Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 29 marca 2024, 10:34

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 96 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4, 5  Następna
Autor Wiadomość
 Tytuł:
Post: poniedziałek, 30 kwietnia 2007, 23:14 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
zastanawia mnie jeszcze jedno ("zastanawia" bo nie testowałem)
Mam APeki z autoryacją po MACku (+WPA)...czyli bez prawidłowego MACka nic nie uzyskasz.
I tu rodzi się pytanie:
Czy w takiej sytuacji zadzaiła pakiet?
W końcu APek nie dopuści nieprawidłowych MACków - a tymsamym pakiet tego nie wychwyci tych nieprawidłowych czyli nie zadziała...

... {chwila namysłu}...

Chociaż można (po)znać MACka i wpisać inny IP, wtedy ARP -f nie da neta, a APek i tak zablokuje ruch między hostami (mam APeki z taką funkcją)

...

Zmianę położenia konfigu udało mi się uzyskać przez zmianę zapisu w /etc/rc.d/ipsentinel
...jak narazie działa...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 00:07 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Nie wiem na ile filracja MAC w AP jest skuteczna na próby włamania, z moich doświadczeń wynika, że nawet jeśli AP filtruje to wpisanie arp -n na serwerze daje mi IP i MAC komputera, który próbuje. Podejrzewam, że jeśli podsłucham odpowiednią ilość pakietów to znajdę MAC i go sobie przypiszę, jeśli będzie ip-sentinel, to dostanę tylko fake-MAC.
Oczywiście można sobie wstawiać odpowiedni katalog dla pliku ips.cfg, ale oryginalnie jest podobnie jak z mysql, katalog jest katalogiem programu, a plik bardziej bazą niż konfiguracją.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 01:58 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
a czy jest szansa,zeby byla robiona kopia ips.cfg po reinstalacji pakietu?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 02:02 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jak sobie dopiszesz w pacman.conf do noupgrade, to owszem. Tak nawiasem mówiąc, to czy nikt nie czyta tekstów na nnd.freesco.pl - dawno temu już umieściliśmy tam artykuł dotyczący podstaw pracy z systemem. Jest tam także mowa o tym, jak chronić swoje pliki konfiguracyjne.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 06:55 
Offline
Użytkownik

Rejestracja: środa, 8 czerwca 2005, 19:39
Posty: 571
OK, dobra przeczytalem art.
I mam pytanie - co z taka konfiguracja kiedy klient mojej sieci ma APC ktory nie przepuszcza MACku karty sieciowej? Jak wiesz zapewne wymaga to roznych wpisów w ethers (mac apc) i w dhcpd.conf (mac sieciowki).

Czy ktos testowal taka konfiguracje?

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 07:46 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
Maciek pisze:
W LAN to też działa, choć wydaje mi się, że w sieciach WLAN może to być nieoceniona pomoc.

Ja zastosowałem ip-sentinela w LAN i wydaje mi się, to zastosowanie jest równie ważne. Podam tylko dwa przykłady korzyści z zastosowania ip-sentinela w LAN:
    • Ochrona pakietów wychodzących z serwera przed atakiem Man in the middle z wykorzystaniem techniki ARP/RARP Packet Injection
    • Ochrona przed atakiem CAM overloading polegającym na przepełnieniu tablicy do odwzorowania adresów MAC na porty przełącznika


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 07:47 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
Maciek pisze:
Podejrzewam, że jeśli podsłucham odpowiednią ilość pakietów to znajdę MAC i go sobie przypiszę, jeśli będzie ip-sentinel, to dostanę tylko fake-MAC.


No tak, tylko że patrząc oczami włamywacza wygląda to mniejwięcej tak:
-AP nie daje stanu "'połączony" dopóki nie bedzie miał właściwego MACka i WPA/WPA - czyli żaden pakiet włamywacza nie dotrze do serwera
-włamywacz ustawia swoją kartę w trybie "nasłuchu" i zbiera pakiety jakie lecą w eter, rozsiewane podczas normalnej pracy z userami - oczywiście pakiety mogą być zaszyfrowane itp,
w trybie nasłuchu zmienia też swój parawdziwy MACk na jakiś fake
-po zebraniu odpowiedniej ilości pakietów, łamie klucz, wyciąga z pakietów prawdłowy IP i MACk
-przypisuje sobie prawidłowe dane i włącza się w AP - pod nieobecność prawdziwego hosta...lub co gorsza pod jego obecność


Wnioski:
wardriver zdobywa MACki i IP zanim jeszcze wepnie się w sieć, czyli dla urządzeń w sieci jest niewidoczny
To tak jakby patrzeć co "leci" w ethernecie nie włączając się fizycznie do niego.

Raczej wątpię aby wprawny włamywacz do znalezionego MACka przypisał inny IP...z założenia należy przyjąć że każda sieć jest zabezpieczona przed takimi podmianami.

Trzeba by się dokładnie przyjrzeć jak działa ip-sentinel


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 10:37 
Offline
PGF

Rejestracja: piątek, 25 lutego 2005, 18:22
Posty: 1430
Lokalizacja: Elbląg
pectosol pisze:
Wnioski:
wardriver zdobywa MACki i IP zanim jeszcze wepnie się w sieć, czyli dla urządzeń w sieci jest niewidoczny
To tak jakby patrzeć co "leci" w ethernecie nie włączając się fizycznie do niego.

Orion - dokładnie to miałem na myśli pisząc w wątku "Zestaw małego inkwizytora"
pectosol pisze:
Trzeba by się dokładnie przyjrzeć jak działa ip-sentinel

A no trzeba by.

_________________
F33/F07,F11,F13,F17
ObrazekObrazek


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 11:24 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
viater pisze:
Orion - dokładnie to miałem na myśli pisząc w wątku "Zestaw małego inkwizytora"

Heh, przeczytaj uważniej co napisałem właśnie w tamtym wątku.
orion pisze:
Może ktoś kto ma (najlepiej) kilkudziesięciu użytkowników i sieć na kablu miałby ochotę sprawdzić działanie IP-SENTINELa wg. mojego opisu w tym temacie?
To nie ja upierałem się żeby wykorzystywać Ip-sentinela w sieciach WLAN. Nigdy nie pisałem, że ten tool poprawi bezpieczeństwo w sieciach WLAN. Ja z sieciami radiowymi chciałbym mieć jak najmniej do czynienia.

Jedno jest pewne, to co napisał pectosol jest prawdziwe - jesli serwer na którym jest ip-sentinel nie dostanie żadnego pakietu od włamywacza na etapie przed zmianą MAC i IP to nie zadziała. To samo tyczy się każdego innego programu do pilnowania przestrzeni adresowej.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 13:17 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Myślałby ktoś, że oferuje się wam cudowny lek na wszystko, a wy musicie udowodnić, że to placebo.
Nikt nie twierdził, że ip-sentinel jest lekiem na całe zło. Jednak jest jednym z narzędzi, które poziom bezpieczeństwa poprawiają. Wg moich krótkich doświadczeń, można powiedzieć o kilku zasadniczych zaletach, podam to w formie przykładów.
LAN - mała, amatorska lub półprofesjonalna sieć osiedlowa, niewielka sieć firmowa (zakładam,że chodzi o sieć dla kilkudziesięciu użytkowników). W takiej sieci użytkownicy najczęściej zmieniają IP, żeby spróbować, czy nie będzie im lepiej działać łącze, czasem po to aby zrobić komuś na złość, w firmie po to by obejść ograniczenia, ewentualnie podpiąć się z innym komputerem. I w tej sytuacji ip-sentinel sprawdzi się na pewno. Myślę, że zapobiegnie sytuacji, o której pisano już na forum - ktoś złośliwie przybiera sobie numer serwera, po to żeby utrudnić życie adminowi. Przy czym pamiętać należy, ze tacy użyszkodnicy najczęściej mają pozorną tylko wiedzę i tylko im się wydaje, że są tacy dobrzy. Byc może program nie zapobiegnie wszystkim hipotetycznie możliwym sytuacjom, ale na pewno wykluczy 99% chuligańskich wybryków, a to znaczy, że warto zainstalować mały programik, który nie zżera zasobów serwera i działa sobie w tle.
Sytuacja druga to WLAN.
WPA - część sieci używa tego sposobu szyfrowania. Większość włamywaczy pominie taką siec od razu, aby próbować to złamać, trzeba mocnego komputera, przechwycenia kilkuset megabajtów danych, a szanse złamania klucza są niewielkie. Mało sieci stosuje te zabezpieczenia, ponieważ część klientów nie ma kart obsługujących ten sposób zabezpieczeń, szyfrowanie też zwalnia sieć.
WEP - część chętnych odstąpi od zamiaru, aby złamać WEP starczy parę minut, ale trzeba zebrać ponad 100 MB pakietów aby zyskać materiał do łamania klucza, nie wiadomo też czy nie sa stosowane dodatkowe zabezpieczenia. Jednak będzie pewna część upartych, którzy podejmą się zadania i najdalej w pół godziny dostaną się do sieci. Sposobem byłoby tu jedynie autoryzowanie.
Co zrobi wardriver, jeśli zobaczy, że jest sieć bez szyfrowania (ze względu na szybkość działania większość sieci tak pracuje), z rozgłaszającym się SSID, która na dodatek przydziela IP przez dhcp? Zamiast bawić się w zaawansowane próby, przede wszystkim dla oszczędzenia czasu spróbuje się podpiąć (tak zapewne zrobi 99%), a wtedy zadziała ip-sentinel w sposób perfidny i cichy. Czy program zapobiegnie wszystkim próbom? Nie. Ale kluczową sprawą jest tu prawdopodobieństwo. Jeden ze znajomych ma sieć radiową, do której średnio 3 razy dziennie ktoś próbuje się włamać (jest tylko ochrona związana z MAC), przynajmniej raz na tydzień komuś się udaje, sądzę, że ip-sentinel spowoduje, że takich udanych "podpięć" będzie znacznie mniej - może jedno na parę miesięcy.
Rozpisałem się aż za bardzo, przepraszam, ale może komus się te moje uwagi przydadzą.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 13:39 
Offline
Użytkownik

Rejestracja: niedziela, 10 września 2006, 18:33
Posty: 228
Lokalizacja: Żyraków ok. Dębicy
Maciek pisze:
(...)
Rozpisałem się aż za bardzo, przepraszam, ale może komus się te moje uwagi przydadzą.


ciekawy wykład :wink:

_________________
WRT54G v3.1 z TOMATO
Ovislink 5460+APPRO + Yagi 12dbi
2048/256 3 users
LaFonera + FON
DLink DNS-323 2x320GB WD RAID0


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 17:36 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
mam jedno pytanko, a mianowicie w pzykladowym pliku ips.cfg jest :
Cytuj:
192.168.1.2@!00:07:95:50:97:C0
192.168.1.{3-4}
192.168.1.5@!00:D0:59:12:AF:15
192.168.1.6@!00:30:BD:66:EC:77
192.168.0.{7-254}

ostatni wpis nie powinnien wygladac tak :
192.168.1.{7-254}, bo skoro lan jest 192.168.1.1


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 18:00 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Oczywiście, to literówka.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 18:13 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
ale ta literowka jest we wszystkich opisach :-)


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: wtorek, 1 maja 2007, 18:16 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Już nie jest.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 2 maja 2007, 11:06 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
Maciek pisze:
Myślałby ktoś, że oferuje się wam cudowny lek na wszystko, a wy musicie udowodnić, że to placebo.

Racja, to tylko kolejne narzędzie, a dobry fachowiec ma ich kilka w swojej skrzyni.


Maciek pisze:
WPA - część sieci używa tego sposobu szyfrowania.

a szkoda bo to naprawdę dobre zabezpieczenie.
Obecnie naprawdę bardzo mało kart WiFi nie wspiera tego zabezpiecznia,
a nawet jeśli nie ma odpowiednich sterowników, to windoza portafi rozwiązać ten problem.

Zresztą koszt wymiany karty na nowszą to 70-80 zł - a udostępnianie bezpłatne netu i naprawianie szkód jakie wywoła intruz są chyba warte tej ceny.



Maciek pisze:
WEP - część chętnych odstąpi od zamiaru,

I to kolejny błąd.
Wprawdzie nie jest to jakieś mocne zabezpieczenie ale jednak jakieś.

Tymbardziej że takich "upartych" wardriverów jest naprawdę bardzo mało.
Zwłaszcza że wymaga to pewnej wiedzy, sprzętu, czasu i chęci.
Pozatym jeśli nawet ktoś się włamuje i ma odpowiednią wiedzę to najczęściej dla "sportu" - znaczy ma już łącze z netem (często radiowe) - z niego czerpie wiedzę, narzędzia, a "włamanie" traktuje jako sprawdzian swoich umiejętnosci.

Maciek pisze:
Sposobem byłoby tu jedynie autoryzowanie.

czyli jednak PPPoE...też nie bardzo podoba mi się to rozwiązanie, ale powoli się do niego przymierzam


Maciek pisze:
Co zrobi wardriver, jeśli zobaczy, że jest sieć bez szyfrowania (ze względu na szybkość działania większość sieci tak pracuje), z rozgłaszającym się SSID, która na dodatek przydziela IP przez dhcp?

Nic... bo taka sieć to Hotspot, a user to nie wardriver tylko pomylił się wybierając SSID ;)

Jeśli admin nie stosuje nawet autoryzacji po MACku to po prostu tworzy Hotspot

Jeśli chodzi o straty szybkości przy szyfrowaniu WPA/WEP to najczęściej są niezauważalne, albo inaczej - akceptowalne.
Trzeba pamiętać że łącza WLAN służą głownie do dostarcznia netu, a przecież 99% dostawców, nie daje dla końcowego usera prędkości równej przepustowości łącz WLAN.
A jeśli nie akceptujemy takich strat to swiadomie pozwalamy na kradzież i zabawę naszym kosztem.
To tak, jakby całkowicie zrezygnować z zamków w drzwiach, bo za dużo czasu zajmuje szukanie kluczy w kieszeni...


Generalnie jednak ip-sentinel może być jednak użyteczny w WiFi, zwłaszacza tam gdzie sieci są mieszane z skrętką.



Maćku mam nadzieję że nie bedziesz miał mi za złe że tak namiętnie Ciebie cytuję - nie dlatego że się czepiam tylko dlatego że merytorycznie wnosisz coś do dyskusji


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 2 maja 2007, 12:52 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
pectosol pisze:
czyli jednak PPPoE...też nie bardzo podoba mi się to rozwiązanie, ale powoli się do niego przymierzam

Nie tylko.
Sprawdziłem działanie chillispot we współpracy z radiusem. Rozwiązanie na pewno bezpieczne. Działające. Logowanie odbywa się poprzez HTTPS. Nie pomoże żadne podmienianie MAC, bez podania loginu i hasła nie dostanie się nikt do sieci. Na dodatek największa wada chillispot jest jednocześnie zaletą. Otóż chillispot przydziela dynamicznie adresy (wbudowany dhcp) i dlatego nie nadaje się do większych sieci, bo trudno byłoby sprawdzić adminowi, kto jest kto. W małych sieciach nie jest to trudne, bo łatwo sobie wyświetlić te kilka - kilkanaście wpisów filtrując logi*. Ta przypadłość powoduje też, że nawet jeśli pojawią się dwa takie same MAC, to drugie pojawienie się spowoduje przydzielenie innego IP, czyli nie dojadzie do sytuacji, że wardriver nie dostanie się do sieci ale zablokuje komuś net.
Sprawdziłem kilka innych działających rzekomo rozwiązań. NatACL, NoCatAuth i inne. Najlepsze wydaje się rozwiązanie NoCatAuth. - uruchomienie go powoduje zmianę wpisów w iptables, tworzy się klasa members. Poprawne zalogowanie się dodaje dany IP do klasy members i tym samym dostęp do netu. Wszystko pracuje na rzeczywistym interfejsie, dla poszczególnych użytkowników można również różnicować szybkość i inne parametry dostępu.
Jednak jest pewne ale. NoCatAuth został zbudowany dawno temu na skryptach perla, dziś perl zmienił się na tyle, że nie da się tego uruchomić**.
----
* W wersji NND (skylark) przygotowanej przez siebie, zrobiłem interfejs www do tego.
** Działanie sprawdziłem na NoCatSplash - wersji w c, która ma charakter tylko demonstracyjny.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 2 maja 2007, 13:06 
Offline
Użytkownik

Rejestracja: niedziela, 16 maja 2004, 21:32
Posty: 1203
Lokalizacja: Bieruń
nie wiem jak u innych ale u mnie dziala bez problemu nawet wykryl mi kompa w lan, ktorego nie widzial, ani arwatch, ani arpalert, jakis program pewnie p2p,probuje cos z mumereami IP Tu jest log

EDIT

zapomnialem dodac ze komp o nr. IP 192.168.2.43 jest w mojej sieci podlaczony kabelkiem.Narazie jest wylaczony, zobaczymy jak sie wlaczy, czy bedzie to samo. mam 5 AP ale narazie mam spokuj na nich.


Ostatnio zmieniony środa, 2 maja 2007, 13:54 przez rikardo7, łącznie zmieniany 3 razy

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 2 maja 2007, 13:38 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Ja na 24 godziny wystawiłem AP na okno (malutki jest i słaby) i nałapało się troszkę ptaszków w sieci. Sprawdziłem wszystkie logi - prócz wpisu o przydzieleniu IP i wpisów w logu sentinela, nie było żadnych innych objawów ich aktywności.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: środa, 2 maja 2007, 21:18 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
Po dokładnej analizie kilka wniosków:
-pakiet nie jest żadnym zabezpieczeniem przed wardiverami, cały proces "włamania" do sieci wifi odbywa się w taki sposób że program nie wychwyci MACka napastnika.
-może być zabezpieczniem przed użyszkodnikami którzy próbują snifować własną sieć
-może być zabezpieczeniem w przypadku gdy część hostów jest podpiętych skrętką - zwłaszcza w różnych segmentach sieci (LAN<>WLAN<>LAN<>WLAN).
Dzięki niemu wytniemy nielegalnie wpinane hosty i ruch między nimi.

Ten trzeci punkt jest kluczowy i dla niego warto stosować pakiet w sieci WLAN
Wpiecie się do skrętki jest prostsze, a ruch między userami w przypadku WLAN potrafi być morderczy dla sieci.


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 96 ]  Przejdź na stronę Poprzednia  1, 2, 3, 4, 5  Następna

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 21 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl