The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"IP + MAC :: Расширенная безопастность"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"IP + MAC :: Расширенная безопастность"  
Сообщение от Petrus on 27-Янв-07, 19:49 
Здраствуйте, вот решил спросить, как можно сделать дополнительную безопастность к привязке IP + MAC. Кратко о моей ситуации:

Вся сеть построенна на неуправляемых коммутаторах, интернет в сеть подаётся при помощи ADSL модема, который подсоединён к серверу. Сам сервер соединён с одним из свитчей...

Пользователи получают интернет, введя у себя адресс Gateway и DNS в настройки. Дополнительно, на сервере под Gentoo Linux, заведена статическая ARP таблица с привязкой IP к MAC. Интернет раздаётся через MASQUERADING и статическими записями пользователей:

iptables -t filter -A FORWARD -i eth0 -s 192.168.0.99 -j ACCEPT
iptables -t filter -A FORWARD -i ppp0 -d 192.168.0.99 -j ACCEPT

На сервере установленно дополнительное ПО, которым пользуются не только абоненты интернета, но и простые локальные пользователи... Решил на днях поставить DHCP сервер, который должен раздовать всем пользователям IP адресс, маску подсети и локальный DNS. Ну а пользователям интернета, дополнительно все нужные настройки. Это DNS провайдера и Gateway...


Теперь в чём заключается задача:

Простые пользователи:
IP: 192.168.0.x
MASK: 255.255.255.0
DNS: 192.168.0.254

Пользователи интернета:
IP: 192.168.0.x
MASK: 255.255.254.0
GW: 192.168.254.254
DNS1: 192.168.0.254
DNS2: 192.168.0.253 - провайдера

Так как сервер один, решил сделать алиас сетевой карты, т.е. Основной интерфейс eth0 - 192.168.254.254 и его алиас eth0:1 - 192.168.0.254

Теперь мне надо добиться, что-бы интерфейс eth0:1 не давал доступ в интернет. Пробовал удалять запись через команду route, но ничего не вышло. Копать сам конечно буду, но заодно спрошу у вас на форуме, может помогут дельным советом! Идеальным решением это считать нельзя, но немного обдурить халявщика можно. Так, что чем больше сюрпризов окажется на пути хулигана, тем больше шанс, что он забъёт на это дело... Сеть ещё маленькая, вторжений пока не замечал, но скоро добавятся ещё несколько пользователей, хочется перестраховаться.


Ещё раз повторю вопрос: Как запретить eth0:1 alias`у доступ в интернет, но в тоже время, что-бы на интерфейсе eth0 возможнасть выхода в интернет осталась?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "IP + MAC :: Расширенная безопастность"  
Сообщение от solaris email(??) on 29-Янв-07, 23:37 
>Здраствуйте, вот решил спросить, как можно сделать дополнительную безопастность к привязке IP
>+ MAC. Кратко о моей ситуации:
>
>Вся сеть построенна на неуправляемых коммутаторах, интернет в сеть подаётся при помощи
>ADSL модема, который подсоединён к серверу. Сам сервер соединён с одним
>из свитчей...
>
>Пользователи получают интернет, введя у себя адресс Gateway и DNS в настройки.
>Дополнительно, на сервере под Gentoo Linux, заведена статическая ARP таблица с
>привязкой IP к MAC. Интернет раздаётся через MASQUERADING и статическими записями
>пользователей:
>
>iptables -t filter -A FORWARD -i eth0 -s 192.168.0.99 -j ACCEPT
>iptables -t filter -A FORWARD -i ppp0 -d 192.168.0.99 -j ACCEPT
>
>На сервере установленно дополнительное ПО, которым пользуются не только абоненты интернета, но
>и простые локальные пользователи... Решил на днях поставить DHCP сервер, который
>должен раздовать всем пользователям IP адресс, маску подсети и локальный DNS.
>Ну а пользователям интернета, дополнительно все нужные настройки. Это DNS провайдера
>и Gateway...
>
>
>Теперь в чём заключается задача:
>
>Простые пользователи:
>IP: 192.168.0.x
>MASK: 255.255.255.0
>DNS: 192.168.0.254
>
>Пользователи интернета:
>IP: 192.168.0.x
>MASK: 255.255.254.0
>GW: 192.168.254.254
>DNS1: 192.168.0.254
>DNS2: 192.168.0.253 - провайдера
>
>Так как сервер один, решил сделать алиас сетевой карты, т.е. Основной интерфейс
>eth0 - 192.168.254.254 и его алиас eth0:1 - 192.168.0.254
>
>Теперь мне надо добиться, что-бы интерфейс eth0:1 не давал доступ в интернет.
>Пробовал удалять запись через команду route, но ничего не вышло. Копать
>сам конечно буду, но заодно спрошу у вас на форуме, может
>помогут дельным советом! Идеальным решением это считать нельзя, но немного обдурить
>халявщика можно. Так, что чем больше сюрпризов окажется на пути хулигана,
>тем больше шанс, что он забъёт на это дело... Сеть ещё
>маленькая, вторжений пока не замечал, но скоро добавятся ещё несколько пользователей,
>хочется перестраховаться.
>
>
>Ещё раз повторю вопрос: Как запретить eth0:1 alias`у доступ в интернет, но
>в тоже время, что-бы на интерфейсе eth0 возможнасть выхода в интернет
>осталась?

Приветствую, коллега.
Кроме улыбки Ваш вопрос у меня никакой реакции не вызвал. Про фаервол вы, скорее всего слышали, но не слышали о том, что можно фильтровать трафик не только по интерфейсам и ip-адресам, но и по интерфейсам и ip одновлеменно. Это раз. Далее. Как бороться с халявщиками:
1. Способ:
Установка dhcp-сервера, создание списка абонент-ip-mac на маршрутизаторе. Раздача ip по dhcp. Блокировка нарушителей и вывод в офлайн - создание дополнительной записи с "левый ip" - mac в таблице arp на маршрутизаторе. Максимальное сужение кол-ва абонентов в подсети.
2. Способ:
Активное использование vlan'ов и управляемых свичей. Привязка абонента к порту железки.
Если есть более предметные вопросы, задавайте. Я поставил слежение за этой темой. Постараюсь отвечать как можно более подробно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IP + MAC :: Расширенная безопастность"  
Сообщение от Petrus on 11-Фев-07, 15:17 
>Приветствую, коллега.
>Кроме улыбки Ваш вопрос у меня никакой реакции не вызвал. Про фаервол
>вы, скорее всего слышали, но не слышали о том, что можно
>фильтровать трафик не только по интерфейсам и ip-адресам, но и по
>интерфейсам и ip одновлеменно. Это раз. Далее. Как бороться с халявщиками:
>
>1. Способ:
>Установка dhcp-сервера, создание списка абонент-ip-mac на маршрутизаторе. Раздача ip по dhcp. Блокировка
>нарушителей и вывод в офлайн - создание дополнительной записи с "левый
>ip" - mac в таблице arp на маршрутизаторе. Максимальное сужение кол-ва
>абонентов в подсети.
>2. Способ:
>Активное использование vlan'ов и управляемых свичей. Привязка абонента к порту железки.
>Если есть более предметные вопросы, задавайте. Я поставил слежение за этой темой.
>Постараюсь отвечать как можно более подробно.

Здраствуйте, спасибо за то что откликнулись и помогаете ответами! Второй способ, скорее всего мне не подойдёт, так как свитчи в сети используются неуправляемые и переход на более дорогую и "умную" аппаратуру пока не предусматривается...

Насчёт первого способа: я собственно так и хотел поступить, но о ведение фейковой быза, даже не задумывался... Под максимальным сужением Вы имеете ввиду, статические arp записи, вида 192.168.0.xxx 00:00:00:00:00:00?
А вот насчёт "блокировки нарушителей и вывод в офлайн и создания дополнительной записи", хотелось-бы услышать побольше!

Просто DHCP всё равно не сможет помочь, так как изменив IP и MAC на абонента, во время его отсутствия, можно легко пользоваться интернетом! И никакие таблицы не помогут или я не прав? Другой способ: прописать настройки статически, результат тот-же...

Обдумав детальней, алиас тоже не поможет от подделки, хотя идея вначале казалось интересной :) Теперь думаю, о возможности обхитрить взломщика с помощью мало замечаемых параметров. Например изменить TTL ОС на 62. Или более реализуемо, привязка IP+MAC+Hostname. Как вы насчёт этого думаете? Как проще всего реализовать такую привязку?

Наверное слышали о таких программах, как IP-Sentinel, стоит из использовать или лучше обойтись без неё?


Хотел ещё задать вопрос: как лучше всего соберать статистику? Биллингом не пользуюсь, так как канал не лимитирован, но хотелось-бы знать сколько в день было скачано и переслано информации, какие хосты посещались и т.д. Сколько будит занимать подобный отчёт за месяй, для одного пользователя?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IP + MAC :: Расширенная безопастность"  
Сообщение от solaris (??) on 11-Фев-07, 15:33 
>>Приветствую, коллега.
>>Кроме улыбки Ваш вопрос у меня никакой реакции не вызвал. Про фаервол
>>вы, скорее всего слышали, но не слышали о том, что можно
>>фильтровать трафик не только по интерфейсам и ip-адресам, но и по
>>интерфейсам и ip одновлеменно. Это раз. Далее. Как бороться с халявщиками:
>>
>>1. Способ:
>>Установка dhcp-сервера, создание списка абонент-ip-mac на маршрутизаторе. Раздача ip по dhcp. Блокировка
>>нарушителей и вывод в офлайн - создание дополнительной записи с "левый
>>ip" - mac в таблице arp на маршрутизаторе. Максимальное сужение кол-ва
>>абонентов в подсети.
>>2. Способ:
>>Активное использование vlan'ов и управляемых свичей. Привязка абонента к порту железки.
>>Если есть более предметные вопросы, задавайте. Я поставил слежение за этой темой.
>>Постараюсь отвечать как можно более подробно.
>
>Здраствуйте, спасибо за то что откликнулись и помогаете ответами! Второй способ, скорее
>всего мне не подойдёт, так как свитчи в сети используются неуправляемые
>и переход на более дорогую и "умную" аппаратуру пока не предусматривается...
>
>
>Насчёт первого способа: я собственно так и хотел поступить, но о ведение
>фейковой быза, даже не задумывался... Под максимальным сужением Вы имеете ввиду,
>статические arp записи, вида 192.168.0.xxx 00:00:00:00:00:00?
>А вот насчёт "блокировки нарушителей и вывод в офлайн и создания дополнительной
>записи", хотелось-бы услышать побольше!
>
>Просто DHCP всё равно не сможет помочь, так как изменив IP и
>MAC на абонента, во время его отсутствия, можно легко пользоваться интернетом!
>И никакие таблицы не помогут или я не прав? Другой способ:
>прописать настройки статически, результат тот-же...
>
>Обдумав детальней, алиас тоже не поможет от подделки, хотя идея вначале казалось
>интересной :) Теперь думаю, о возможности обхитрить взломщика с помощью мало
>замечаемых параметров. Например изменить TTL ОС на 62. Или более реализуемо,
>привязка IP+MAC+Hostname. Как вы насчёт этого думаете? Как проще всего реализовать
>такую привязку?
>
>Наверное слышали о таких программах, как IP-Sentinel, стоит из использовать или лучше
>обойтись без неё?
>
>
>Хотел ещё задать вопрос: как лучше всего соберать статистику? Биллингом не пользуюсь,
>так как канал не лимитирован, но хотелось-бы знать сколько в день
>было скачано и переслано информации, какие хосты посещались и т.д. Сколько
>будит занимать подобный отчёт за месяй, для одного пользователя?

1. По поводу привязок: настройте авторизованный вход в сеть на основе vpn (ppp+radius+mysql) - проект abills.sourceforge.net возможно вас заинтересует. Если нужна более детальная информация, то ставьте прозрачный прокси.
2. По поводу блокировки: для того, чтобы абонент жил и не тужил в сети, ему нужен мак. Если перед или во время подключении к сети абонентом, в таблице маршрутизации роутера  будет 2 записи ip - mac1, ip - mac2 то, пользователь не сможет войти в сеть используя этот ip. Ничего сложного.
3. Чтобы хорошо следить за пользователями, нужно использовать либо узкие подсети, чтобы как можно меньше клиентов могли пострадать от подмены, либо авторизацию, и сложные пароли, а в последствии развить это при помощи gssapi в умную авторизацию (вошел однажды, получил доступ ко всему)
4. Как собирать? Статей полно: proxy, trafd, со счетчиков фаерволов... Место зависит от способа хранения, детализации статистики и КОЛИЧЕСТВА ПОЛЬЗОВАТЕЛЕЙ.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IP + MAC :: Расширенная безопастность"  
Сообщение от Petrus on 11-Фев-07, 21:46 
>1. По поводу привязок: настройте авторизованный вход в сеть на основе vpn
>(ppp+radius+mysql) - проект abills.sourceforge.net возможно вас заинтересует. Если нужна более детальная
>информация, то ставьте прозрачный прокси.

Слышал, даже статью читал. Да только не заинтересовал он меня. Не охото своих пользователей заставлять инсталлировать дополнительные программы. Я даже думал, может какой нить извращённых метод с помощью USB ключей сделать, да вот времени нет, да и денег не шибко много...


>2. По поводу блокировки: для того, чтобы абонент жил и не тужил
>в сети, ему нужен мак. Если перед или во время подключении
>к сети абонентом, в таблице маршрутизации роутера  будет 2 записи
>ip - mac1, ip - mac2 то, пользователь не сможет войти
>в сеть используя этот ip. Ничего сложного.

Это конечно понятно, но изменить физический адрес не составляет проблем! Приведу жизненую ситуацию: Я будущий халявщик, который имеет доступ только к локальным сервисам. А Вы абонент, который имеет доступ к интернету. В субботу и воскресенье, я с вами дружно играю в игры, следовательно я знаю ваш IP адрес. Сделав команду PING, я узнаю ваш MAC адрес, а когда вы уходите на работу, я его ввожу ручками в драйвера и пользуюсь вашем интернетом в доволь! Когда подходит время, я сбрасываю его в драйверах и мы чатимся с вами и обсуждаем проблему, почему на вашем счету пропали деньги...


>3. Чтобы хорошо следить за пользователями, нужно использовать либо узкие подсети, чтобы
>как можно меньше клиентов могли пострадать от подмены, либо авторизацию, и
>сложные пароли, а в последствии развить это при помощи gssapi в
>умную авторизацию (вошел однажды, получил доступ ко всему)

Интересно, буду иметь ввиду! Немного посмотрел о этой технологии, вроде звучит заманчиво. Обсуждать ещё рано, но думаю придёт ещё время...

>4. Как собирать? Статей полно: proxy, trafd, со счетчиков фаерволов... Место зависит
>от способа хранения, детализации статистики и КОЛИЧЕСТВА ПОЛЬЗОВАТЕЛЕЙ.

Я присмотрелся к SQUID + SARG, только руки не доходят его реализовать. Статистику хотелось-бы иметь чем детальней, что-бы можно было легче отследить таких жуликов. Хочется сказать, что пока в сети у меня таких нет, жалоб не слышно, но думаю они могут появиться. А может они уже есть, только я их не могу вычислить... Как говорится, замок защитит от простых людей, а не от взломщиков!


Выходит, что тема забыта и нашли "лучший" способ, как защититься от халявщиков. Но почему-то мне кажется, что логическая защита, будет эффективнее, так как неопытный взломщик сразу напоровшись на грабли, будит идти не так уверенно. Может попробуем развить идею? Как насчёт привязки Hostname + IP + MAC? Реализация вроде не потребует большого труда, а вот вломщик, может и забыть изменить имя компьютера! Потом, может существует ещё какие нибудь индентификаторы, передающие по сети?
Вот, в голову пришла мысль! Ведь ОС хранит информацию, сколько времени работает PC, можно и это использовать! Жаль, но протокол этого не предусматривает :( Остаётся, ещё один вариант, специальная программа или самых простой способ, proxy c аутентификацией :)

От чего начали, к тому и вернулись! Пароль не плохая штука, думаю его можно использовать, что-бы клиенты поспешили платить деньги. Планы такие: В конце месяца, когда приходит время платить денежку, пропускная способность интернета начинает ухудшаться, об этом раз в день будет напомнено клиенту. Он может игнорировать это сообщение и сидеть в конце концов с 64Кбит каналом или заплатить деньги в кассу и получить пароль, который он введёт и радостно будет пользоваться всей скоростью!
У меня ещё не мало опыта работы с серверами, наверно из-за этого хочется реализовать свои замыслы! Хочется сделать, что-то своё. Может кому-то это кажется бредовыми идеями, но из опыта знаю, чем больше углубляешься, тем меньше таких "глупых" идей появляется. Делаешь все с расчётом возможностей. Иногда, специально спрашиваю у людей, которые абсолютно не знакомы с темой, которой посвещены вопросы. Попадается даже очень ценные советы, которые вначале кажутся обсурдные, но если не отвергать их (к примеру: это уже придумали или это слишком медленный метод), а развивать и дополнять, получается изобретение. Которые мы так ждём от учёных в белых халатах :) Извиняюсь за оффтоп.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IP + MAC :: Расширенная безопастность"  
Сообщение от solaris (??) on 12-Фев-07, 00:24 
>>1. По поводу привязок: настройте авторизованный вход в сеть на основе vpn
>>(ppp+radius+mysql) - проект abills.sourceforge.net возможно вас заинтересует. Если нужна более детальная
>>информация, то ставьте прозрачный прокси.
>
>Слышал, даже статью читал. Да только не заинтересовал он меня. Не охото
>своих пользователей заставлять инсталлировать дополнительные программы. Я даже думал, может какой
>нить извращённых метод с помощью USB ключей сделать, да вот времени
>нет, да и денег не шибко много...
>
>
>>2. По поводу блокировки: для того, чтобы абонент жил и не тужил
>>в сети, ему нужен мак. Если перед или во время подключении
>>к сети абонентом, в таблице маршрутизации роутера  будет 2 записи
>>ip - mac1, ip - mac2 то, пользователь не сможет войти
>>в сеть используя этот ip. Ничего сложного.
>
>Это конечно понятно, но изменить физический адрес не составляет проблем! Приведу жизненую
>ситуацию: Я будущий халявщик, который имеет доступ только к локальным сервисам.
>А Вы абонент, который имеет доступ к интернету. В субботу и
>воскресенье, я с вами дружно играю в игры, следовательно я знаю
>ваш IP адрес. Сделав команду PING, я узнаю ваш MAC адрес,
>а когда вы уходите на работу, я его ввожу ручками в
>драйвера и пользуюсь вашем интернетом в доволь! Когда подходит время, я
>сбрасываю его в драйверах и мы чатимся с вами и обсуждаем
>проблему, почему на вашем счету пропали деньги...
>
>
>>3. Чтобы хорошо следить за пользователями, нужно использовать либо узкие подсети, чтобы
>>как можно меньше клиентов могли пострадать от подмены, либо авторизацию, и
>>сложные пароли, а в последствии развить это при помощи gssapi в
>>умную авторизацию (вошел однажды, получил доступ ко всему)
>
>Интересно, буду иметь ввиду! Немного посмотрел о этой технологии, вроде звучит заманчиво.
>Обсуждать ещё рано, но думаю придёт ещё время...
>
>>4. Как собирать? Статей полно: proxy, trafd, со счетчиков фаерволов... Место зависит
>>от способа хранения, детализации статистики и КОЛИЧЕСТВА ПОЛЬЗОВАТЕЛЕЙ.
>
>Я присмотрелся к SQUID + SARG, только руки не доходят его реализовать.
>Статистику хотелось-бы иметь чем детальней, что-бы можно было легче отследить таких
>жуликов. Хочется сказать, что пока в сети у меня таких нет,
>жалоб не слышно, но думаю они могут появиться. А может они
>уже есть, только я их не могу вычислить... Как говорится, замок
>защитит от простых людей, а не от взломщиков!
>
>
>Выходит, что тема забыта и нашли "лучший" способ, как защититься от халявщиков.
>Но почему-то мне кажется, что логическая защита, будет эффективнее, так как
>неопытный взломщик сразу напоровшись на грабли, будит идти не так уверенно.
>Может попробуем развить идею? Как насчёт привязки Hostname + IP +
>MAC? Реализация вроде не потребует большого труда, а вот вломщик, может
>и забыть изменить имя компьютера! Потом, может существует ещё какие нибудь
>индентификаторы, передающие по сети?
>Вот, в голову пришла мысль! Ведь ОС хранит информацию, сколько времени работает
>PC, можно и это использовать! Жаль, но протокол этого не предусматривает
>:( Остаётся, ещё один вариант, специальная программа или самых простой способ,
>proxy c аутентификацией :)
>
>От чего начали, к тому и вернулись! Пароль не плохая штука, думаю
>его можно использовать, что-бы клиенты поспешили платить деньги. Планы такие: В
>конце месяца, когда приходит время платить денежку, пропускная способность интернета начинает
>ухудшаться, об этом раз в день будет напомнено клиенту. Он может
>игнорировать это сообщение и сидеть в конце концов с 64Кбит каналом
>или заплатить деньги в кассу и получить пароль, который он введёт
>и радостно будет пользоваться всей скоростью!
>У меня ещё не мало опыта работы с серверами, наверно из-за этого
>хочется реализовать свои замыслы! Хочется сделать, что-то своё. Может кому-то это
>кажется бредовыми идеями, но из опыта знаю, чем больше углубляешься, тем
>меньше таких "глупых" идей появляется. Делаешь все с расчётом возможностей. Иногда,
>специально спрашиваю у людей, которые абсолютно не знакомы с темой, которой
>посвещены вопросы. Попадается даже очень ценные советы, которые вначале кажутся обсурдные,
>но если не отвергать их (к примеру: это уже придумали или
>это слишком медленный метод), а развивать и дополнять, получается изобретение. Которые
>мы так ждём от учёных в белых халатах :) Извиняюсь за
>оффтоп.

У нас реализовано все очень просто. Есть страница статистики, где у абонента есть возможность поставить галочку "Отключить интернет" :) Статистика под паролем... Глочка меняет правило фаервола на центральном маршрутизаторе, который всех в инет и выпускает... А все неиспользуемые ip из диапозона подсети перекрываются спомсобом, указанным мною выше. Статистика обрабатывается путем парсинга вывода trafd... Пользователей ОЧЕНЬ МНОГО! и работает такая схема тоже ОЧЕНЬ НЕ ПЛОХО!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IP + MAC :: Расширенная безопастность"  
Сообщение от weris (??) on 28-Фев-07, 11:49 
если вы локалку даете всем - а инет нет,
то впн или пппое самый простой способ защитить инет трафик от левого использования.

pppoe-serv, pptp, или cisco

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру