

Пока стоит 2000 проф. Обыкновенная одноранговая сеть.

Использую винроут с максимальными настройками.

 

Планирую поднять домен, поставить 2000 сервер и сделать привязку ИП адресов к МАК адресам.

БОльше пока ничего не придумал :))

 

Может в дальнейшем перейду на юникс, но пока меня устраивает винда.

[bob]

Есть 2 вопроса, думаю интересные всем.

Как противостоять ARPspoofing'у (или хотя бы детектировать спуфера). arpwath не очень для этого подходит.

И как контролировать работу маршрутов при динамической маршрутизации. (анализ таблиц маршрутизаци не предлагать! :) т.к. во первых сеть гетерогенная, а во вторых этих роутов немерянно)

[vIv]

802.1x + MAC lockdown

 

и хоть обменяйся :-)

[Roman Ivanov]

Есть 2 вопроса, думаю интересные всем.

Как противостоять ARPspoofing'у (или хотя бы детектировать спуфера). arpwath не очень для этого подходит.

Т.е. не очень ?

[sirmax]

а так, что засечь сам факт сможет, но реально дать хоть какие-то данные для поимки урода - нет

switchport port-security violation shutdown

спасет мир

ИМХО

[Гость]

Есть программа под Unix, которая определяет линуксовые машины в сети, на которых сетевуха стоит в promisc mode.

Это потому что linux сетевуха в promisc mode криво как-то работает, да и все звери в основном под win сидят. Там та прога под unix не поможет :(.

[sadmitry]

А кто-нить юзает Snort ?

Интересно мнение народа.

[Гость]

DrDiesel,

защита от сканирования - это грамотно настроеный фарвол + "слегка" изменённые параметры ядра через sysctl, а portsentry мексимум что может сделать это "зарезать" ip с которго сканировали порты, и потом сообщить администратору по почте... но такой подход не всегда возможен...