Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Вымышленная ситуация в ЛС

  1. #1
    Full Member Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2008
    Сообщений
    104
    Вес репутации
    33

    Вымышленная ситуация в ЛС

    Представим себе организацию и в ней раздолбайскую сеть (точнее характер ее администирования), с числом компьютеров, где-то до сотни.
    И вот придумаем такую ситуацию, что когда-то давно был сотрудник в этой организации, пока его не уволили (либо он сам ушел). Случилось так (этим мы и будем объяснять раздолбайство), что учетка осталась.
    Также представим себе, что организация платит за скаченный трафик. Вроде и не сильно ограничивают, но вроде и следят чтобы выше определенного предела сотрудники не выходили.
    Проходит день, проходит год и вдруг данная учтка начинает использоваться, незаметно так из под нее выходят в инет, кушая немного трафику и не выделяясь на общем фоне. И представим, что эта учетка довольно часто работает с разных IP.
    Первое что может прийти на ум, определенное кол-во пользователей знают логин и пароль и для выхода в Интернет используют именно его. Отметем данную ситуацию, как самую простую и неинтересную.
    Представим, что только один человек прознал о логине и пароле и теперь втихую использует их. Чтобы весь трафик не светить под одним IP данный субъект каким-то способом каждый раз подменяет свой IP на другой и спокойно занимается своим грязным делом.
    Вот тут то я и хочу вас спросить, какие бы вы предложили способы (именно несколько) подмены IP (в т.ч. MAC) в локалке и соответствующие им способы найти человека, который тихой сапой использует учетку. Допустим за месяц он меняет IP десять раз, чтобы раскидать трафик.
    Кстати, рассмотрим два варианта, когда у пользователя присутствуют админские права на машине и когда они отсутствуют.

    P.S. Слышал про x-forwarded-for, но как мне кажется в локалке не сработает. Кстати есть плагин в firefox x-forwarded-for spoofer, проверял на сайте 2ip.ru и действительно меняет конечный IP.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    630
    Kornev, все гениальное просто, глянуть в таблици маршрутизаторов, соответственно узнать номер порта. а далее все просто взять биту и настучать по лицу. ибо розетка откуда подключался злоумышленник будет известна, и не важно сколько и как он менял МАС адреса

    а наличие или отсутствие прав у злоумышленника не играет никакой роли, если он имеет физический доступ к компу.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    200
    Цитата Сообщение от Virtual Посмотреть сообщение
    Kornev, все гениальное просто, глянуть в таблици маршрутизаторов, соответственно узнать номер порта.
    Это если сеть на нормальных свичах построена.

  5. #4
    Full Member Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2008
    Сообщений
    104
    Вес репутации
    33
    а наличие или отсутствие прав у злоумышленника не играет никакой роли, если он имеет физический доступ к компу.
    Разве не играет роли?
    При наличии прав администратора, есть возможность поменять вручную свой IP и MAC, допустим под те же самые параметры компьютера не работающего в данный момент в сети. Без прав администратора подобного не проделаешь.
    Возможно как-то подменить x-forwarded-for…

  6. #5
    Junior Member Репутация
    Регистрация
    14.01.2009
    Адрес
    Ryazan
    Сообщений
    17
    Вес репутации
    29
    Kornev, fpinger или его аналоги. Главное, чтобы программа могла присылать отчеты.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    630
    Kornev
    Разве не играет роли?
    нет, ибо очень легко загрузится с сменного носителя (ЦД, USB_HDD или флешка) и:
    1. сбросить поменять пароли кого угодно, в том числе и встроенного администратора
    2. вообще ничего не менять а сидеть в инете прям с операционки с диска сменного. (Windows PE, *Nix и им подобные), очень удобно и следов никаких.

  8. #7
    Full Member Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2008
    Сообщений
    104
    Вес репутации
    33
    Хорошо.
    Представим что USB порты опечатаны, либо просто отключены. Чтобы никто опечатку не сорвал.
    В данном случае наличие прав администратора становится все таки важным?

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Kornev Посмотреть сообщение
    Хорошо.
    Представим что USB порты опечатаны, либо просто отключены. Чтобы никто опечатку не сорвал.
    В данном случае наличие прав администратора становится все таки важным?
    Не только порты, но еще и корпус. Тогда проще - исключаем ситуацию, что человек принес из дома HDD, подключает его вместо системного и работает. Приходит проверка - а у него стоит системный HDD, домашния спрятан - он разводит руками и говорит - "вы что, я белый - и пушистый" (и доказать обратное - сложно). Второй момент - юзер должен быть под роспись ознакомлен с правилами поведения в сети и ответственности за их нарушение (и в тех правилах сказано, что за подобные фокусы положен эротический массаж - на дыбе ). Иначе получается - нарушитель пойман, а дальше то что ?! Формально то он ничего не нарушал ... С точки зрения отлова все тривиально, есть куча путей:
    1. База свитчей. Любой мало мальски интеллектуальный свитч имеет возможность WEB управления, и там где-то можно посмотреть его базу (а база имеет вид "номер порта" = "MAC"). Если наладить выгрузку этой базы (можно делать это руками пару раз в день, можно автоматом по SNMP - если есть опыт как это делать и свитч поддерживает SNMP). Если кто-то начнет баловаться с подменой MAC, то это тут-же всплывет - скажем на порту 17 чегодня был такой MAC, завтра - другой, послезавтра - третий ... и четко видно, кто этим балуется и под кого он маскируется. Это однозначный и гарантированно рабочий метод отлова подмены MAC адреса, помогает в случае, если злодей подделывает не только IP, но и MAC ...
    2. Под чем работает маршрутизатор/проксик, через который идет выход в Инет ? (и как вообще он организован ?). Достаточно запустить там банальный сниффер, подвергнуть анализу логи и помониторить ARP табличку. Особенно красиво это выглядит, если это unix - там команда "arp -a" выведет данные о соответсвии IP-MAC по всем юзерам (делать ее раз в час и написать небольшую программку для анализа), плюс он пишет в .var/log/messages массаджи в случае, если ARP обнаруживает изменение соответствиея IP=MAC
    3. Можно на ПК юзеров поставить какую-то мониторилку, которая будут отсылать данные о его IP и MAC + привязку, типа серийного номера тома его HDD
    4. Любой продвинутый сканер сети фиксирует IP и MAC (но поможет только в случае, если злодей меняет только IP)

  10. #9
    Junior Member Репутация
    Регистрация
    14.01.2009
    Адрес
    Ryazan
    Сообщений
    17
    Вес репутации
    29
    А если таких свитчей 4 и более? Сеть то не самая маленькая. Метод безусловно рабочий, но надо быть мазохистом, чтобы каждый день смотреть и сопоставлять 100 записей IP и MAC. А если завтра сеть увеличится до 200 хостов?
    Все эти советы для любителей админить ногами. Есть сторонние продукты, которые прекрасно раззворачиваются в доменной среде (да хоть и не в доменной). В случае любого изменения аппаратной, програмной части, настроек, ообновлений (да чего угодно) на мыло приходит уведомление с подробным описаннием. Т.е. 1 программой можно полностью закрыть потребности по мониторингу сети, а не писать 100 скриптов.
    З.Ы. fpinger несколькоо лет назад прекратил поддержку (но работает на 100%). Могу посоветовать отличный аналог total network inventory.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от romul Посмотреть сообщение
    А если таких свитчей 4 и более?
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    и написать небольшую программку для анализа
    даже банальный diff уже сильно облегчит работу
    The worst foe lies within the self...

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от romul Посмотреть сообщение
    А если таких свитчей 4 и более? Сеть то не самая маленькая. Метод безусловно рабочий, но надо быть мазохистом, чтобы каждый день смотреть и сопоставлять 100 записей IP и MAC. А если завтра сеть увеличится до 200 хостов?
    Все эти советы для любителей админить ногами. Есть сторонние продукты, которые прекрасно раззворачиваются в доменной среде (да хоть и не в доменной). В случае любого изменения аппаратной, програмной части, настроек, ообновлений (да чего угодно) на мыло приходит уведомление с подробным описаннием. Т.е. 1 программой можно полностью закрыть потребности по мониторингу сети, а не писать 100 скриптов.
    З.Ы. fpinger несколькоо лет назад прекратил поддержку (но работает на 100%). Могу посоветовать отличный аналог total network inventory.
    ... и наклейка на монитор каждому юзеру - "загружаясь со своей флешки или нелегально подключая свой ноут к сети не забудьте установить на него ПО мониторинга, иначе мы вас не поймаем. Подпись - системные администраторы"
    На самом деле ничего руками мониторить не нужно (я не де предлагал "распечатать протоколы и сравнивать их с карандашем в руках"), все это очень легко автоматизируется. Вариант с установкой ПО-инвентаризатора - полная ерунда в случае, если юзер грамотный.

  13. #12
    Junior Member Репутация
    Регистрация
    14.01.2009
    Адрес
    Ryazan
    Сообщений
    17
    Вес репутации
    29
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    ... и наклейка на монитор каждому юзеру - "загружаясь со своей флешки или нелегально подключая свой ноут к сети не забудьте установить на него ПО мониторинга, иначе мы вас не поймаем. Подпись - системные администраторы"
    Это уже настройки шлюза, DHCP и к теме не относится. Нужно поймать негодяя. Просто у меня был подобный случай и техническими мерами здесь решить можно, но слишком геморно. Вычисляются подобные люди легко, а потом они оплачивают весь трафик за день. Пару раз оплатят и все.
    Последний раз редактировалось romul; 18.12.2009 в 16:11.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от romul Посмотреть сообщение
    Это уже настройки шлюза, DHCP и к теме не относится. Нужно поймать негодяя. Просто у меня был подобный случай и техническими мерами здесь решить можно, но слишком геморно. Вычисляются подобные люди легко, а потом они оплачивают весь трафик за день. Пару раз оплатят и все.
    Если пойманные оплатили трафик - и админ еще не сидит и при работе, то админу и руководству фирмы сильно повезло. Дело в том, что заставить виновного оплатить трафик по закону невозможно - для этого нужно иметь сертифицированную систему биллинга и доказать в суде виновность юзера и объем причиненного им ущерба. Если юзер попадется умный, то он
    1. заплатит без проблем и получит расписку или иное подтверждение наказания и своего платежа;
    2. подаст на админа и контору в суд (на админа - за клевету, на контору - за незаконные действия)
    И если у него будет хороший адвокат - то гарантированно будут осужденные Именно поэтому важно для начал создать политику и регламент, довести до всех юзеров под роспись и затем мониторить именно на уровне железа (в данном случае свитчей) - это пресечет все операции: загрузку с флешки, загрузку с подставного HDD, подключение своего собственного сетевого устройства и т.п. ... повторюсь, программой-мониторилкой мы поймаем только подмену сетевых настроек. Но тогда уже проще попросту обрезать права всем юзерам через доменную политику и лишить их самой возможности менять сетевые настройки... и мониторить ничего не нужно - возможности то не будет. И не будет защиты от подключения к сети постороннего устройства... а при текущей цене на ноутбуки и их распростроненности как раз более вероятно подключение левого устройства (ноутбука, нетбука, WiFi точки), чем перенастройка контролируемой админом операционки.

  15. #14
    Junior Member Репутация
    Регистрация
    14.01.2009
    Адрес
    Ryazan
    Сообщений
    17
    Вес репутации
    29
    Что-то я никогда не слышал про технологию, которая позволяет свитчам запретить загрузку с к.л. устройства. Было бы интересно узнать подробнее.
    Про регламент полностью согласен. Ну а ситуацию с наличием админских прав у пользователя просто не хочу рассматривать - глупо.
    По поводу КЗОТ скажу так: задача админа выявить случай и довести до руководства (директора, буха) информацию о убытках. А дальше уже их головная боль, кто будет оплачивать и что делать с нечестным сотрудником. Так что не посадят , лишь бы софт был легальным.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от romul Посмотреть сообщение
    Что-то я никогда не слышал про технологию, которая позволяет свитчам запретить загрузку с к.л. устройства.
    Свитч является простейшим устройством, которое аппаратно мониторит сеть (на уровне регистрации соответствия MAC адреса и порта). Следовательно, если кто-то подключит постороннее устройство вместо рабочего ПК, то мы это немедленно поймаем. Исключение - если на данном устройстве будет MAC и IP, идентичные MAC и IP легального ПК. В этом случае в базе свитча не будет противоречий, и сетевые сканеры будут видеть знакомый IP и MAC адрес. Вот тут может сработать второй уровень защиты в виде особой программы, идентифицирующей ПК - мы засечем ПК, но не получим от него ответа "я свой" - и моментально засечем чужака (и опять-же свитч позволит нам указать координаты устройства, а если есть схема сети - то все сразу встанет на места).

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Torvic99
    Регистрация
    15.01.2009
    Адрес
    Ukraine, Dnepropetrovsk
    Сообщений
    720
    Вес репутации
    200
    Цитата Сообщение от romul Посмотреть сообщение
    задача админа выявить случай и довести до руководства (директора, буха) информацию о убытках. А дальше уже их головная боль, кто будет оплачивать и что делать с нечестным сотрудником.
    Ага и оплачивать убытки будет нерадивый админ, если не сделано как пишет Олег.

  18. #17
    Junior Member Репутация
    Регистрация
    14.01.2009
    Адрес
    Ryazan
    Сообщений
    17
    Вес репутации
    29
    Зайцев Олег, Torvic99, и что это в конечном итоге даст? Результат будет такой же: человек израсходовал трафик и мы его вычислили. Где момент предотвращения доступа либо доказательства вины сотрудника? Логи свитча в суде прокатят? Админ нерадив по-определению что ли?
    Я не пытаюсь доказать несостоятельность вашего варианта. Просто считаю его самым геморным.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от romul Посмотреть сообщение
    Зайцев Олег, Torvic99, и что это в конечном итоге даст? Результат будет такой же: человек израсходовал трафик и мы его вычислили. Где момент предотвращения доступа либо доказательства вины сотрудника? Логи свитча в суде прокатят? Админ нерадив по-определению что ли?
    Задача админа - не допустить ситуацию. А расследование и поиск виновного - это уже не задача админа, это задача службы внутренней безопасности, ибо админ не имеет права проводить инспекции, расследования, брать объяснительные, и т.п. - он обычный ИТ-шник, как максимум может доложить о нарушении. И кого признает виновным служба безопасности - еще вопрос, нарушителя или админа (или обоих). Логи любого несертифицированного оборудования и программного обеспеченения силы никкой не имеют - даже для лишения премии. Потому обычно делается так:
    - юзеры и админы знакомятся с политикой безопасности под роспись
    - доступ ко всем ресурсам идет через заявки, где есть подпись подключаемого, виза его начальника, службы безопасности, подпись выполнившего открытие доступа админа ... и все с датами и указанием уровня доступа и привилегий
    - ведется монитринг, все ли делается в соответствии с политикой безопасности и в рамках данных прав. При нарушении - немедленный сигнал от админа в ИБ
    - далее ИБ должно немедленно прореагировать - ворваться в помещение, конфисковать компьютер, перерекрыть всем подозреваемым доступ, составить протокол о нарушении и открыть служебное расследование. Специалисты ИБ затребуют от всех фигурантов объяснительные и докладные, проводят экспертизу ... и основным доказательством являются не логи - они вторичны, а обнаруженное по факту нарушение (причем опытные ИБ-шники никогда не врываются по одному - всегда минимум по двое, дабы потом не было противоречия типа "слово ИБшника против слова нарушителя") - т.е. для однозначного наказания нужно буквально схватить нарушителя за руку в момент нарушения
    - по результам расследования ИБ выносит решение, как наказать - вариантов обычно три:
    1. полоскание мозгов нарушителю. Обычно за мелкую провинность, сопровождается его лишением чего-нибудь типа доступа в Инет
    2. полоскание мозгов начальнику нарушителя. начальники это не любят, подчиненному-нарушителю потом крепко влетит
    3. Вынесение результатов руководству с предложением внести замечание, выговор, лишить премии, открыть уголовное дело и т.п. - если нарушение тяжкое и повлекло значимый ущерб для контры. Обычно решение о мере такого наказания принимается коллегиально, и при желании служба ИБ может поставить вопрос просто - или нарушитель отправляется в Сибирь убирать снег, или компенсирует ущерб (естественно, если есть 100% доказательства вины)

  20. #19
    Junior Member Репутация
    Регистрация
    14.01.2009
    Адрес
    Ryazan
    Сообщений
    17
    Вес репутации
    29
    Блин, меня похоже уже считают тупым занудой Ну да ладно, еще немного...
    С точки зрения административной стороны вопросов нет, я послостью поддерживаю регламенты. Мне не понятен сокровенный смысл тонкой и долгой настройки свитчей и прочей активки, т.е. чем этот вариант лучше, если результат такой же? Доступ к интернету есть при любом раскладе. Так что обвинения админа тут никак не уместны. И впору рассматривать вопрос с настройкой всем ВЛАНов: тогда точно ничего у злоумышленника не получится. Но это уже паронойя ИМХО.
    Вернемся к первому посту. Проблему нужно решить сугубо техническую: вычислить засранца. Вариант с настройкой свитча: пользователь записал на бумажке МАС и IP, выключил компьютер коллеги из сети, включил свой ноутбук, сменил там что ему надо, воткнул его в сеть. Скачал пару фильмов, выключил ноут, включил компьютер коллеги в сеть. Ну и чего нам дал свитч?
    Я бы в подобной ситуации поступил так. Порты оклеивать не нужно, достаточно оклеить системный блок. Пароль на BIOS, загрузка только с локального HDD, ограниченные права, запрет на смену пароля локального админа, установка софта на сервере и автоматизированная раздача агента при логоне.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    630
    romul, про носимых мелкобуков забыл? это в плане оклейки корпусов.
    Ну и чего нам дал свитч?
    а свич нам дал самое главное розетку! а логи дали время! тоесть круг поиска реально сузится к опр месту и времени . осталось пойматьза руку. сам же говорил что пользуются незаконной учеткой.

    я вот счас сижу в инете, с еее700, так он легко вмещается в кожанную папку для бумаг, с весом менее кг . придет сотрудник с таким, воткнет сетевой кабель и поехало...

    вернемся к начальной задаче
    есть учетка для выхода в инет, и за ней нужно следить.
    так и решаем все просто.
    1. пишем логи, на инет шлюзе с каких ИП/МАК ходила эта учетка в инет и когда.
    2. снимаем таблици с маршрутизаторов по соответствию МАК/ПОРТ ибо без этих таблиц ни один свич жить не может .
    все враг пойман,ибо бум точно знать
    когда, под каким ИП с каким МАК и с какой розетки был вражеский вход .

    данная процедура проста как мир, и совсем не вымышленая, а вполне реальная и постоянно используемая.
    врагу поможет скрытся (временно) только наличие тупых хабов или вифи сеть. но и в том и в другом случае все дело техники... и поимка только чуток усложнится.
    Последний раз редактировалось Virtual; 18.12.2009 в 19:22.

Страница 1 из 2 12 Последняя

Похожие темы

  1. странная ситуация
    От larik218 в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 13.10.2010, 16:37
  2. опасная ситуация
    От Женька в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 27.03.2009, 11:35
  3. Не стандартная ситуация.
    От sir-gorgoroth в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 22.02.2009, 09:09
  4. Сложная ситуация...
    От ganja_farmer в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 17.11.2008, 16:00
  5. Интересная ситуация
    От santy в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 18.04.2006, 15:18

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00261 seconds with 23 queries