Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Izolacja klientów w lanie http://forum.freesco.pl/viewtopic.php?f=22&t=6145 |
Strona 1 z 1 |
Autor: | Albercik [ wtorek, 14 grudnia 2004, 00:11 ] |
Tytuł: | Izolacja klientów w lanie |
Czy jest możliwość poblokowania kominikacji między userami ale nie między userem a serwerem ? Wiem ,że najprostszy sposób to ustalić broadcast dla każdego usera inny ( wyliczyć mu sieci jednoosobowe ) i oczywiście maskę . Ale takie coś to można sobie samemu zmienić , poza tym to uciążliwe i nie jest dobrym rozwiązaniem ponieważ w niektórych przypadkach trzeba stworzyć aliasy dla sieciówki sewera od strony LANu. Zna ktoś jakieś rozwiązanie ?? |
Autor: | Anonymous [ wtorek, 14 grudnia 2004, 01:09 ] |
Tytuł: | Re: Izolacja klientów w lanie |
Albercik pisze: Zna ktoś jakieś rozwiązanie ??
Swego czasu kumpel miał podobny problem i poprosił mnie o pomoc. Ja to rozwiązywałem na zasadzie wysyłania błędnych ARPów, czyli np: SERWER 192.168.0.1 MAC 11:11:11:11:11:11 A - IP: 192.168.0.2 MAC aa:aa:aa:aa:aa:aa B - IP: 192.168.0.3 MAC bb:bb:bb:bb:bb:bb chcesz zabronić komunikacji pomiędzy komputerami A i B, a to wszystko robisz z SERWERa(prawdę mowiąc to z dowolnego komputera:)). Wysyłasz do komputera A pakiet ARP_REPLY, mowiący, że adres IP 192.168.0.3 jest osiągalny pod adresem sprzętowym cc:cc:cc:cc:cc:cc. Protokół APR jest bezpołączeniowy, więc przyjmię tę odpowiedź jako pewnik i odpowiednio zaktualizuje swój ARP cache. Dzięki temu pakiety wysyłane z komputera A, adresowane do komputera B(192.168.0.3) będą wysyłane na nieistniejący adres fizyczny, czyli nie będzie możliwa komunikacja między tymi dwoma komputerami. Mam nadzieję, że nie namieszałem za mocno:) |
Autor: | Albercik [ wtorek, 14 grudnia 2004, 02:13 ] |
Tytuł: | |
Cytuj: Mam nadzieję, że nie namieszałem za mocno:)
uuuu...niestety , namieszałeś ![]() ![]() |
Autor: | Koriolan [ wtorek, 14 grudnia 2004, 12:07 ] |
Tytuł: | |
W/g mnie Albercik szybciej sobie przeczytasz w internecie o protokole 'arp'. Krótko : polega to na tym, że komputery nie przesyłają paczek TCP/IP po IP tylko po MAC ( w sieci lokalnej). By wysłać coś do kompa IP_01 wysyłają zapytanie 'arp - KTO ma IP 01 ?' ten kto ma IP _01 wysyła 'arp reply komp o 01 ma MAC 11:22:...' Jak pierwszy to otrzyma to wysyła paczki TCP/IP do MAC 11:22.. i KARTA SIECIOWA TEGO KOMPUTERA TO ODBIERA. Ta wymiana 'srp ..' odzwierciedlona jest włąśnie w tablicy arp odczytywanej programem : np. 'arp -n' Na 'freshmeat' jest programik arp_cośtam, który służy akurat do czegoś odwrotnego, czyli zabezpieczenia przed zafałszowaniem pary IP - MAC ale po zastanowieniu może posłużyć do tego co opisano wyżej ![]() Pomysł z poprzedniego postu polega na sfałszowaniu adresy MAC by wysyłane paczki TCP/IP NIE trafiały pod dobry adres. Nie wiem tylko jak to zrobić by trafiały dobrze do SERWERA. Choć jak serwer będzie miał ustwioną tablicę 'arp' na sztywno 'arp -f' to da sobie radę. Ty Abercik masz chyba siec radiową ? Na AP firmy Atmel można oddzielić klientów na AP'ku. |
Autor: | Albercik [ wtorek, 14 grudnia 2004, 15:00 ] |
Tytuł: | |
Cytuj: Na AP firmy Atmel można oddzielić klientów na AP'ku
Atmel To nazwa chipsetu ... Wiem ,że wiesz o tym ale znaczenie ma oprogramowanie . Wypuszczono teraz taki soft na Ovislinki 1120 (RTL8181) i wiem , że mozna to zrobić na każdy sprzęt - także na Atmela , ale nie wiem , czy ktoś to na ten chipset zaaplikował. Ja mam APki na RISC/PRISM i dużo droższe modele maja tą opcję .... ale , jak juz mówiłem są droższe ![]() |
Autor: | Anonymous [ wtorek, 14 grudnia 2004, 18:30 ] |
Tytuł: | |
Koriolan pisze: Na 'freshmeat' jest programik arp_cośtam, który służy akurat do czegoś odwrotnego, czyli zabezpieczenia przed zafałszowaniem pary IP - MAC ale po zastanowieniu może posłużyć do tego co opisano wyżej ![]() arpwatch? Koriolan pisze: Nie wiem tylko jak to zrobić by trafiały dobrze do SERWERA. Nic nie trzeba robić, przecież odwzorowania IP->MAC w stosunku do SERWERa będą działały prawidłowo. Tutaj nic się nie zmienia. Koriolan pisze: Choć jak serwer będzie miał ustwioną tablicę 'arp' na sztywno 'arp -f' to da sobie radę. W taki sam sposób użytkownicy mogą obejść to "zabezpieczenie":) Albercik pisze: Opisz bliżej co to takiego ARP_REPLY i napisz coś praktycznie jak to rozwiązać , jeśli możesz oczywiście.
Hmm, można np. napisać krótki programik, który nie będzie robił nic innego tylko przez cały czas co sekundę wysyłał odpowiednio spreparowane pakiety ARP. Możesz do tego wykorzystać też programik nemesis. Przy założeniach z poprzedniego postu. nemesis arp -v -r -d eth0 -S 192.168.0.3 -D 192.168.0.2 -h cc:cc:cc:cc:cc:cc -m aa:aa:aa:aa:aa:aa -H cc:cc:cc:cc:cc:cc -M aa:aa:aa:aa:aa:aa W tym przypadku zostanie wysłany pakiet ARP(REPLY) do komputera A(192.168.0.2), mówiący, ze komputer B(192.168.0.3) znajduje się pod adresem sprzętowym cc:cc:cc:cc:cc:cc, który nie istnieje w tej sieci. Tym sposobem komunikacja pomiędzy tymi dwoma komputerami zostaje zablokowana. Dla pewności wysyłasz jeszcze analogiczny pakiet do komputera B. Oczywiście to polecenie wydajesz z SERWERa(lub innego komputera podpiętego do tej sieci), zakładając, ze eth0 jest fizycznym interfejsem, przez który SERWER ma bezpośredni dostęp do komputerów A i B. Dla zwiększenia automagiczności można to sobie wszystko oskryptować i odpalać w screenie. |
Autor: | Albercik [ wtorek, 14 grudnia 2004, 23:33 ] |
Tytuł: | |
Jak wygląda z wysyłaniem informacji do komputerów : czy jeden raz wysłana informacja starcza aż do resetu komputera/serwera czy należy z jakąś czestotliwością to wysyłac czy w zależności od jakichś czynników ? Szukam czegoś nt nemezis ale nic nie mogę znaleźć. Możesz coś podsunąć ? Jakiś adres z info ? I jeszcze jedno : nie można pod nowym NND tego zainstalować . Pokazują się błędy . Możesz coś podpowiedzieć ? |
Autor: | Anonymous [ czwartek, 16 grudnia 2004, 17:38 ] |
Tytuł: | |
Albercik pisze: Jak wygląda z wysyłaniem informacji do komputerów : czy jeden raz wysłana informacja starcza aż do resetu komputera/serwera czy należy z jakąś czestotliwością to wysyłac czy w zależności od jakichś czynników ? Hmm, optymalną częstotliwość wysyłania tych pakietów ustal sobie doświadczalnie. Twój niecny plan może zniweczyć: otrzymanie poprawnej odpowiedzi ARP lub wygaśnięcie wpisu w ARP cache'u. Wydaje mi się, że dla pewności możesz wysyłać np. co 1 sekundę, ale to jeszcze zależy od wielu czynników(m.in. systemów operacyjnych, ilości komputerów w sieci). Albercik pisze: Szukam czegoś nt nemezis ale nic nie mogę znaleźć. Możesz coś podsunąć ? Jakiś adres z info ? http://www.packetfactory.net/projects/nemesis/ Może to Ci pomoże, ale opis wszystkich opcji masz w helpie programu. Tylko musisz wiedzieć co dokładnie chcesz osiągnąć, bo dzięki temu narzędziu można stworzyć prawie dowolny pakiet. Albercik pisze: I jeszcze jedno : nie można pod nowym NND tego zainstalować . Pokazują się błędy . Możesz coś podpowiedzieć ?
Hmm, moja krysztalowa kula ostatnio zawodzi, ale popatrzę w nią i odgadne dlaczego nie mozesz zainstalować. Brak biblioteki libnet w wersji 1.0.2a? http://www.packetfactory.net/libnet/dis ... .2a.tar.gz U mnie poszło;) |
Autor: | Koriolan [ czwartek, 16 grudnia 2004, 19:56 ] |
Tytuł: | |
Nie arpwatch .... Arpwatch służy tylko do kontroli par IP-MAC. Używam go do tego właśnie. Lepszy jest arphound, który sprawdza pary IP - MAC we WSZYSTKICH pakietach nie tylko w pakietach arp ![]() Programik który zabezpiecza przed podmianą MAC jest IP_sentinel (poświęciłem sie i to znalazłem). Tam jest tez odpowiedx jak często trzeba wysyłać pakiety arp. Sentinel wysyła je każdorazowo po otrzymaniuy zapytania 'arp' ![]() należy zdawać sobie sprawę, że bez tego zapytania 'arp' nic nie wyślemy do innego komputera ( nie wim tylko, czy jak mamy stała tablicę arp to czy nasz komp wysyła zapytania 'arp'). Z tym, że na AP'ku można właśnie zablokować rozprzestrzenianie się brodkastów w tym zapytań 'arp'. Czego wynikiem jest właśnie oddzielenie klientów od siebie. |
Autor: | Albercik [ czwartek, 16 grudnia 2004, 22:40 ] |
Tytuł: | |
Cytuj: Z tym, że na AP'ku można właśnie zablokować rozprzestrzenianie się brodkastów w tym zapytań 'arp'. Czego wynikiem jest właśnie oddzielenie klientów od siebie.
To jest też bardzo ciekawe rozwiązanie i na pewno dało by się to zrobić na serwerze . Tylko jak ? Czy wystaczy zablokowac protokół 0x0806 i po sprawie ? Jak go zablokować ?? |
Autor: | Albercik [ czwartek, 16 grudnia 2004, 23:06 ] |
Tytuł: | |
Zrobiłem to , przefiltrowałem na APku 0x0806 i ...... heh ..... net działa , ale na APka nie mogę się wdostać ![]() ![]() ![]() teraz tylko pytanie : jak to zrobić dla wybranych hostów ?? i następne : jak wejść na APka , który ma filtrowany ARP .... leżę i kwiczę ![]() |
Autor: | Koriolan [ piątek, 17 grudnia 2004, 12:37 ] |
Tytuł: | |
Na moich AP NIE można wyróżniać kompów. Wszystkie albo nic. Do AP możesz próbować się dostać na sztywno ustawiając IP-MAC w arp'ie. Problem tylko czy na AP'ku też da się tak zrobić. ? Jak nie to będziesz musiał chyba wleżć i go zresetować ![]() Jakie masz AP'ki ? Jak nic nie pokazują statystyki zCiecha to te kompy mogą nie iść swoimi ścierzkami HTB ![]() Trochę dziwne biorąc pod uwagę, że HTB dzili kompy w/g ip a nie mac ![]() Nie ma ani uploadu ani downloadu ?? Ale dla AP czy dla AP i kompów podlegających temu AP ? |
Autor: | Albercik [ piątek, 17 grudnia 2004, 13:26 ] |
Tytuł: | |
Cytuj: Mam nadzieję, że nie uważasz iż to moja wina (odcięcie AP)). No pewnie ,że tak uważam ![]() ![]() Cytuj: Jakie masz AP'ki ? IWE1100PRO. Wersja ADVANCED ma wbudowaną izolację klientów. Cytuj: Nie ma ani uploadu ani downloadu ?? Ale dla AP czy dla AP i kompów podlegających temu AP ?
Nic nie pokazywało się w statystykach - ani klienci ani AP ( w zasadzie AP nigdy się nie pokazywał - kiedyś już o tym rozmawialiśmy nawet ![]() Nawiasem mówiąc musiałem jednak obalić maszt na bloku i zrobić reset ![]() |
Autor: | Koriolan [ piątek, 17 grudnia 2004, 19:07 ] |
Tytuł: | |
Nie chcę już poprawiać swego poprzedniego posta ale mogłeś jeszcze spróbować oprogramowaniem firmowym ( nie www ale tym od AP'ka ). Niektóre z nich chodzą na innym protokole i może by się przebiły. Z tą statystyką to dziwna sprawa ![]() W komfiguracji ( rc.htb) WSZĘDZIE jest rozpoznawanie po ip. Może jądro mimo, że się konfiguruje po ip rozpoznaje kompu po MAC wzięte np. z arp'a ![]() Ale jak na routerze masz ok ! To czemu nie działa HTB ? A dlaczego jednym chcesz łączność odebrać a drugim dać ? - wolne mysli - Możesz jeśli używasz zakłocacza z innego kompa poprzez 'arp reply" zakłócać wybrane komputery albo odciąć wszystkim a wybrane kompu ROUTOWAĆ NA SERWERZE ( czyli 192.168.0.10 - przerutować do - 192.168.12). Możesz też wybrańcom dać wirtualne numery i zrobić routing w wirtualnej sieci. |
Autor: | Albercik [ piątek, 17 grudnia 2004, 19:24 ] |
Tytuł: | |
Chyba się nie rozumiemy ![]() Oprogramowaniem firmowym spokojnie mogłem się zalogować i ustawiać ,ale nie stety nie pozawala na ustawienia w niektórych panelach APka ( m.in. właśnie na ustawianie sekcji filtrów ) . Staty generalnie działają jednak a dla tego po chwili pokazują "zero" bo dostęp do netu na takim APku po chwili jakby "wygasa" . |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |