Zabezpieczanie się przed nadmiarowymi użytkownikami
("dzieła zebrane")
Autorzy: Uzytkownicy forum.slackware.pl
Changelog:
- 2006-10-18 / 23:35 - dodano pkt 10. PPPoE
- do 2006-10-18 - Pierwsza publikacja
Sposoby na zabezpieczanie sie przed tzw. "nadmiarowymi uzytkownikami", ktorzy podpinaja sie "na lewo" w sieci.
1. Static ARP na serwerze
Wykonanie statycznych wpisow w tablicy ARP, wiazacych adres logiczny IP z adresem fizycznym MAC karty sieciowej danego uzytkownika. Dotyczy sie to statycznej adresacji na stacjach roboczych jak i przydzielania adresow przez serwer DHCP. Nie rozwiazuje to calkowicie problemu, gdyz jak wiadomo osoba ktora zostala zablokowana na serwerze moze podmienic adres MAC karty sieciowej, aby uzyskac dostep zalozmy do Internetu.
Statyczny arp:
- Ograniczona arp-tablica (dokumentacja kernela)
- Trzeba arpa stawiać po każdym restarcie karty (np jak jest pad, czy coś ją zapcha).
Duble MAC/IP
- Łączenie MAC/IP (DHCP) - jest poniekąd rozwiązaniem, faktycznie że można przeskanować sieć i wpiąć się
za kogoś innego - i ma się sieć
- ale 2 takie same MAC adresy - powodują dziwne zachowanie się komputerów, połączenie sieciowe nie jest stabilne (na przemian zanika w obydwóch komputerach...) - użytkownicy zaczynają zgłaszać problemy...
2. Filtracja pakietow na serwerze
Wpuszczajaca pakiety tylko z puli adresow IP przydzielonych przez administratora. Dobrze polaczyc z punktem 1.
3. Stosowanie zarzadzalnych switchy
Switche ktore porty przyporzadkowuja do MACow to bardzo dobra rzecz, jednak ich cena raczej odstrasza. w sieciach ze zwyklymi switchami spotkalem sie z nadmiernym floodowaniem ktore przepelnialo tablice macowska na switchach. wtedy urzadzenie zachowywalo sie jak normalny hub. atak byl wykorzystywany w celu sniffowania.
4. Ograniczenie pasma
Pprzycinanie userów do określonego pasma też jest rozwiązaniem, nikt 30kb łącze nie podzieli na 5 osób (szczególnie między takich co to wiedzą co to kazaa). Mozna za to troche zlagodzic uzyszkodnikow, dzielac łącze konkretnie na ilość osób, a reszte (tzw. niechciejów) przydzielać na niższe - nie gwarantowane pasmo, czyli to co zostanie w danej chwili.W ten sposob otrzyma on np. 0,5 kB ale czasami dostanie max/ilość dzielonych uzytkowników. Jesli nikt nic nie bedzie sciagał/wysylał.(np. mamy łącze DSL 512 kbps i 13 osób. Kazdy z nich otrzymuje 4 kilo z HTB a niechciej dostanie reszte pasma, czyli prawie nic albo 4 kilo jesli nikt nie sciaga/wysyla)
5. one time passwords
Liczone przy użyciu jakiegoś automagicznego kalkulatora
6. Proxy + loginy
Proxy/Login
- Hmmm, ciekawe rozwiązanie - do haseł można zastosować opie (jednorazowe hasła) (ala banki internetowe) ;D
7. Oprogramowanie wykrywające anomalie sieciowe
Zakładając że sieć działa jak działa i kontrolujemy ludzi wpinających się do sieci (sami przydzielamy im IP/MAC), pomocne będą programy działające na wartswie drugiej:
- ArpWatch - pomaga przy wykryciu prób zmiany MAC adresu (jeżeli użytkownik nie wie jeszcze co i jak ma zrobić, zaczyna kombiniować
- ten program pomoże go wykryć)
- IDS (Snort) - pomoże wykryć MAC Floody, etc...
- Syslog-ng i dużo logów - np jak się nie zgadza IP z MAC'iem... - syslog-ng dlatego że umożliwia wykonanie zewnętrznego polecenia przy natrafieniu na określoną regułkę (np SMS, MAIL, że coś się nie tak dzieje w sieci).
8. Skrypt php do autoryzacji przez www
Czyli... przychodzi user do domu, wlacza komputer, wpisuje adres www serwera w sieci lokalnej gdzie musi podac haslo i login (polaczenie SSL). Po prawidlowym podaniu tych danych skrypt odblokowuje userowi internet przez iptables. Polaczenie jest szyfrowane 128-bitowym kluczem, hasla nie lataja po sieci w plaintext`cie. Mozna bylo by wymagac od uzytkownikow wylaczania firewalli blokujacych icmp_echo_reply dzieki czemu zastosowanie miala by funkcja pingowania komputera usera. Gdyby nie bylo odpowiedzi przez kilka minut skrypt mialby znowu blokowac dostep do netu uzytkownikowi. Oczywiscie mialo by to zastosowanie w polaczeniu z DHCP/Static ARP. Takze pozostala by tylko kwestia dublowania adresu MAC i IP. Ale looser mial by sens to robic tylko w momencie kiedy tamten sie juz zalogowal. Inaczej netu miec nie bedzie, wtedy na obu komputerach wypadnie wiele konfliktow adresow ip, internet prawie nie bedzie dzialac. Taki looser nie bedzie zadowolony i szybko zrezygnuje z kolejnych prob kombinacji
9. Seria zabezpieczeń
Zaczął bym od ucięcia dostępu do serwerka z LAN i małego ograniczenia
-> wyłączenie icmp (ping nie odpowiada)
-> dostęp tylko wybranym ip
-> ograniczenie hostów na proxy
-> wykrywanie zmiany mac i/lub ip
-> odpowiednio podzielone łącze (np. shaperd, HTB)
-> ustawienie na sztywno TTL
Po tych "mini zabezpieczeniach" przechodzimy od maskarady i ucięcia wszystkiego
-> ustalamy statyczne maci i ip
-> blokujemy wszystkie pakiety przychodzące/wychodzące, ustawiamy politykę DROP
-> otwieramy dostęp z zewnątrz do serwera dla konkretnych portów (www 80, ssh 22)
-> przydzielamy łącze wybranym adresom mac + ip + TTL !!!
-> odrzucamy każdą próbę połączenia z LAN oprócz wybranych hostów
Dodatkowo
-> dajemy do crona skrypt sprawdzający MAC + IP dostępnych komputerów
-> kilka razy dziennie sprawdzamy logi i sieć (można używać na szybko np. iptrafa)
Co zyskujemy?
-> ograniczony dostęp do serwera dla wybranych mac+ip+ttl
-> ew. transfer 'niechciejów' zmiejszony do minimum (poniżej przydzielonego transferu)
Ostatecznie ale skutecznie :) jest tylko JEDNO wyjście pozbycia się kogoś
-> odłączamy mu kabelek !
10. PPPoE
Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
Moderatorzy: Moderatorzy, Administratorzy
- Skyscraper
- Administrator
- Posty: 753
- Rejestracja: 2004-05-22, 10:46
- Lokalizacja: Wrocław
- Kontakt:
Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
Ostatnio zmieniony 2006-10-19, 13:43 przez Skyscraper, łącznie zmieniany 4 razy.
- Skyscraper
- Administrator
- Posty: 753
- Rejestracja: 2004-05-22, 10:46
- Lokalizacja: Wrocław
- Kontakt:
Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
Uporządkowałem wątek, jeśli ktoś ma ochotę dodać cos, rozbudować to zapraszam.
Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
Może warto jeszcze wspomnieć o pppoe ? ... do którego się ciągle pzzymieżam
Pozdrawiam
Bing
Bing
- Skyscraper
- Administrator
- Posty: 753
- Rejestracja: 2004-05-22, 10:46
- Lokalizacja: Wrocław
- Kontakt:
Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
Warto , dorzucę jako punkt, a opis kiedyś może sie dorobiBing pisze:Może warto jeszcze wspomnieć o pppoe ? ... do którego się ciągle pzzymieżam
Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
http://wikislack.olek.waw.pl/index.php?wiki=StaticArp
Not Found
The requested URL /index.php was not found on this server.
Not Found
The requested URL /index.php was not found on this server.
Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
Blizzard, http://wikislack.olek.waw.pl/
#358274
http://www.prook.net
http://www.prook.net
- Skyscraper
- Administrator
- Posty: 753
- Rejestracja: 2004-05-22, 10:46
- Lokalizacja: Wrocław
- Kontakt:
Re: Zabezpieczanie się przed NADMIAROWYMI UZYTKOWNIKAMI
Poprawione...