-
Вымышленная ситуация в ЛС
Представим себе организацию и в ней раздолбайскую сеть (точнее характер ее администирования), с числом компьютеров, где-то до сотни.
И вот придумаем такую ситуацию, что когда-то давно был сотрудник в этой организации, пока его не уволили (либо он сам ушел). Случилось так (этим мы и будем объяснять раздолбайство), что учетка осталась.
Также представим себе, что организация платит за скаченный трафик. Вроде и не сильно ограничивают, но вроде и следят чтобы выше определенного предела сотрудники не выходили.
Проходит день, проходит год и вдруг данная учтка начинает использоваться, незаметно так из под нее выходят в инет, кушая немного трафику и не выделяясь на общем фоне. И представим, что эта учетка довольно часто работает с разных IP.
Первое что может прийти на ум, определенное кол-во пользователей знают логин и пароль и для выхода в Интернет используют именно его. Отметем данную ситуацию, как самую простую и неинтересную.
Представим, что только один человек прознал о логине и пароле и теперь втихую использует их. Чтобы весь трафик не светить под одним IP данный субъект каким-то способом каждый раз подменяет свой IP на другой и спокойно занимается своим грязным делом.
Вот тут то я и хочу вас спросить, какие бы вы предложили способы (именно несколько) подмены IP (в т.ч. MAC) в локалке и соответствующие им способы найти человека, который тихой сапой использует учетку. Допустим за месяц он меняет IP десять раз, чтобы раскидать трафик.
Кстати, рассмотрим два варианта, когда у пользователя присутствуют админские права на машине и когда они отсутствуют.
P.S. Слышал про x-forwarded-for, но как мне кажется в локалке не сработает. Кстати есть плагин в firefox x-forwarded-for spoofer, проверял на сайте 2ip.ru и действительно меняет конечный IP.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Kornev, все гениальное просто, глянуть в таблици маршрутизаторов, соответственно узнать номер порта. а далее все просто взять биту и настучать по лицу. ибо розетка откуда подключался злоумышленник будет известна, и не важно сколько и как он менял МАС адреса 
а наличие или отсутствие прав у злоумышленника не играет никакой роли, если он имеет физический доступ к компу.
-
Сообщение от
Virtual
Kornev, все гениальное просто, глянуть в таблици маршрутизаторов, соответственно узнать номер порта.
Это если сеть на нормальных свичах построена.
-
-
а наличие или отсутствие прав у злоумышленника не играет никакой роли, если он имеет физический доступ к компу.
Разве не играет роли?
При наличии прав администратора, есть возможность поменять вручную свой IP и MAC, допустим под те же самые параметры компьютера не работающего в данный момент в сети. Без прав администратора подобного не проделаешь.
Возможно как-то подменить x-forwarded-for…
-
Junior Member
- Вес репутации
- 56
Kornev, fpinger или его аналоги. Главное, чтобы программа могла присылать отчеты.
-
Kornev
нет, ибо очень легко загрузится с сменного носителя (ЦД, USB_HDD или флешка) и:
1. сбросить поменять пароли кого угодно, в том числе и встроенного администратора
2. вообще ничего не менять а сидеть в инете прям с операционки с диска сменного. (Windows PE, *Nix и им подобные), очень удобно и следов никаких.
-
Хорошо.
Представим что USB порты опечатаны, либо просто отключены. Чтобы никто опечатку не сорвал.
В данном случае наличие прав администратора становится все таки важным?
-
Сообщение от
Kornev
Хорошо.
Представим что USB порты опечатаны, либо просто отключены. Чтобы никто опечатку не сорвал.
В данном случае наличие прав администратора становится все таки важным?
Не только порты, но еще и корпус. Тогда проще - исключаем ситуацию, что человек принес из дома HDD, подключает его вместо системного и работает. Приходит проверка - а у него стоит системный HDD, домашния спрятан - он разводит руками и говорит - "вы что, я белый - и пушистый" (и доказать обратное - сложно). Второй момент - юзер должен быть под роспись ознакомлен с правилами поведения в сети и ответственности за их нарушение (и в тех правилах сказано, что за подобные фокусы положен эротический массаж - на дыбе ). Иначе получается - нарушитель пойман, а дальше то что ?! Формально то он ничего не нарушал ... С точки зрения отлова все тривиально, есть куча путей:
1. База свитчей. Любой мало мальски интеллектуальный свитч имеет возможность WEB управления, и там где-то можно посмотреть его базу (а база имеет вид "номер порта" = "MAC"). Если наладить выгрузку этой базы (можно делать это руками пару раз в день, можно автоматом по SNMP - если есть опыт как это делать и свитч поддерживает SNMP). Если кто-то начнет баловаться с подменой MAC, то это тут-же всплывет - скажем на порту 17 чегодня был такой MAC, завтра - другой, послезавтра - третий ... и четко видно, кто этим балуется и под кого он маскируется. Это однозначный и гарантированно рабочий метод отлова подмены MAC адреса, помогает в случае, если злодей подделывает не только IP, но и MAC ...
2. Под чем работает маршрутизатор/проксик, через который идет выход в Инет ? (и как вообще он организован ?). Достаточно запустить там банальный сниффер, подвергнуть анализу логи и помониторить ARP табличку. Особенно красиво это выглядит, если это unix - там команда "arp -a" выведет данные о соответсвии IP-MAC по всем юзерам (делать ее раз в час и написать небольшую программку для анализа), плюс он пишет в .var/log/messages массаджи в случае, если ARP обнаруживает изменение соответствиея IP=MAC
3. Можно на ПК юзеров поставить какую-то мониторилку, которая будут отсылать данные о его IP и MAC + привязку, типа серийного номера тома его HDD
4. Любой продвинутый сканер сети фиксирует IP и MAC (но поможет только в случае, если злодей меняет только IP)
-
-
Junior Member
- Вес репутации
- 56
А если таких свитчей 4 и более? Сеть то не самая маленькая. Метод безусловно рабочий, но надо быть мазохистом, чтобы каждый день смотреть и сопоставлять 100 записей IP и MAC. А если завтра сеть увеличится до 200 хостов?
Все эти советы для любителей админить ногами. Есть сторонние продукты, которые прекрасно раззворачиваются в доменной среде (да хоть и не в доменной). В случае любого изменения аппаратной, програмной части, настроек, ообновлений (да чего угодно) на мыло приходит уведомление с подробным описаннием. Т.е. 1 программой можно полностью закрыть потребности по мониторингу сети, а не писать 100 скриптов.
З.Ы. fpinger несколькоо лет назад прекратил поддержку (но работает на 100%). Могу посоветовать отличный аналог total network inventory.
-
Сообщение от
romul
А если таких свитчей 4 и более?
Сообщение от
Зайцев Олег
и написать небольшую программку для анализа
даже банальный diff уже сильно облегчит работу
The worst foe lies within the self...
-
-
Сообщение от
romul
А если таких свитчей 4 и более? Сеть то не самая маленькая. Метод безусловно рабочий, но надо быть мазохистом, чтобы каждый день смотреть и сопоставлять 100 записей IP и MAC. А если завтра сеть увеличится до 200 хостов?
Все эти советы для любителей админить ногами. Есть сторонние продукты, которые прекрасно раззворачиваются в доменной среде (да хоть и не в доменной). В случае любого изменения аппаратной, програмной части, настроек, ообновлений (да чего угодно) на мыло приходит уведомление с подробным описаннием. Т.е. 1 программой можно полностью закрыть потребности по мониторингу сети, а не писать 100 скриптов.
З.Ы. fpinger несколькоо лет назад прекратил поддержку (но работает на 100%). Могу посоветовать отличный аналог total network inventory.
... и наклейка на монитор каждому юзеру - "загружаясь со своей флешки или нелегально подключая свой ноут к сети не забудьте установить на него ПО мониторинга, иначе мы вас не поймаем. Подпись - системные администраторы"
На самом деле ничего руками мониторить не нужно (я не де предлагал "распечатать протоколы и сравнивать их с карандашем в руках"), все это очень легко автоматизируется. Вариант с установкой ПО-инвентаризатора - полная ерунда в случае, если юзер грамотный.
-
-
Junior Member
- Вес репутации
- 56
Сообщение от
Зайцев Олег
... и наклейка на монитор каждому юзеру - "загружаясь со своей флешки или нелегально подключая свой ноут к сети не забудьте установить на него ПО мониторинга, иначе мы вас не поймаем. Подпись - системные администраторы"
Это уже настройки шлюза, DHCP и к теме не относится. Нужно поймать негодяя. Просто у меня был подобный случай и техническими мерами здесь решить можно, но слишком геморно. Вычисляются подобные люди легко, а потом они оплачивают весь трафик за день. Пару раз оплатят и все.
Последний раз редактировалось romul; 18.12.2009 в 16:11.
-
Сообщение от
romul
Это уже настройки шлюза, DHCP и к теме не относится.
Нужно поймать негодяя. Просто у меня был подобный случай и техническими мерами здесь решить можно, но слишком геморно. Вычисляются подобные люди легко, а потом они оплачивают весь трафик за день. Пару раз оплатят и все.
Если пойманные оплатили трафик - и админ еще не сидит и при работе, то админу и руководству фирмы сильно повезло. Дело в том, что заставить виновного оплатить трафик по закону невозможно - для этого нужно иметь сертифицированную систему биллинга и доказать в суде виновность юзера и объем причиненного им ущерба. Если юзер попадется умный, то он
1. заплатит без проблем и получит расписку или иное подтверждение наказания и своего платежа;
2. подаст на админа и контору в суд (на админа - за клевету, на контору - за незаконные действия)
И если у него будет хороший адвокат - то гарантированно будут осужденные Именно поэтому важно для начал создать политику и регламент, довести до всех юзеров под роспись и затем мониторить именно на уровне железа (в данном случае свитчей) - это пресечет все операции: загрузку с флешки, загрузку с подставного HDD, подключение своего собственного сетевого устройства и т.п. ... повторюсь, программой-мониторилкой мы поймаем только подмену сетевых настроек. Но тогда уже проще попросту обрезать права всем юзерам через доменную политику и лишить их самой возможности менять сетевые настройки... и мониторить ничего не нужно - возможности то не будет. И не будет защиты от подключения к сети постороннего устройства... а при текущей цене на ноутбуки и их распростроненности как раз более вероятно подключение левого устройства (ноутбука, нетбука, WiFi точки), чем перенастройка контролируемой админом операционки.
-
-
Junior Member
- Вес репутации
- 56
Что-то я никогда не слышал про технологию, которая позволяет свитчам запретить загрузку с к.л. устройства. Было бы интересно узнать подробнее.
Про регламент полностью согласен. Ну а ситуацию с наличием админских прав у пользователя просто не хочу рассматривать - глупо.
По поводу КЗОТ скажу так: задача админа выявить случай и довести до руководства (директора, буха) информацию о убытках. А дальше уже их головная боль, кто будет оплачивать и что делать с нечестным сотрудником. Так что не посадят , лишь бы софт был легальным.
-
Сообщение от
romul
Что-то я никогда не слышал про технологию, которая позволяет свитчам запретить загрузку с к.л. устройства.
Свитч является простейшим устройством, которое аппаратно мониторит сеть (на уровне регистрации соответствия MAC адреса и порта). Следовательно, если кто-то подключит постороннее устройство вместо рабочего ПК, то мы это немедленно поймаем. Исключение - если на данном устройстве будет MAC и IP, идентичные MAC и IP легального ПК. В этом случае в базе свитча не будет противоречий, и сетевые сканеры будут видеть знакомый IP и MAC адрес. Вот тут может сработать второй уровень защиты в виде особой программы, идентифицирующей ПК - мы засечем ПК, но не получим от него ответа "я свой" - и моментально засечем чужака (и опять-же свитч позволит нам указать координаты устройства, а если есть схема сети - то все сразу встанет на места).
-
-
Сообщение от
romul
задача админа выявить случай и довести до руководства (директора, буха) информацию о убытках. А дальше уже их головная боль, кто будет оплачивать и что делать с нечестным сотрудником.
Ага и оплачивать убытки будет нерадивый админ, если не сделано как пишет Олег.
-
-
Junior Member
- Вес репутации
- 56
Зайцев Олег, Torvic99, и что это в конечном итоге даст? Результат будет такой же: человек израсходовал трафик и мы его вычислили. Где момент предотвращения доступа либо доказательства вины сотрудника? Логи свитча в суде прокатят? Админ нерадив по-определению что ли?
Я не пытаюсь доказать несостоятельность вашего варианта. Просто считаю его самым геморным.
-
Сообщение от
romul
Зайцев Олег, Torvic99, и что это в конечном итоге даст? Результат будет такой же: человек израсходовал трафик и мы его вычислили. Где момент предотвращения доступа либо доказательства вины сотрудника? Логи свитча в суде прокатят? Админ нерадив по-определению что ли?
Задача админа - не допустить ситуацию. А расследование и поиск виновного - это уже не задача админа, это задача службы внутренней безопасности, ибо админ не имеет права проводить инспекции, расследования, брать объяснительные, и т.п. - он обычный ИТ-шник, как максимум может доложить о нарушении. И кого признает виновным служба безопасности - еще вопрос, нарушителя или админа (или обоих). Логи любого несертифицированного оборудования и программного обеспеченения силы никкой не имеют - даже для лишения премии. Потому обычно делается так:
- юзеры и админы знакомятся с политикой безопасности под роспись
- доступ ко всем ресурсам идет через заявки, где есть подпись подключаемого, виза его начальника, службы безопасности, подпись выполнившего открытие доступа админа ... и все с датами и указанием уровня доступа и привилегий
- ведется монитринг, все ли делается в соответствии с политикой безопасности и в рамках данных прав. При нарушении - немедленный сигнал от админа в ИБ
- далее ИБ должно немедленно прореагировать - ворваться в помещение, конфисковать компьютер, перерекрыть всем подозреваемым доступ, составить протокол о нарушении и открыть служебное расследование. Специалисты ИБ затребуют от всех фигурантов объяснительные и докладные, проводят экспертизу ... и основным доказательством являются не логи - они вторичны, а обнаруженное по факту нарушение (причем опытные ИБ-шники никогда не врываются по одному - всегда минимум по двое, дабы потом не было противоречия типа "слово ИБшника против слова нарушителя") - т.е. для однозначного наказания нужно буквально схватить нарушителя за руку в момент нарушения
- по результам расследования ИБ выносит решение, как наказать - вариантов обычно три:
1. полоскание мозгов нарушителю. Обычно за мелкую провинность, сопровождается его лишением чего-нибудь типа доступа в Инет
2. полоскание мозгов начальнику нарушителя. начальники это не любят, подчиненному-нарушителю потом крепко влетит
3. Вынесение результатов руководству с предложением внести замечание, выговор, лишить премии, открыть уголовное дело и т.п. - если нарушение тяжкое и повлекло значимый ущерб для контры. Обычно решение о мере такого наказания принимается коллегиально, и при желании служба ИБ может поставить вопрос просто - или нарушитель отправляется в Сибирь убирать снег, или компенсирует ущерб (естественно, если есть 100% доказательства вины)
-
-
Junior Member
- Вес репутации
- 56
Блин, меня похоже уже считают тупым занудой Ну да ладно, еще немного...
С точки зрения административной стороны вопросов нет, я послостью поддерживаю регламенты. Мне не понятен сокровенный смысл тонкой и долгой настройки свитчей и прочей активки, т.е. чем этот вариант лучше, если результат такой же? Доступ к интернету есть при любом раскладе. Так что обвинения админа тут никак не уместны. И впору рассматривать вопрос с настройкой всем ВЛАНов: тогда точно ничего у злоумышленника не получится. Но это уже паронойя ИМХО.
Вернемся к первому посту. Проблему нужно решить сугубо техническую: вычислить засранца. Вариант с настройкой свитча: пользователь записал на бумажке МАС и IP, выключил компьютер коллеги из сети, включил свой ноутбук, сменил там что ему надо, воткнул его в сеть. Скачал пару фильмов, выключил ноут, включил компьютер коллеги в сеть. Ну и чего нам дал свитч?
Я бы в подобной ситуации поступил так. Порты оклеивать не нужно, достаточно оклеить системный блок. Пароль на BIOS, загрузка только с локального HDD, ограниченные права, запрет на смену пароля локального админа, установка софта на сервере и автоматизированная раздача агента при логоне.
-
romul, про носимых мелкобуков забыл? это в плане оклейки корпусов.
а свич нам дал самое главное розетку! а логи дали время! тоесть круг поиска реально сузится к опр месту и времени . осталось пойматьза руку. сам же говорил что пользуются незаконной учеткой.
я вот счас сижу в инете, с еее700, так он легко вмещается в кожанную папку для бумаг, с весом менее кг . придет сотрудник с таким, воткнет сетевой кабель и поехало...
вернемся к начальной задаче
есть учетка для выхода в инет, и за ней нужно следить.
так и решаем все просто.
1. пишем логи, на инет шлюзе с каких ИП/МАК ходила эта учетка в инет и когда.
2. снимаем таблици с маршрутизаторов по соответствию МАК/ПОРТ ибо без этих таблиц ни один свич жить не может .
все враг пойман,ибо бум точно знать
когда, под каким ИП с каким МАК и с какой розетки был вражеский вход .
данная процедура проста как мир, и совсем не вымышленая, а вполне реальная и постоянно используемая.
врагу поможет скрытся (временно) только наличие тупых хабов или вифи сеть. но и в том и в другом случае все дело техники... и поимка только чуток усложнится.
Последний раз редактировалось Virtual; 18.12.2009 в 19:22.
Ответить с цитированием
