Detekce sdílení zabezpečení/obejití - switch, router,...
Tak nejprve parametry:
Sdílím internet do lokální sítě, kde je daný počet PC (s různými OS), daný počet, jejich MAC a IP adresy znám.
Otázka 1.:
Když si někdo do sítě připojí switch, tak jak ho mám vystopovat? Slyšel jsem, že switch má MAC adresu, tak jak ji zjistit, popř. lepší způsob jak detekovat switch na lokální síti?
Popř. jak by to dotyčný uživatel mohl ze své strany zamaskovat, pokud to lze?
Otázka 2.:
Když některý z připojených pc (pc má více síťových adaptérů) do mé sítě bude sdílet připojení k dané síti za
A) pomocí sítového mostu
B) pomocí sdílení ve Windows (na jiný síťový adaptér)
Jak mohu toto sdílení odhalit, popř. jak může sdílející pc toto sdílení učinit nezjistitelným pro mě?
Otázka 3.:
Otázka stejná jako číslo.2, akorát místo pc by byl router, kde by se také sdílelo na více pc. Za předpokladu, že já bych znal MAC + IP adresu routeru a nevěděl, že dané zařízení je router (myslel si, že je to pc). Jak zjistit, že se mě zde zase neoprávněně sdílí, popř. jak by to dotyčný uživatel mohl ze své strany zamaskovat pokud to lze?
Otázka 4.:
Otázka stejná jako číslo.2, akorát místo pc by byla proxy aplikace běžící na počítači se dvěma síťovými rozhraními. Otázka zase stejná, jak zjistit, zdali dané pc sdílí připojení, popř. jak by se sdílející pc mohl přede-mnou zamaskovat, abych na sdílení nepřišel.
Otázka 5.:
Pokud by dané pc použilo VPN, tak jak to detekovat, popř. jak by se dané pc mohlo tuto skutečnost přede-mnou skrýt.
Děkuji za vaše nápady a názory, Leon
Switch nema ziadnu MAC. V sieti sa chova transparentne. Je to len obycajny prepinac z portu x na port y. Ma ale vnutornu MAC tabulku vsetkych pripojenych zariadeni priamo na jeho porty. Z pricipu funkcie je neodhalitelne. Ved si vyskusaj odhalit svoj switch. Viac zariadeni za switchom sa riesi blokaciu na MAC adresu adaptera v PC. Mozno si uz pocul o tom, ze to ma takto riesene napr UPC.
Spravne ma byt, ze bezny switch zadnou MAC adresu nepotrebuje. Ale jsou i konfigurovatelne switche (s web managementem), ktere tudiz musi mit IP, a proto i MAC...
aha diky za informace to jsem nevedel
Nemusi, nie kazdy switch je riadeny cez web, a preto nemusi mat ip na to, aby sa dal managovat.
Proto jsem tam napsal tu zavorku.
Ano, to je pravda. Drzal som sa tohoto popisu "Když si někdo do sítě připojí switch".
Je dost pravdepodobne ze v 99.9% pripadoch si ten nekdo pripoji nemanagovatelny switch.
Urcita moznost by tu ale bola ako odhalit viac PC za "hlupym" switchom a to v zavislosti na instalovanom OS. Posledne dva Redmondske OS pouzivaju standardne novy discovery protokol, takze je mozne vsetky pocitace pripojene na siet najst na "sietovej mape". Bohuzial ten protokol sa da aj velmi lahko vypnut.
Nejen pres web, SNTP, telnet... osobne nesnasim websmart (ovladane pouze pres webove rozhrani) switche, jsou strasne problematicke.
ohledne blokace mac adresy je to reseno jinak, ze nezaregistrovana mac adresa je omezena o nejake sluzby(ftp,internet, adt.)
Na vysvetleni:
Uzivatel pripoji svoje pc do site s nereg. mac adresou, registruje se v siti, ja mu to schavim a pak ma vsechny sluzby site
ohledne blokace mac adresy je to reseno jinak, ze nezaregistrovana mac adresa je omezena o nejake sluzby(ftp,internet, adt.)
Na vysvetleni:
Uzivatel pripoji svoje pc do site s nereg. mac adresou, registruje se v siti, ja mu to schavim a pak ma vsechny sluzby site
odpoved temer na vsechny otazky je, ze to nezjistis, respektive muses se pres nejaky log opravnene domnivat, ze tam je vice PC, ale nic s tim nenadelas.
jedine opatreni, jak uz je tu psano pouzivalo kdysi UPC a to byla registrace MAC adresy sitove karty v PC, jenomze se to ukazalo jako neucine, protoze pri zmene sitove karty museli technici UPC zaregistrovat novou sitovou kartu - prace navic a predevsim vetsina routeru i v kategorii levnych zacala umoznovat si naklonovat MAC adresu z te sitove karty.
a jak bych ziskal ten log, ktery bych mohl zkoumat zdali tam neni vice pc
Otázka 3.
Užívateľ si MAC adresu svojho PC naklonuje do routra (to dokáže každý router)t.j.router má takú istú MAC ako PC a ty jeho router vidíš ako by to bolo Pc.
Použi programy na skenovanie siete napr. LANSPY, LANGUARD a tam rozíšiš PC od routra napr. tým že k PC tam je viac údajov, zdielané zlozky, skupina na sieti, users a iné údaje.
dane programy ozkousim diky za radu
Otázka 6:
Jak zjistím když si někdo dá místo pc wifi router a dovolí si nasdílet internet přes wifi ?
Když už na nich chceš rýžovat řeš to přes objem přenesených dat a zpomaluj rychlost. Než se jim rozsvítí a udělají si vlastní připojení možná něco narýžuješ
Ale do tohodle kšeftu si naskočil hoodně moc pozdě...
rychlost by mela byt bez omezeni a na objem presnesenych dat, kdyz se bude neco sosat po lokalni siti, to muze bejt klidne 100GB prenesenych dat, to je mi omezeni na nic. A navic to muj zamestnavatel nechce omezovat na rychlost, ale na jine body. Otazku 6 jsem zapomnel pripsat do zadani
A pčo by se měli data přes lokální síť počítat do těch přenesených ? Případně proč by měla nastavený rychlost do internetu zpomalovat lokální komunikaci?
ohledne zpomalovani rychlosti odbocujeme nekam jinam otazkou, nechci uzivatele zpomalovat, ale detekovat, popripadne jak me mohou oblbnout.
Ohledne zpomalovani site, by hodne uzivatelum stacila i nase lokalni sit bez internetu, ale to uz je zase poruseni pravidel.
Tak tebe bych chtěl za providera...
V čem ti tak moc vadí, že si uživatel kromě PC třeba připojí i noťas? Proč by nemohl používat VPN?
protoze to takhle po me chce zamestnavatel
Odpoviem ti ako lokalny ISP a administrator.
1. Pocet pc pripojenych do switchu mozes ovladat cez manazovatelne switche s uzamknutim mac adries na porty. Dalsi switch v sieti zistis napr cez arp tym, ze sa ti na sieti "ponevieraju" cudzie mac adresy. Maskovanie je mozne jedine routrom.
2. Zdielanie internetu vo windowse nikdy nefungovalo, takze tymto by som sa nezaoberal. Co si predstavujes pod pojmom sietovy most je mne nezname, cize sa neviem vyjadrit.
3. Odhalit natovaci router je pomerne tazke, ale ide to. Nicmenej vynalozena namaha v tvojom pripade by urcite nestala za to. Tento bod vynechame radsej.
4. Opat velmi vseobecne, zalezi na typu proxy, niektore proxy prezradzaju viacej akoby sa mohlo zdat. Silne pochybujem, zeby niekto prevadzkoval doma vlastny proxy server.
5. VPn packet dokazes detekovat pokial nie je sifrovany, uplatnuje sa podobny princip ako pri detekcii p2p (torent) packetov. Pripadne mozes blokovat odporucane porty pri vpn spojeniach.
Pokial chces mat co najucinnesjsiu kontrolu nad sietou zakaz pouzivanie cudzich dns okrem svojich, takto budes mat prehlad pri spravnom logovani kto, kam, kde a kedy chodi.
1/
kdyz uzaknu mac adresu pc na port switche a on z daneho pc nasdili internet, tak je mi uzamykani na nic.
A uzivatel "ruzo" rika ze router od pc lze odlisit.
2/
sdileni ve windows me vzdy fungovalo na 100%. Ze Vam to nefungovalo je docela mozne. kdyz nastavite vhodne IP(+masky) adresy, nebo pouzijete DHCP server, tak by to melo slapat bez problemu.
Sítový most si představuji asi tohle:
Bridge
http://windows.microsoft.com/cs-CZ/windows-vista/W hat-is-a-network-bridge
http://technet.microsoft.com/cs-cz/library/cc78372 8%28WS.10%29.aspx
http://technet.microsoft.com/cs-cz/library/cc78109 7%28WS.10%29.aspx
atd. viz. google
3/
Uzivatel "ruzo" rika ze router od pc lze odlisit.
4/
), ale internet muze mit od nas pouze na jedom pc.
Aby mel internet i na druhem (dalsich) pc za to stoji provozovat proxy. vzdyt maji internet zadarmo (respektive za to ze u nas pracuji
5/
cim bych prosim mohl detekovat vpn paket poradte nejeke programy.
Je dost pravdepodobne, ze by ste potrebovali komplexnejsie a predovsetkym hotove riesenie.
Skuste pozriet napr.: http://www.bezpecnostit.cz/reseni/komplexni-sprava -analyza-dat/epo
Je ale pravda, ze to neni zadarmo a dokonca to neni ani "low cost".
Kdepak, tohle nelze resit softwarove.
Reseni:
poradny router s dobrym firewallem (nejlepe i aplikacnim), sofistikovane switche + nasazeni 802.1x do site.
Mas pravdu v tom, ze tohle reseni uz opravdu neni levne a zdarma ani nahodou.
Preco myslis, ze to nieje mozne riesit softwarovo. Predsa kazdy hw potrebuje urcitu cast kodu v podobe softwaru, alebo firmwaru. Uvedene riesenie je postavene na baze hw + sw.To co je zrejme tazatelom vyzadovane, alebo hladane sa vola inspekcia paketov.
Samozrejme je mozne to postavit na baze Unix like systemu aj lacnejsie, akurat ten know-how, ktory je zapracovany do uvedeneho riesenia by bolo nutne najprv nastudovat a odskusat v praxi. Ale suhlasim, ze na bezpecnost sa nemoze hrat na jednom prvku siete (napr. routri), ale je nutne mat k tomu postavenu komplexnu infrastrukturu.
ad 1) a 3) kdyz v PC neni operacnim systemem windows, nepoznas to od routru, protoze rozumne operacni systemy se neexhibuji do site.
Existuji techniky, jak poznat pritomnost routru, ale pri jejich znalosti take existuje jednoduchy zpusob, jak je obejit, takze je nehodlam psat do verejne diske a rozhodne vyzaduji sofistikovany router (linux, cokoli jemu podobne, small bussines zarizeni).
ad 2) "sdileni ve windows" funguje jako router.. no dobre, s trochou fantazie, sitove sluzby windowsum nikdy poradne nesly, ale prakticky je to to totez, jako router v ceste
ad 4) vasi zamestnanci maji touhu si na svych pracovistich nosit dalsi zarizeni? jen aby tam jako mely dve, ze jsou cool nebo tak?
ad 5) firewall na treti vrstve, IPsec pakety maji totiz specialni IP protokol, ssl VPN temer nemas sanci poznat ani s filtraci na 7 (aplikacni) vrstve
1. Uzamykanie mc ti umozni to, ze sa ti tam nebudu potulovat cudzie mac adresy. Router beznym sposobom nezistis.
2. Zdielanie som naposledy skusal pred x rokmi na xp, boli siete, ktore pred x rokmi ked som zacinal s ISP vsadili namiesto linuxu na kombinaciu win+kerio win route firewall. Postupne vsetky tuto platformu opustili. Nepoznam ziadnu siet co by prevadzkovala routing na win platforme. Je mozne, ze Vista a 7 su uz na tom lepsie. \
Sietovy most je nudzovka, pri cenach dnesnych SOHo routrov uplne zbytocna vec, navyse po pripojeni do siete dokazes identifikovat dalsie pc za mostom, takze je to bezpredmetne.
3. Uzivatel ruzo nema tak celkom pravdu. Za istych okolnosti mozes s urcitou pravdepodobnostou spoznat router, po pouziti istych prostriedkov dokonca s urcitostou. Oboje je podla urvoni tvojich otazok momentalne mimo tvoj level, preto trvam na to, ze router momentalne nespoznas.
4. Proxy servre sa dnes pouzivaju len vynimocne. Venovat sa tejto moznosto je v tvojom pripade trosku zbytocne.
5. Myslim, ze najprv by bolo vhodne nieco si o tom nastudovat a neziadat hned hotove riesenia. Detekcia sietoveho trafficu je mimo rozsah tohoto threadu a museli by sme sa tomu venovat minimalne v serii clankov. Prestuduj si na googli layer7. Pre teba najschodnejsie riesenie je blokacia vsetkych portov, povol len standarne sietove a tak zabranis napriklad pouzivaniu vpn spojeni. Ja osobne by som vsak na takejto sieto nechcel byt ani minutu, resp by som to obchadzal nejakym ssh tunelom vedenym cez 80 alebo 443 port. Vsetko ma svoje za a proti.
Edit pokial chces ozaj, aby na sieti nemohli ist cudzi useri je jedine riesenie vytvorenie vpn spojenia pre kazdeho klienta alebo pouzitie Radiusu. Takto odstranis soho routre a cudzie pc s falsonymi mac adresami a pod.
Ja mam openvpn nastavenou na tcp port 443
je to SSL provoz, nedokazes odhalit vubec nic, kdyz mi povolis port 443 
ad 2) sitovy most funguje jako hub. Akorat interne v pocitaci z jedne sitovky na druhou (proste bridge).
ad 5) SSL VPN nedokazes rozlisit od HTTPS provozu zadnym zpusobem, protoze je to fakticky HTTPS provoz.