Freesco, NND, CDN, EOS

Czy ktoś ma router i podsieć, można wykryć stosując natdet. Zaś ipsentinel wykryje podrobiony MAC.

_________________
Belfer.one.PL
Audio Cafe

akurat jeśli ma macka to nic nie zmienia - ipsentinel raczej wychwyci i zablokuje.
jeśli ma router i na nim zmienia - tu ipsentinel może nie pomóc, ale możesz na podstawie TTL ustalić kto ma taką samą wartość TTL przed i po zmianie macka (albo przynajmniej zawężić grono podejrzanych)

tcdumpem możesz (powienieneś) logować połączenia.
Następnie gdy masz już logi zebrane z całego dnia możesz przy pomocy skryptu napisanego w AWK odnaleźć użytkownika który nawiązał połącznie z hostem w necie, następnie znikł, i inny (fałszywy) użytkownik ponownie łączy się z tym samym hostem.

Możesz jeszcze zastawić pułapkę na niego, tzn. zostawiasz swój IP i MACk "wolny" tak aby użyszkodnik mógł sobie poużywać, a ty:
- logujesz tcdumpem co i gdzie, potem analiza ethercapp i szukanie nr gg, email
- robisz powiadomienie przy pomocy np sms że użyszkodnik się uaktywnił i wtedy idziesz po nitce do kłębka
- sprawdzasz kto w tym samym czasie jest dostępny, a kto nie.

Pozatym jeśli twoja sieć nie jest za duża to możesz po analizie użytkowników rozpoznać kto jest zdolny do takiego występku.
A wtedy możesz go odwiedzić osobiście.

Ale najpierw zanim teraz zaczniesz gdybać, może spróbuj tego ipsentinela.

W ostateczności użyj PPPoE

_________________
PECTOSOL to lek wykrztuśny stosowany w nieżytach gardła, przy suchym, męczącym kaszlu.
>>Jak mądrze zadawać pytania<<

No i dzisiejszy dzień przyniósł rozwiązanie zagadki w dość prosty sposób. A mianowicie gdy mrtg zaczął rysować ruch na danym IP, przyjechałem do "serwerowni" - komenda wyświetliła aktywne komputery. Okazało się że na tej liście brak nazwy podejżewanego komputera a dioda na switchu na jego porcie intensywnie miga. Po wyciągnięciu wtyczki ze switcha - ruch automatycznie stanął na tym IP. Wniosek oczywisty.

Na razie niech sobie trochę jeszcze pohula, wypróbuję na nim ipsentinela a w między czasie przygotuję autoryzację via www.

A odnośnie logowania połączeń. Czy da się zapisywać w logach coś więcej niż adres docelowy (np. pełny adres). Używam tcpdump i mam coś takiego:



ps. Dzięki pectosol za zainteresowanie i garść pomysłów - może się jeszcze przydadzą.

A Twoim zdaniem co JA miałem na myśli pisząc o szczypcach z bocznym cięciem ? Ano dokładnie takie postępowanie, jakie opisałeś.

_________________
F33/F07,F11,F13,F17

Wcale temu nie przeczę, tylko dziś zbieg okoliczności sprawił, iż miałem chwilę żeby zerknąć na mrtg i traf chciał że użyszkodnik się wychylił.

Wcześniej to było tak trafić na niego jak trafić 6 w totka

ps. Tobie też dzięki.

[quote="jaba"
A odnośnie logowania połączeń. Czy da się zapisywać w logach coś więcej niż adres docelowy (np. pełny adres). Używam tcpdump i mam coś takiego:
[/quote]

tu masz rozwiązanie dobre i skuteczne
http://forum.freesco.pl/viewtopic.php?p=59603#59603

_________________
PECTOSOL to lek wykrztuśny stosowany w nieżytach gardła, przy suchym, męczącym kaszlu.
>>Jak mądrze zadawać pytania<<

Nie bardzo rozumiem ten sukces... jeśli miałbym sieć ethernetową, to wyjmując kabelek ze switcha wiedziałbym do kogo należy. Wiec o co tu chodzi z jakimiś podchodami:
[qoute]Na razie niech sobie trochę jeszcze pohula, wypróbuję na nim ipsentinela a w między czasie przygotuję autoryzację via www. [/quote]
... naprawdę nie kapuję, w ethernecie autoryzacja??

_________________
Belfer.one.PL
Audio Cafe

chyba że do 1 kabelka ma potem wpiętego switcha

_________________
WRT54G v3.1 z TOMATO
Ovislink 5460+APPRO + Yagi 12dbi
2048/256 3 users
LaFonera + FON
DLink DNS-323 2x320GB WD RAID0

Bożesz ty mój.. to bym leciał do następnego switcha..

_________________
Belfer.one.PL
Audio Cafe

Widzę, że nie wszyscy dokładnie czytają to co napisałem wcześniej:


Gdyby cały czas jechał na moim IP nie byłoby problemu, pracuję i nie mam jak, cały czas siedzieć nad kablami a i do switcha z pracy mam 5km.

pozdrawiam

O co innego mi chodziło. Jeśli już namierzyłeś gościa, to po cholerę się z nim bawić. Odciąć od sieci i zadbać, żeby to się stało wiadomym dla innych użytkowników. Używanie autoryzacji w sieci ethernetowej i jakichś whatever, które tylko de facto utrudniają normalnym userom życie, to znaczny przerost formy nad treścią.

_________________
Belfer.one.PL
Audio Cafe

A więc przetestowałem ipsentinela w praktyce i co się okazuje...
Po 2 tygodniach spokoju dziś podszywacz znowu podmienił sobie mac. Ipsentinel działa od 2 tygodni i niestety nie upilnował.
Zgodnie z moimi przypuszczeniami, wydaje mi się że zadziała wtedy jeżeli ktoś obcy wpina się do sieci nieznając wcześniej prawidłowego maca. Przy poprawnym mac skąd "może wiedzieć", że akurat ten jest podmieniony na innym urządzeniu.

pozdrawiam

Nie, no ja bym takiego naprawdę potraktował szczypcami...

U siebie mam takiego, który regularnie łapie jakiegoś robala floodującego pakietami SYN (w dodatku o dużych rozmiarach) jakiegoś ruskiego hosta i - owszem, serwer trzyma limit połączeń, ale tych pakietów jest tyle, że zużycie proca dochodzi do 90 %, nie mówiąc już o tym, że lagi się w sieci robią takie że nawet po SSL ciężko się z serwerem pracuje.
Wtedy normalnie odpinam mu kabelek i informuję klienta, że jak zrobi z tym porządek, to go podłączę.


No też mi się tak wydaje - taki inteligentny to on chyba nie jest.

_________________
F33/F07,F11,F13,F17

Skoro gość podmienia jednocześnie pary IP/MAC to jak IP-Sentinel ma reagować ?! Musisz zastosować coś jeszcze do identyfikacji oprócz pary IP/MAC... autoryzacja przez WWW to nie taki głupi pomysł. W firmie oprócz IP-Sentinela wykorzystałem OCS Inventory jako taki specyficzny ident, ale u providera takie rozwiązanie się raczej nie sprawdzi.