Blokowanie uzywania sieci LAN
Moderatorzy: Moderatorzy, Administratorzy
Blokowanie uzywania sieci LAN
Na poczatek chcialbym przywitac wszystkich uzytkownikow forum i przedstawic moj pierwszy i pewno nie ostatni problem
Jak mozna zablokowac uzywanie sieci LAN ( nie chodzi mi o dostep do internetu) nielegalnym uzytkownikom?
Chodzi mi dokladnie o to aby np. dhcp z puli wydzielonych adresow przydzielal znanym uzytkownikom zawsze to samo IP na podstawie ich adresow MAC ( to mam), a jezeli do sieci wlaczyl by sie ktos obcy to nie uzyskal by poprawnego adresu z dhcp i nie moglby uzywac sieci LAN (przegladac zasobow, itp.)
Czy da sie cos takiego wykonac przez dhcp czy moze trzeba inaczej?
Jak mozna zablokowac uzywanie sieci LAN ( nie chodzi mi o dostep do internetu) nielegalnym uzytkownikom?
Chodzi mi dokladnie o to aby np. dhcp z puli wydzielonych adresow przydzielal znanym uzytkownikom zawsze to samo IP na podstawie ich adresow MAC ( to mam), a jezeli do sieci wlaczyl by sie ktos obcy to nie uzyskal by poprawnego adresu z dhcp i nie moglby uzywac sieci LAN (przegladac zasobow, itp.)
Czy da sie cos takiego wykonac przez dhcp czy moze trzeba inaczej?
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Blokowanie uzywania sieci LAN
Jesli dhcp rozdaje IP po MACach to nowy komp wpiety do sieci nie uzyska poprawnego IP z DHCP. Ale moze sobie ustawic jakies inne odpowiednie dla podsieci w ktorej jest i zaistnieje na LANie (lub jego czesci). Zawsze jednak delikwent moze zmienic MACa i podszyc sie pod uprawnionego usera, wtedy bedzie mial i lan i neta (chyba ze beda dwa takie same MACi jednoczesnie online wtedy bedzie mial problemy).
Jedyna 100% blokada nielegalnego wpinania sie do sieci to konfigurowalne switche z ustawiona blokada na 1 statyczny MAC na kazdym porcie.
Pozostale sposoby jak wyrywanie 2 takich samych MACow itd to tylko detekcja faktu dokonanego.
Jedyna 100% blokada nielegalnego wpinania sie do sieci to konfigurowalne switche z ustawiona blokada na 1 statyczny MAC na kazdym porcie.
Pozostale sposoby jak wyrywanie 2 takich samych MACow itd to tylko detekcja faktu dokonanego.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Re: Blokowanie uzywania sieci LAN
Ponoc przy dwoch identycznych MAC-ach i IP-kach w sieci nie sypie sie za duzo, net ma dzialac na obu kompach.
Z zabezpieczen switche zarzadzalne sa chyba tym drozszym wyjsciem. Taniej jest postawic PPPoE z szyfrowaniem albo puscic wszystko po IPsec. Adwersarz, nie znajac hasla czy klucza, nie bedzie mial szans na skorzystanie z lacz, bedzie mogl co najwyzej obciazac siec (tu sie nie da zabezpieczyc od strony software'owej)
Z zabezpieczen switche zarzadzalne sa chyba tym drozszym wyjsciem. Taniej jest postawic PPPoE z szyfrowaniem albo puscic wszystko po IPsec. Adwersarz, nie znajac hasla czy klucza, nie bedzie mial szans na skorzystanie z lacz, bedzie mogl co najwyzej obciazac siec (tu sie nie da zabezpieczyc od strony software'owej)
-zsh
#!/bin/bash
#!/usr/bin/perl -w
#!/bin/bash
#!/usr/bin/perl -w
Re: Blokowanie uzywania sieci LAN
a gdyby tak zablokowac porty? nie jestem pewien ale chyba w jednym skrypcie do dzielenia pasma
jest taka, gdzie blokuje sie dostep do LANu(czyli netbios) dla kompw z internetu
wiec jezeli da sie dla kompow z internetu to pewnie sie da dla kompow z LANie
jest taka, gdzie blokuje sie dostep do LANu(czyli netbios) dla kompw z internetu
wiec jezeli da sie dla kompow z internetu to pewnie sie da dla kompow z LANie
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Blokowanie uzywania sieci LAN
Mozna zblokowac porty na ktorych chodzi otoczenie sieciowe (samba) 137,138,139 ale to nie wyeliminuje kompa z obecnosci na lanie i mozliwosci komunikacji. Poza tym taka blokada najczesciej mialaby miejsce na serwerze(ruterze) a netbios dziala na zasadzie rozglaszania wiec komp bylby dalej istnial w jednym segmencie.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Re: Blokowanie uzywania sieci LAN
A jezeli siec podziele na mniejsze podsieci za pomoca maski i w ten sposob ogranicze liczbe IP do przydzielenia przez dhcp ewentualnie do wpisania z reki?snaj pisze:Jesli dhcp rozdaje IP po MACach to nowy komp wpiety do sieci nie uzyska poprawnego IP z DHCP. Ale moze sobie ustawic jakies inne odpowiednie dla podsieci w ktorej jest i zaistnieje na LANie (lub jego czesci).... .
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Blokowanie uzywania sieci LAN
Hmmm dozzie co do tego pppoe to jest to wciaz na podlozu ethernetu, wiec mozna sie swobodnie wpiac, lecz nie laczyc sie z serwerem, a dzialac na lanie (nie problem na intefejsach zrobic aliasy) a raczej na jego segmencie. Choc rozwiazanie ciekawe.
PS. Widzial ktos ladnego arta moze o pppoe ? :>
zorba idea wykorzystania maski i niewielkich podsieci zla nie jest, ale takie rozwiazanie zwiekszy wykorzystanie serwera(ruting miedzy tymi wszytkimi podsieciami) i to moze byc (a wlasciwie bedzie) waskie gardlo (no chyba ze dysponujesz wieksza iloscia ruterow wtedy sprawa jest prostsza ). Poza tym w przypadku rozbudowy sieci zapewne wynikna problemy z maskami i niewystaczajaca iloscia IP dla hostow w podsieciach.
Najlepiej trzymac sprzet (switche, huby) pozamykane, rozdzielac neta po mac+ip i poki wszyscy placa zrobic se wolne (no jeszcze mozna co jakis czas skanowac czy nie ma identycznych macow itd).
PS. Widzial ktos ladnego arta moze o pppoe ? :>
zorba idea wykorzystania maski i niewielkich podsieci zla nie jest, ale takie rozwiazanie zwiekszy wykorzystanie serwera(ruting miedzy tymi wszytkimi podsieciami) i to moze byc (a wlasciwie bedzie) waskie gardlo (no chyba ze dysponujesz wieksza iloscia ruterow wtedy sprawa jest prostsza ). Poza tym w przypadku rozbudowy sieci zapewne wynikna problemy z maskami i niewystaczajaca iloscia IP dla hostow w podsieciach.
Najlepiej trzymac sprzet (switche, huby) pozamykane, rozdzielac neta po mac+ip i poki wszyscy placa zrobic se wolne (no jeszcze mozna co jakis czas skanowac czy nie ma identycznych macow itd).
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Re: Blokowanie uzywania sieci LAN
powiem tak kiedys u kumpla podlaczalem internet, i byla taka jazda ze jego sieciowka nie byla dopisana i wlasnie serwer dhcp przydielal jej inne ip, jak sie okazalo zreszta po zesnifowaniu tego polaczenia, po ustawieniu wlasciwego MACa automatycznie dostal wlasciwe ip i parametry od serwera DHCP, czyli wniosek taki da sie to zrobic ale nie wiem jak bo wjazd na serwer nie mialem
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Blokowanie uzywania sieci LAN
A puenta z tego jest zupelnie inna - zeby cos dobrze zrobic to trzeba wiedziec jak i co.
Na bank konfig dhcpd byl tam zly i stada taki a nie inny efekt. Teorii sieci sie nie oszuka.
Na bank konfig dhcpd byl tam zly i stada taki a nie inny efekt. Teorii sieci sie nie oszuka.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Re: Blokowanie uzywania sieci LAN
IMO byl taki z premedytacja: zeby nikt sie nie podlaczal na lewo (ponoc stosuje sie takie "zabezpieczenie"). Jak widac, to jest kupa, nie zabezpieczenie.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
#!/bin/bash
#!/usr/bin/perl -w
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Blokowanie uzywania sieci LAN
kee ? :> O co chodzi ?!dozzie pisze:IMO byl taki z premedytacja: zeby nikt sie nie podlaczal na lewo (ponoc stosuje sie takie "zabezpieczenie"). Jak widac, to jest kupa, nie zabezpieczenie.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Re: Blokowanie uzywania sieci LAN
dozzie pisze:IMO (konfig dhcpd) byl taki z premedytacja: zeby nikt sie nie podlaczal na lewo (ponoc stosuje sie takie "zabezpieczenie"). Jak widac, to jest kupa, nie zabezpieczenie (mozna bardzo latwo sie podszyc pod kogos).
-zsh
#!/bin/bash
#!/usr/bin/perl -w
#!/bin/bash
#!/usr/bin/perl -w
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Blokowanie uzywania sieci LAN
Bo dokladnie tak jest, przeciez piszemy od poczatku ze samo dhcp nie jest zadnym zabezpieczeniem, to tylko element calego ciagu dzialal. Tak wiec to o czym napisal Torin nie powinno byc dla nikogo zaskoczeniem czy tez nowoscia.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Re: Blokowanie uzywania sieci LAN
DHCP to nie jest *zadne* zabezpieczenie, co najwyzej przed zawirusowanymi lamami z ikspekiem na laptopie.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
#!/bin/bash
#!/usr/bin/perl -w
- snaj
- Moderator w st. spocz.
- Posty: 1608
- Rejestracja: 2004-10-10, 16:32
- Lokalizacja: Warszawa
- Kontakt:
Re: Blokowanie uzywania sieci LAN
dozzie moze napiszesz w koncu otwarcie o co ci chodzi.
Bo jedyne co na razie widze to oderwany od toku dyskusji belkot.
Nagle zes sie przyssal ni z tego ni z owego do dhcp
Bo jedyne co na razie widze to oderwany od toku dyskusji belkot.
Nagle zes sie przyssal ni z tego ni z owego do dhcp
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*