Volodia Posted January 29, 2004 Posted January 29, 2004 В сетке появился нелегальный пользователь. Мало того, что он не платит абонентскую плату, дак ещё и компьютер назвал VIRUS. В принципе любой уже подключенный пользователь может кабель воткнуть не в свой компьютер, а в HUB и друга подключить ... Как с этим можно бороться (аппаратно или программно)? Вставить ник Quote
GonZO Posted January 29, 2004 Posted January 29, 2004 специальный вотчдог, отслеживающий появление в сети новых СЭ путем регулярных сканирований сети (или сравнения ARP-таблиц после броадкастов, таким образом еще и смену айпишников/подмену айпи отследить можно) Вставить ник Quote
RA_Marauder Posted January 29, 2004 Posted January 29, 2004 1. Документально. В правилах пользования сетью четко запретить для своих пользователей подобные действия. 2. Программно - сеть делится на сегменты, между сегментами устанавливается бридж/маршрутизатор, который ведет проверку пользователей на mac/ip. При появлении постороннего MAC-адреса или левого IP блокирует их внутри сегмента, плюс отсылает аларм по определенному адресу. 3. Аппаратно. С помощью свичей второго уровня можно привязать к каждому порту пользователя или группу пользователей. Все тоже самое, что с установкой бриджей, но хардварно. Естественно, чем меньше размер сегмента, тем проще отслеживать врагов. Даже в несегментированной сети можно найти левого подключенца. Один сотрудник пингует извращенца, а другой последовательно, на пару секунд, отрубает (физически, разъемом) лучи звезды, или половину гирлянды. И так 5-6 раз, в зависимости от сложности топологии. За пару часов можно установить пользователя, к которому сделано незаконное подключение. После чего кабель обрезается кусачками, а на новостной странице появляется комментарий, что юзер Вася Пупкин отключен за нарушение того-то и того-то навсегда. Это отобьет охоту у всех остальных ставить дома хабы. Вставить ник Quote
agaze Posted January 29, 2004 Posted January 29, 2004 хех, WinRoute щас каждый пионер сумеет, и хаб ессно _за_ ним поставит. А с ламерюгами конечно легко справиться... "Мы хорошие ребята, Жаль патронов маловато..." Вставить ник Quote
RA_Marauder Posted January 29, 2004 Posted January 29, 2004 хех, WinRoute щас каждый пионер сумеет, и хаб ессно _за_ ним поставит. Наврядли. Дополнительные проблемы и неудобства. Во-первых, связь будет только при постоянном включении первичного компа в сеть. Во-вторых, понадобится дополнительная сетевая плата. Да и настроить ее нужно. Вобщем, сложно представить себе пользователя, который добровольно согласится держать на своей машине винраут, да и вообще заморачиваться со всей лабудой. Да и стоимость всего комплекса будет сравнима со стоимостью легального подключения. Вставить ник Quote
Тимур Posted January 29, 2004 Posted January 29, 2004 Volodia, В сетке появился нелегальный пользователь. Мало того, что он не платит абонентскую плату, дак ещё и компьютер назвал VIRUS. В принципе любой уже подключенный пользователь может кабель воткнуть не в свой компьютер, а в HUB и друга подключить ... Как с этим можно бороться (аппаратно или программно)? А как он спрашивается попал в сеть? Я надеюсь речь не идет о том, что он подключился к ВАШЕМУ хабу? :-)) 1 Вариант Один из ваших клиентов поставил в квартире хаб, выдал провод тому чуваку, тот вбил сетевые настройки из пространства и все заработало. Вычислите пользователя, который поставил хаб. Начислите ему абонплату за использование внутрисетевых ресурсов. И штраф долларов 20. 2Вариант Тот друг поставил не хаб, а прокси. Тогда не понятно, каким образом левый комп выходит в сеть. У него же должно быть другое адресное пространство? Я для себя решил, что "тут уж ничего не поделаешь". Если люди готовы заморачиваться, платить совместно, и т.д. то это надо просто терпеть. Если терпеть реселлеров не получается, то можно попробовать на маршрутизаторе ограничивать скорость соединения, кол-во TCP сессий. Или еще что-нибудь придумать. Вставить ник Quote
RA_Marauder Posted January 29, 2004 Posted January 29, 2004 Или еще что-нибудь придумать. А кастрировать их всех нах :) Вставить ник Quote
Тимур Posted January 29, 2004 Posted January 29, 2004 RA_Marauder, А кастрировать их всех нах :) Я такого плана браваду стараюсь недопускать даже вмыслях. Все равно ведь, никто никого кастрировать не будет. Мы же не героином торгуем, не оружием. :-) В принципе реселлера видно. Если аккаунт одновременно шарится по пяти сайтам, то что-то тут не так. Простейший вариант - поставить на маршрутизаторе правило, чтобы у них появилась потеря пакетов на уровне 5%. Потом 10% Когда они начнут жаловаться, можно сделать скорбную мину и сказать, что это от того, что на одной линии висит много юзеров. Ну там типа антихакерскую защиту начинает колбасить... Если они реально бедные, может стоит войти в положение. Сделать им какие-то скидки. Если они богатые, но жадные, то теоретически кому-то из них должно надоесть и консорция распадется. Вставить ник Quote
RA_Marauder Posted January 30, 2004 Posted January 30, 2004 Тимур, а стоит ли оно мороки? Тут же проблема не в том, что левый юзер пользует платный трафик. Проблема возникает только при использовании леваками бесплатных или неограниченных ресурсов. Т.е. локал или анлимитедный интернет. Если у человека в сети стандартная де-факто для РФ ситуация, локал за абонентную плату, а интернет оплачивается по трафику - провайдер теряет только абонентную плату. Обычно невысокую, 2-5 долларов. Стоит ли морочиться отловом? Другое дело, что в данной конкретной ситуации есть открытый вызов провайдеру. Т.е. человек не скрывает своего присутствия в сети. За это надо наказывать. Публичной поркой. А как его отловить - я подробно описал. Вставить ник Quote
Тимур Posted January 30, 2004 Posted January 30, 2004 RA_Marauder, Тут же проблема не в том, что левый юзер пользует платный трафик. Проблема возникает только при использовании леваками бесплатных или неограниченных ресурсов. Т.е. локал или анлимитедный интернет. Если у человека в сети стандартная де-факто для РФ ситуация, локал за абонентную плату, а интернет оплачивается по трафику - провайдер теряет только абонентную плату. Обычно невысокую, 2-5 долларов. Стоит ли морочиться отловом? Ну как сказать. Если три человека платят вместе, то ты теряешь половину прибыли. Ситуация потенциально может усугубляться. Я бы хотел иметь средство задавить возможность использования сети одновременно несколькими машинами. Вставить ник Quote
GonZO Posted January 30, 2004 Posted January 30, 2004 Ну как сказать. Если три человека платят вместе, то ты теряешь половину прибыли. Ситуация потенциально может усугубляться. Я бы хотел иметь средство задавить возможность использования сети одновременно несколькими машинами. Если оплата потраффиковая -- то ты ничего не теряешь. трое человек просто высосут в три раза больше траффика, и ты в накладе не останешься. Или ты ethenet-провайдер, берущий оплату за время нахождения на линии? анбиливибл. Вставить ник Quote
Тимур Posted January 30, 2004 Posted January 30, 2004 GonZO, Если оплата потраффиковая -- то ты ничего не теряешь. трое человек просто высосут в три раза больше траффика, и ты в накладе не останешься. :-) А разве у вас на старших тарифах цена на трафик не падает? Вставить ник Quote
jab Posted January 30, 2004 Posted January 30, 2004 :-) А разве у вас на старших тарифах цена на трафик не падает? А разве драгдилеры первую дозу не могут дать бесплатно ? Вставить ник Quote
ALIEN2002 Posted January 31, 2004 Posted January 31, 2004 Предлагаю использовать систему авторизации по привязке МАС<->IP. Вставить ник Quote
serpinar Posted February 1, 2004 Posted February 1, 2004 Предлагаю использовать систему авторизации по привязке МАС<->IP. Могу ошибаться, но такую авторизацию не сломает только ленивый А поймать такого нелегального подключенца, если он меняет IP-MAC на существующие в сети, очень трудно. Особенно в домашних сетях с хабами на разных чердаках Вставить ник Quote
nuclearcat Posted February 1, 2004 Posted February 1, 2004 Ставьте PPPoE и не мучайтесь. Пользователям можно запретить делать трансферы по IP, ARP запросы отслеживать, и по маку обнаруживать где подключен нарушитель. Вставить ник Quote
Specz Posted February 2, 2004 Posted February 2, 2004 Как я ходил в сеть. Однажды у меня в доме появился кабельный провайдер, стало интересно что енто за чудо. Позно вечером когда все админы попили пЫвка и на кресло калачиком, решил я посмотреть что это у меня на чердаке. Запасся пачкордом внушительной длины я полез смотреть. Ломится в хаб было проще простого, так как хаб был в ящике с замком который защищал хаб от умыкания. Но кабельный ввод в шкаф был естественно, и немножко потащив за провода, возле вводных отверстий шкафа появились дырдачки хаба. Затем выламывания на разьёме RJ45 моего пачкорда усик фиксатора, 5 минут попаданий в дырдочку хаба, и физика готова. Затем спуск домой в припрыжку. Потом за Linux, tcpdump сразу показал что в хабе летает. IP сеть локалки была в руках. Далее прописываю на Линухе фаирвол, плотненько затыкая порты, чтобы небыло видно меня самого в сети, и делаю маскарад (NAT) в новую локалочку для винды. В результате получаем из локалочки 15 Гигов свежих фильмов и кучу MP3. Можно было ещё и с инетом заморочится, но так как я сам админ, какашку в биллинг коллеге подкладывать не стал. Да и модемного коннекта ещё и халявного дома хватает на 100%. Сей пример был рассказан для начинающих сетевиков, и расчитан на изучение и улучшение защиты сети. ЗЫ: 1. По возможности не скупитесь на свичи, их труднее слушать. 2. Блокируйте доступ к шкафам в местах общего доступа. 2. Используйте IPSEC для индентификации пользователя. 3. Не вешайте на один сервак биллинг, акцесс контороллер и файловый сервер для пользователей. (ставте 2 сервера :) ) 4. Проверяйте безопастность сети, ставя себя на место злоумышленника. Побуйте сами ломать свою сеть, просите друзей сделать это. 5. Купите хороший биллинг. Зачатую они способны отслеживать несанкционированный доступ к сети. Вставить ник Quote
nuclearcat Posted February 2, 2004 Posted February 2, 2004 1. Если уж ставить, то от такого "взлома", ставится управляемый свитч, как минимум блокируются неиспользуемые порты, и на каждый порт ставится фильтрация по маку, тогда не подменишь. Но решение слишком дорогое. "Используйте IPSEC для индентификации пользователя. " А ты сам его настраивал? Помоему абсолютно нерационально и непрактично для домашних пользователей, PPPoE должно хватить. Биллинг и т.п. можно вешать на один сервер, если руки правильные, и фиг получится заломать. То, что называете проверкой, профессионально могут сделать хакерские группы или конторы - аудит безопасности сети. Намного эффективнее чем просить знакомых. Опять же, если руки из правильного места - PPPoE или в крайнем случае PPTP(но PPTP легче атаковать). Вставить ник Quote
Specz Posted February 2, 2004 Posted February 2, 2004 Да ставил, IPSEC хорошо зарекомендовал себя. Если ты про сложность настройки IPSec на клиентах то тут есть скрипты позволяющие только прописать адреса и VPN-ключ пользователя. Дальнейшие настройки скрипт выполнит сам. IPsec предотврптит утечку паролей напимер почтовых, которые летают по локалочке только шум стоит. Незнаю как насчёт PPPoE вроде бы там шифрации протокола особой нет и авторизация происходит в открытом виде. Перехват такого пароля в PAP авторизации не составит труда даже у 10 класника начитавшегося журнала Хакер )) В краце. Ставим на сервер перехватчик слушалку сети на орределённый порт Х. При авторизации клиент посылает широковещательный запрос (адрес назначения - broadcast address) (PADI PPPoE Active Discovery Initiation) на поиск сервера со службой PPPoE даже если указан чётко IP сервера pppoe, услышав такой пакет мы начинаем писать дамп устанавлеемой сесии меджу клиентом и сервером, а там вытащить pass дело техники :) сервер шпион соберёт все пароли клиентов за пару суток, а если ещё и скрипт накатать то пришлёт вам готовые пароли SMS-кой на сотовик :))) С CHAP авторизацией чуть сложнее там идёт обмен ключами и MD5 довольно надёжно от доморощеных злодеев. Но это тоже не повод успокоится :) Вставить ник Quote
nuclearcat Posted February 2, 2004 Posted February 2, 2004 Естественно протокол CHAP :) Его можно заломать, но усилия не будут стоить аккаунта в домашней локалке. Вставить ник Quote
nuclearcat Posted February 2, 2004 Posted February 2, 2004 Да, кстати у PPPoE нет IP, и не все так просто. MPPE, и траффик уже шифруется. Вставить ник Quote
UglyAdmin Posted February 3, 2004 Posted February 3, 2004 MPPE требует несоразмерных ресурсов и аутентификации MSCHAP или MSCHAPv2, что умеют далеко не все железки. Кроме того, реализации на Линуксе малость хромают, судя по отзывам. IPSec действительно, слегка не в тему, и больше подходит для соединения фиксированных точек, каждую из которых настраивает админ. Однако, если его пользовать с L2TP, то получается почти не сложнее PPTP. Нужно только начальный ключ ввести в дополнение к логину и паролю. Вставить ник Quote
nuclearcat Posted February 3, 2004 Posted February 3, 2004 Я ставил последний MPPE, хромает в зависимости от настроек. Рекомендую http://www.polbox.com/h/hs001/ У меня мегабит на Via-C3 (чтото около 1 Ghz) - молотило около мегабита. L2TP мысль, только тут уже не каждый админ настроит, а готовых решений нет. С саппортом тоже будет тяжеловато. Вставить ник Quote
dima_tim Posted February 5, 2004 Posted February 5, 2004 У нас на каждый интерфейс шлюза на свободные адреса даются алиасы - типа сервер занимает все свободные IP. Интересный эффект на виндовые машины - тупо висят при попытке взять не "свой" IP, и даже не говорят что он занят другим пользователем. Вставить ник Quote
nuclearcat Posted February 6, 2004 Posted February 6, 2004 Я однажды писал как винды проверяют это дело, просто хакер возьмет IP при отключенном кабеле, запустит винды, а потом воткнет кабель. Вот и все дела... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.