Blokowanie uzywania sieci LAN

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

zorba
Użytkownik
Posty: 2
Rejestracja: 2004-10-17, 08:42

Blokowanie uzywania sieci LAN

Post autor: zorba »

Na poczatek chcialbym przywitac wszystkich uzytkownikow forum i przedstawic moj pierwszy i pewno nie ostatni problem ;)

Jak mozna zablokowac uzywanie sieci LAN ( nie chodzi mi o dostep do internetu) nielegalnym uzytkownikom?
Chodzi mi dokladnie o to aby np. dhcp z puli wydzielonych adresow przydzielal znanym uzytkownikom zawsze to samo IP na podstawie ich adresow MAC ( to mam), a jezeli do sieci wlaczyl by sie ktos obcy to nie uzyskal by poprawnego adresu z dhcp i nie moglby uzywac sieci LAN (przegladac zasobow, itp.)

Czy da sie cos takiego wykonac przez dhcp czy moze trzeba inaczej?
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: snaj »

Jesli dhcp rozdaje IP po MACach to nowy komp wpiety do sieci nie uzyska poprawnego IP z DHCP. Ale moze sobie ustawic jakies inne odpowiednie dla podsieci w ktorej jest i zaistnieje na LANie (lub jego czesci). Zawsze jednak delikwent moze zmienic MACa i podszyc sie pod uprawnionego usera, wtedy bedzie mial i lan i neta (chyba ze beda dwa takie same MACi jednoczesnie online wtedy bedzie mial problemy).
Jedyna 100% blokada nielegalnego wpinania sie do sieci to konfigurowalne switche z ustawiona blokada na 1 statyczny MAC na kazdym porcie.
Pozostale sposoby jak wyrywanie 2 takich samych MACow itd to tylko detekcja faktu dokonanego.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Awatar użytkownika
dozzie
Użytkownik
Posty: 855
Rejestracja: 2004-06-01, 13:15
Lokalizacja: Wrocław
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: dozzie »

Ponoc przy dwoch identycznych MAC-ach i IP-kach w sieci nie sypie sie za duzo, net ma dzialac na obu kompach.
Z zabezpieczen switche zarzadzalne sa chyba tym drozszym wyjsciem. Taniej jest postawic PPPoE z szyfrowaniem albo puscic wszystko po IPsec. Adwersarz, nie znajac hasla czy klucza, nie bedzie mial szans na skorzystanie z lacz, bedzie mogl co najwyzej obciazac siec (tu sie nie da zabezpieczyc od strony software'owej)
-zsh
#!/bin/bash
#!/usr/bin/perl -w
sayetan
Moderator w st. spocz.
Posty: 2193
Rejestracja: 2004-06-20, 21:47
Lokalizacja: Jelenia Góra

Re: Blokowanie uzywania sieci LAN

Post autor: sayetan »

a gdyby tak zablokowac porty? nie jestem pewien ale chyba w jednym skrypcie do dzielenia pasma
jest taka, gdzie blokuje sie dostep do LANu(czyli netbios) dla kompw z internetu
wiec jezeli da sie dla kompow z internetu to pewnie sie da dla kompow z LANie
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: snaj »

Mozna zblokowac porty na ktorych chodzi otoczenie sieciowe (samba) 137,138,139 ale to nie wyeliminuje kompa z obecnosci na lanie i mozliwosci komunikacji. Poza tym taka blokada najczesciej mialaby miejsce na serwerze(ruterze) a netbios dziala na zasadzie rozglaszania wiec komp bylby dalej istnial w jednym segmencie.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
zorba
Użytkownik
Posty: 2
Rejestracja: 2004-10-17, 08:42

Re: Blokowanie uzywania sieci LAN

Post autor: zorba »

snaj pisze:Jesli dhcp rozdaje IP po MACach to nowy komp wpiety do sieci nie uzyska poprawnego IP z DHCP. Ale moze sobie ustawic jakies inne odpowiednie dla podsieci w ktorej jest i zaistnieje na LANie (lub jego czesci).... .
A jezeli siec podziele na mniejsze podsieci za pomoca maski i w ten sposob ogranicze liczbe IP do przydzielenia przez dhcp ewentualnie do wpisania z reki?
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: snaj »

Hmmm dozzie co do tego pppoe to jest to wciaz na podlozu ethernetu, wiec mozna sie swobodnie wpiac, lecz nie laczyc sie z serwerem, a dzialac na lanie (nie problem na intefejsach zrobic aliasy) a raczej na jego segmencie. Choc rozwiazanie ciekawe.
PS. Widzial ktos ladnego arta moze o pppoe ? :>

zorba idea wykorzystania maski i niewielkich podsieci zla nie jest, ale takie rozwiazanie zwiekszy wykorzystanie serwera(ruting miedzy tymi wszytkimi podsieciami) i to moze byc (a wlasciwie bedzie) waskie gardlo (no chyba ze dysponujesz wieksza iloscia ruterow :) wtedy sprawa jest prostsza ). Poza tym w przypadku rozbudowy sieci zapewne wynikna problemy z maskami i niewystaczajaca iloscia IP dla hostow w podsieciach.

Najlepiej trzymac sprzet (switche, huby) pozamykane, rozdzielac neta po mac+ip i poki wszyscy placa zrobic se wolne :) (no jeszcze mozna co jakis czas skanowac czy nie ma identycznych macow itd).
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Awatar użytkownika
Torin
Użytkownik
Posty: 30
Rejestracja: 2004-09-20, 16:48
Lokalizacja: [PL]Gdynia
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: Torin »

powiem tak kiedys u kumpla podlaczalem internet, i byla taka jazda ze jego sieciowka nie byla dopisana i wlasnie serwer dhcp przydielal jej inne ip, jak sie okazalo zreszta po zesnifowaniu tego polaczenia, po ustawieniu wlasciwego MACa automatycznie dostal wlasciwe ip i parametry od serwera DHCP, czyli wniosek taki da sie to zrobic ale nie wiem jak bo wjazd na serwer nie mialem
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: snaj »

A puenta z tego jest zupelnie inna - zeby cos dobrze zrobic to trzeba wiedziec jak i co.
Na bank konfig dhcpd byl tam zly i stada taki a nie inny efekt. Teorii sieci sie nie oszuka.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Awatar użytkownika
dozzie
Użytkownik
Posty: 855
Rejestracja: 2004-06-01, 13:15
Lokalizacja: Wrocław
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: dozzie »

IMO byl taki z premedytacja: zeby nikt sie nie podlaczal na lewo (ponoc stosuje sie takie "zabezpieczenie"). Jak widac, to jest kupa, nie zabezpieczenie.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: snaj »

dozzie pisze:IMO byl taki z premedytacja: zeby nikt sie nie podlaczal na lewo (ponoc stosuje sie takie "zabezpieczenie"). Jak widac, to jest kupa, nie zabezpieczenie.
kee ? :> O co chodzi ?!
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Awatar użytkownika
dozzie
Użytkownik
Posty: 855
Rejestracja: 2004-06-01, 13:15
Lokalizacja: Wrocław
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: dozzie »

dozzie pisze:IMO (konfig dhcpd) byl taki z premedytacja: zeby nikt sie nie podlaczal na lewo (ponoc stosuje sie takie "zabezpieczenie"). Jak widac, to jest kupa, nie zabezpieczenie (mozna bardzo latwo sie podszyc pod kogos).
-zsh
#!/bin/bash
#!/usr/bin/perl -w
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: snaj »

Bo dokladnie tak jest, przeciez piszemy od poczatku ze samo dhcp nie jest zadnym zabezpieczeniem, to tylko element calego ciagu dzialal. Tak wiec to o czym napisal Torin nie powinno byc dla nikogo zaskoczeniem czy tez nowoscia.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Awatar użytkownika
dozzie
Użytkownik
Posty: 855
Rejestracja: 2004-06-01, 13:15
Lokalizacja: Wrocław
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: dozzie »

DHCP to nie jest *zadne* zabezpieczenie, co najwyzej przed zawirusowanymi lamami z ikspekiem na laptopie.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie uzywania sieci LAN

Post autor: snaj »

dozzie moze napiszesz w koncu otwarcie o co ci chodzi.
Bo jedyne co na razie widze to oderwany od toku dyskusji belkot.
Nagle zes sie przyssal ni z tego ni z owego do dhcp :?
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
ODPOWIEDZ