Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

W tym miejscu zapraszamy Was do współpracy. Czekamy na propozycje, sugestie i rady.
Moderatorzy zatroszczą się o to, by najlepsze teksty trafiły do FAQ.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

Post autor: Skyscraper »

Zabezpieczanie się przed nadmiarowymi użytkownikami
("dzieła zebrane")


Autorzy: Uzytkownicy forum.slackware.pl
Changelog:
- 2006-10-18 / 23:35 - dodano pkt 10. PPPoE
- do 2006-10-18 - Pierwsza publikacja


Sposoby na zabezpieczanie sie przed tzw. "nadmiarowymi uzytkownikami", ktorzy podpinaja sie "na lewo" w sieci.

1. Static ARP na serwerze
Wykonanie statycznych wpisow w tablicy ARP, wiazacych adres logiczny IP z adresem fizycznym MAC karty sieciowej danego uzytkownika. Dotyczy sie to statycznej adresacji na stacjach roboczych jak i przydzielania adresow przez serwer DHCP. Nie rozwiazuje to calkowicie problemu, gdyz jak wiadomo osoba ktora zostala zablokowana na serwerze moze podmienic adres MAC karty sieciowej, aby uzyskac dostep zalozmy do Internetu.

Statyczny arp:
- Ograniczona arp-tablica (dokumentacja kernela)
- Trzeba arpa stawiać po każdym restarcie karty (np jak jest pad, czy coś ją zapcha).

Duble MAC/IP
- Łączenie MAC/IP (DHCP) - jest poniekąd rozwiązaniem, faktycznie że można przeskanować sieć i wpiąć się
za kogoś innego - i ma się sieć
- ale 2 takie same MAC adresy - powodują dziwne zachowanie się komputerów, połączenie sieciowe nie jest stabilne (na przemian zanika w obydwóch komputerach...) - użytkownicy zaczynają zgłaszać problemy...


2. Filtracja pakietow na serwerze
Wpuszczajaca pakiety tylko z puli adresow IP przydzielonych przez administratora. Dobrze polaczyc z punktem 1.


3. Stosowanie zarzadzalnych switchy
Switche ktore porty przyporzadkowuja do MACow to bardzo dobra rzecz, jednak ich cena raczej odstrasza. w sieciach ze zwyklymi switchami spotkalem sie z nadmiernym floodowaniem ktore przepelnialo tablice macowska na switchach. wtedy urzadzenie zachowywalo sie jak normalny hub. atak byl wykorzystywany w celu sniffowania.


4. Ograniczenie pasma
Pprzycinanie userów do określonego pasma też jest rozwiązaniem, nikt 30kb łącze nie podzieli na 5 osób (szczególnie między takich co to wiedzą co to kazaa). Mozna za to troche zlagodzic uzyszkodnikow, dzielac łącze konkretnie na ilość osób, a reszte (tzw. niechciejów) przydzielać na niższe - nie gwarantowane pasmo, czyli to co zostanie w danej chwili.W ten sposob otrzyma on np. 0,5 kB ale czasami dostanie max/ilość dzielonych uzytkowników. Jesli nikt nic nie bedzie sciagał/wysylał.(np. mamy łącze DSL 512 kbps i 13 osób. Kazdy z nich otrzymuje 4 kilo z HTB a niechciej dostanie reszte pasma, czyli prawie nic albo 4 kilo jesli nikt nie sciaga/wysyla)


5. one time passwords
Liczone przy użyciu jakiegoś automagicznego kalkulatora


6. Proxy + loginy
Proxy/Login
- Hmmm, ciekawe rozwiązanie - do haseł można zastosować opie (jednorazowe hasła) (ala banki internetowe) ;D


7. Oprogramowanie wykrywające anomalie sieciowe
Zakładając że sieć działa jak działa i kontrolujemy ludzi wpinających się do sieci (sami przydzielamy im IP/MAC), pomocne będą programy działające na wartswie drugiej:
- ArpWatch - pomaga przy wykryciu prób zmiany MAC adresu (jeżeli użytkownik nie wie jeszcze co i jak ma zrobić, zaczyna kombiniować
- ten program pomoże go wykryć)
- IDS (Snort) - pomoże wykryć MAC Floody, etc...
- Syslog-ng i dużo logów - np jak się nie zgadza IP z MAC'iem... - syslog-ng dlatego że umożliwia wykonanie zewnętrznego polecenia przy natrafieniu na określoną regułkę (np SMS, MAIL, że coś się nie tak dzieje w sieci).


8. Skrypt php do autoryzacji przez www
Czyli... przychodzi user do domu, wlacza komputer, wpisuje adres www serwera w sieci lokalnej gdzie musi podac haslo i login (polaczenie SSL). Po prawidlowym podaniu tych danych skrypt odblokowuje userowi internet przez iptables. Polaczenie jest szyfrowane 128-bitowym kluczem, hasla nie lataja po sieci w plaintext`cie. Mozna bylo by wymagac od uzytkownikow wylaczania firewalli blokujacych icmp_echo_reply dzieki czemu zastosowanie miala by funkcja pingowania komputera usera. Gdyby nie bylo odpowiedzi przez kilka minut skrypt mialby znowu blokowac dostep do netu uzytkownikowi. Oczywiscie mialo by to zastosowanie w polaczeniu z DHCP/Static ARP. Takze pozostala by tylko kwestia dublowania adresu MAC i IP. Ale looser mial by sens to robic tylko w momencie kiedy tamten sie juz zalogowal. Inaczej netu miec nie bedzie, wtedy na obu komputerach wypadnie wiele konfliktow adresow ip, internet prawie nie bedzie dzialac. Taki looser nie bedzie zadowolony i szybko zrezygnuje z kolejnych prob kombinacji


9. Seria zabezpieczeń
Zaczął bym od ucięcia dostępu do serwerka z LAN i małego ograniczenia
-> wyłączenie icmp (ping nie odpowiada)
-> dostęp tylko wybranym ip
-> ograniczenie hostów na proxy
-> wykrywanie zmiany mac i/lub ip
-> odpowiednio podzielone łącze (np. shaperd, HTB)
-> ustawienie na sztywno TTL

Po tych "mini zabezpieczeniach" przechodzimy od maskarady i ucięcia wszystkiego
-> ustalamy statyczne maci i ip
-> blokujemy wszystkie pakiety przychodzące/wychodzące, ustawiamy politykę DROP
-> otwieramy dostęp z zewnątrz do serwera dla konkretnych portów (www 80, ssh 22)
-> przydzielamy łącze wybranym adresom mac + ip + TTL !!!
-> odrzucamy każdą próbę połączenia z LAN oprócz wybranych hostów

Dodatkowo
-> dajemy do crona skrypt sprawdzający MAC + IP dostępnych komputerów
-> kilka razy dziennie sprawdzamy logi i sieć (można używać na szybko np. iptrafa)

Co zyskujemy?
-> ograniczony dostęp do serwera dla wybranych mac+ip+ttl
-> ew. transfer 'niechciejów' zmiejszony do minimum (poniżej przydzielonego transferu)

Ostatecznie ale skutecznie :) jest tylko JEDNO wyjście pozbycia się kogoś
-> odłączamy mu kabelek !


10. PPPoE
Ostatnio zmieniony 2006-10-19, 13:43 przez Skyscraper, łącznie zmieniany 4 razy.

Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

Post autor: Skyscraper »

Uporządkowałem wątek, jeśli ktoś ma ochotę dodać cos, rozbudować to zapraszam.

Awatar użytkownika
Bing
Pomocnik
Posty: 825
Rejestracja: 2004-12-26, 22:40
Lokalizacja: Sk-ce
Kontakt:

Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

Post autor: Bing »

Może warto jeszcze wspomnieć o pppoe ? ... do którego się ciągle pzzymieżam :(
Pozdrawiam
Bing

Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

Post autor: Skyscraper »

Bing pisze:Może warto jeszcze wspomnieć o pppoe ? ... do którego się ciągle pzzymieżam :(
Warto :), dorzucę jako punkt, a opis kiedyś może sie dorobi :)

Awatar użytkownika
Blizzard
Użytkownik
Posty: 191
Rejestracja: 2005-06-12, 21:40

Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

Post autor: Blizzard »

http://wikislack.olek.waw.pl/index.php?wiki=StaticArp


Not Found
The requested URL /index.php was not found on this server.

Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

Post autor: Radek_R »

#358274
http://www.prook.net

Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI

Post autor: Skyscraper »

Poprawione...

ODPOWIEDZ