Zabezpieczanie się przed PAJĘCZARSTWEM W SIECI

W tym miejscu zapraszamy Was do współpracy. Czekamy na propozycje, sugestie i rady.
Moderatorzy zatroszczą się o to, by najlepsze teksty trafiły do FAQ.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Zabezpieczanie się przed PAJĘCZARSTWEM W SIECI

Post autor: Skyscraper »

Zabezpieczanie się przed PAJĘCZARSTWEM W SIECI
("dzieła zebrane")


Autorzy: Uzytkownicy forum.slackware.pl
Changelog:
- do 2006-10-19 - Pierwsza publikacja



Zapraszam do gromkiej, tresciwej i kontruktywnej dyskusji omawiajacej JAK NAJWIECEJ sposobow na zabezpieczanie sie przed tzw. "pajeczarstwem sieciowym" w formie NAT za NATem. (jesli juz sie uzbiera kilka KONKRETNYCH sposobow to proponuje omowic kazdy szczegolowo). Wszystko moznaby bylo wrzucic do FAQ,


1. Ksztaltowanie ruchu w sieci / podzial pasma na interfejsach wewnetrznych i interfejsach zewnetrzynych
Rozwiazanie polega na sprawiedliwym podziale pasma pomiedzy wszystkich uzytkownikow a dopiero wewnatrz kolejki danego uzytkownika podzial na uslugi (www, ftp, ssh, inne). Pasmo przydzielane dynamicznie w zaleznosci od ilosci aktywnych uzytkownikow w sieci - w skrocie pozyczanie pasma.
Da nam to pewnosc ze nawet jesli Ktos zrobi sobie potajemnie ruter w domku i rozdzieli pasmo na kilka stanowisk to i tak nie dostanie wiecej pasma niz by mial na 1 stanowisko - efekt "duscie sie w tych kilku KB/s w 10 osob ;) "
Przetestowalem osobiscie i sprawdzilo sie dobrze. Nikt nie narzekal ze Kazaa czy ktokolwiek wysyca cale pasmo. Jedynie co , to, co mniej swiadomi informatycznie uzytkownicy wysycali sobie pasmo i mogli miec pretensje do siebie, ale to sie rozwiazalo poprzez odpowiednie kolejkowanie uslug wewnatrz kolejki danego uzytkownika.


2. TTL
Odczytywanie wartosci flagi TTL w pakietach przychodzacych na serwer. Komputery ukryte za drugim natem mozna rozpoznawac po roznej wartosc flagi TTL (np o 1 mniejsza) w wysylanym pakiecie niby z tego samego hosta (NAT), od wartosci TTL w pakiecie naprawde wyslalnym przez Tego hosta. Na pewno pakiet musi wiecej hopow przebyc i ten "dodatkowy" ruter odejmuje 1 jednostke z pola TTL. Kazdy router po przepuszczeniu pakietu obniza wartosc TTL o 1. standardowo linux wysyla TTL = 64, windows natomiast 128. aby wyciac nielegalna maskarade ustawia sie wartosc TTL na 1. po napotkaniu NATa wartosc TTL zostaje zmniejszona do 0 i pakiet umiera. niestety latwo to mozna ominac (mozna to obejść stosując taktykę odwrotną), np. nawiazujac do zrodel kernela, w net/ipv4/ip_forward.c mozemy przeczytac:
/*
* According to the RFC, we must first decrease the TTL field. If
* that reaches zero, we must reply an ICMP control message telling
* that the packet's lifetime expired.
*/
jesli przyjdzie ci odpowiedz o smierci pakietu to znaczy ze user ma NAT, router... oczywiscie podejrzany user moze lekko poprawic plik ip_forward.c i przekompilowac jajo. wtedy pomimo istnienia maskarady ttl sie nie zmniejszy i wszystko bedzie wygladalo ok. ale jesli to bedzie niedoswiadczony uzytkownik ktory stawia maskarade wedlug howto to sie szybko zorientujesz.
http://searchnetworking.t...i214184,00.html
dla windows 95/98 defaultowo ttl jest 32. dla windows nt 128. Wartosc ttl zmienia sie w rejestrze gdzies HKEY_LOCAL_MACHINE pod nazwa DefaultTTL="128", pewnie istnieja jakies programy ktore zrobia to za ciebie. nie wiem jak jest w przypadku windows ale pod linuxem ICMP request o smierci pakietu wylacza sie w pliku ktory podalem wczesniej czyli net/ipv4/ip_forward.c

DLA USEROW:
nie testowalem wiec jak ktos widzi blad to niech napiszcie
obejcie ustawionego ttl=1
iptables -t mangle -A PREROUTING -s $INTERNET -j TTL --ttl-inc 1
ukrycie roznych ttl na wyjsciu
iptables -t mangle -A PREROUTING -s $PAJECZARZE -j TTL --ttl-set 32
mozna jeszcze kombinowac z wyborem pakietow do filtracji (-d, -i, -o) zaleznie od swoich potrzeb

DLA ADMINOW:
chca dzielic niech dziela :-) jak jest ustwiony podzial pasma to nikomu to nie przeszkadza, trzeba tylko jeszcze ustwic poza robieniem podzialu jakis limit polaczen tcp (-m iplimit) wartosc zalezna od lacza ktore posiadamy


Szanowni grupowicze patrzycie na problem z pozycji admina a ja zostałem ostatnio zmuszony by spojżec z pozycji usera......
Z jednej strony regulamin który zabrania udostępniania netu osobom "trzecim" - ale nic na przykład o wyprowadzaniu netu poza lokal - wiec komp stojący fizycznie u sąsiada a będocy waszą własnością możecie zasilić ;-) .
a jak zagadnołem ze chciałbym jak człowiek podłączyc czasem tez laptopa ( i chciałem podac jego maka ) to okazało sie ze bedzie to kosztowac +25zł miesięcznie
a wcale nie chodziło mi o prace 2 kompów jednoczesnie
Gdy stwierdziłem ze bedę w tej sytułacji zmuszony sam sobie podzielic usłyszałem ze pan mi zyczy "powodzenia" i złośliwy usmieszek.......
no oczywiscie ttl=1 :-)
No wiec jak tu nie dzielic ( na własne potrzeby ) ?
mam nadzieje ze jesli ktos wpadnie na naprawre rewelacyjny sposób blokowania to poda równiez metode obejscia......



3. Fingerprinting
Temat pokrewny z fingerprintingiem. Da się po pewnych szczególnych znakach typu, szerokość okna TCP (protokół ten jest połaczeniowym i zapewnia poprawną kolejność przesyłania pakietów mówiąc prostym językiem), każda implementacja tcp/ip ma swoje szczególne cechy polecam artykuły choćby na www.it-faq.pl i książki dot tcp/ip. Można dosyć łatwo wykryć maskaradę np. korzystając z nmap,

Ja bym powiedzial ze fingerprinting to troche szerszy temat. naprawde warto sie nim zainteresowac. uzywa sie niektorych metody do okreslenia istnienia maskarady, bo do zadan fingerprintingu mozna zaliczyc miedzy innymi badanie struktury sieci.
z ksiazek polecam "tcp/ip administracja" a z bardziej hardwarowego punktu widzenia to Sieci komputerowe: ksiega eksperta.

Polecam narzedzie p0f http://lcamtuf.coredump.cx/p0f.shtml, sluzace miedzy innymi do pasywnego fingerprintingu i wykrywania maskarady. Jesli chodzi o sieci odiedlowe, to jestem zwolennikiem sprawiedliwego podzialu lacza. Natomiast w zastosowaniach bardziej profesjonalnych moznaby ladnie zaprzac ten program do wykrywania piratow.
Ostatnio zmieniony 2006-10-19, 15:55 przez Skyscraper, łącznie zmieniany 3 razy.
Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Re: Zabezpieczanie się przed PAJĘCZARSTWEM W SIECI

Post autor: Skyscraper »

Uporządkowałem trochę wątek, sklejając co ciekawsze wypowiedzi. Może kiedyś powstanie z tego konkretniejszy artykuł :) - jak macie dodatkowe propozycje, to śmiało piszcie.
ODPOWIEDZ