форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"'Пиратская' станция"
Сообщение от Larin on 31-Окт-02, 13:00  (MSK)
Ситуация: сеть класса B. Большое здание, неуправляемое оборудование, ~800 машин. Периодически в сети появляется неизвестная рабочая станция, работает и исчезает. ОС - похоже, WinXP. Похоже, firewall. Задача: найти и обезвредить :-) Проблемы: обнаружить появление можно, например, NMAPом (долго сканировать, ну уж ладно). Что дальше с ней делать? Локализовать не получается. Как не дать нормально работать, при этом не мешая другим? Может, кто решал подобные проблемы, может, есть мысли по этому поводу?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: 'Пиратская' станция"
Сообщение от trin on 31-Окт-02, 13:30  (MSK)
По какому протоколу работает сетка? Если TCP, то какой механизм раздачи адресов - статика, динамика? Вычислить MAC, поставить в сетке IDS, в большинстве из них, кажется, есть функции вычисления появления в сети "нежелательных" хостов. Либо просто повесить в сети tcpdump с фильтром на этот хост. По получении уведомления о присутствии в сетке этой машины, попытаться просканить ее ShadowSecurityScan или XSpider - на предмет наличия exploitable vulnerabilities - потом попытаться ломануть её, либо вычислить по косвенным данным, что за машина. Если XP - возможно, разрешает null session по NBT - можно снять данные о группах и юзерах, и другую ценную инфу. Возможно, IIS есть... В общем, дальше творчески развивать успех :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: 'Пиратская' станция"
	Сообщение от Larin on 31-Окт-02, 14:51  (MSK)
	TCP, местами DHCP, местами статика. Сетка-то немаленькая... MAC встроенной карточки известен, привязан на DHCP, проверяется NAGIOSом, но кто мешает взять у соседа PCMCI (в сети ~400 ноутбуков)? Кто мешает установить статический адрес...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: 'Пиратская' станция"
	Сообщение от trin on 31-Окт-02, 15:10  (MSK)
	>TCP, местами DHCP, местами статика. Сетка-то немаленькая... >MAC встроенной карточки известен, привязан на DHCP, проверяется NAGIOSом, но кто мешает >взять у соседа PCMCI (в сети ~400 ноутбуков)? Кто мешает установить >статический адрес... т.е. сетка не имеет единого управления и распределенная по структуре? Сложнее. Организационные меры надо принимать для начала - отключать незадействованные легальными пользователями розетки, поставить вопросы службе безопасности, если есть такая. Насколько я понимаю в медицине, не дать ей работать (гнать пакеты в сеть) нет возможности, если в этом задача была. Если задача была понять, кто гадит - я бы провел разведку так, как написал.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: 'Пиратская' станция"
	Сообщение от Евгений on 31-Окт-02, 19:34  (MSK)
	Я обычно делаю так. Висит arpwatch, шлет на мыло сообщения о новых станциях. дальше - со шлюза ping -f "новый ip", бежишь вдоль хабов-свитчей и смотришь на бешено мигающие лампочки - до самого низа, и с разгона в ухо сапогом ;) Более правильный выход - замороженная arp-таблица + грамотный firewall
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: 'Пиратская' станция"
	Сообщение от Larin on 01-Ноя-02, 11:00  (MSK)
	Еще раз. Здание - 5 этажей. Куча сетевого оборудования на каждом. Это насчет лампочек - многовато будет. На данный момент (утро, 10.30) в сети 350 машин. Всего - около 800. Из них больше половины - кочующих, ноутбуки. Карточки сетевые путают, настройки в командировках сбивают, рабочие места меняют. Тут ничего не поделать. Это насчет arp-таблицы и firewall. Более интересно сделать бессмысленным 'левое' подключение. Засекать можно, заносить в 'черный список' - например, проходясь иногда NESSUSом, по сочетанию каких-либо признаков. Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить таймауты, не дать работать... Но точечно :-) Есть идеи?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: 'Пиратская' станция"
	Сообщение от VuDZ on 01-Ноя-02, 11:29  (MSK)
	>Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить >таймауты, не дать работать... Но точечно :-) >Есть идеи? есть устроить флуд - то под винду есть софтинка icmp - винде от неё плохеет :> можно ping -f или можно прописать на alias своей сетевухи IP этого чела, тогда он точно не сможет работать по нормальному... главное - запустить arpwatch, что бы отловить момент, когда он переключиться на другой ip. а можно и просто запустить arpwathc, и смотреть, вдруг кто из своих мигрирует по сетке... маняет себе IP или другое...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: 'Пиратская' станция"
	Сообщение от Bart Simpson on 01-Ноя-02, 11:34  (MSK)
	>Еще раз. >Здание - 5 этажей. Куча сетевого оборудования на каждом. Это насчет лампочек >- многовато будет. >На данный момент (утро, 10.30) в сети 350 машин. Всего - около >800. Из них больше половины - кочующих, ноутбуки. Карточки сетевые путают, >настройки в командировках сбивают, рабочие места меняют. Тут ничего не поделать. >Это насчет arp-таблицы и firewall. >Более интересно сделать бессмысленным 'левое' подключение. Засекать можно, заносить в 'черный список' >- например, проходясь иногда NESSUSом, по сочетанию каких-либо признаков. >Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить >таймауты, не дать работать... Но точечно :-) >Есть идеи? Ну знаеш ли, это у тебя не сеть а помойное ведро, все кругом что хотят то и делают. Какой нафиг тогда левый комп, там левую сеть поставить могут. И порносайты пооткрывать. Меняй оборудование.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: 'Пиратская' станция"
	Сообщение от lavr on 01-Ноя-02, 15:09  (MSK)
	>>Еще раз. >>Здание - 5 этажей. Куча сетевого оборудования на каждом. Это насчет лампочек >>- многовато будет. >>На данный момент (утро, 10.30) в сети 350 машин. Всего - около >>800. Из них больше половины - кочующих, ноутбуки. Карточки сетевые путают, >>настройки в командировках сбивают, рабочие места меняют. Тут ничего не поделать. >>Это насчет arp-таблицы и firewall. >>Более интересно сделать бессмысленным 'левое' подключение. Засекать можно, заносить в 'черный список' >>- например, проходясь иногда NESSUSом, по сочетанию каких-либо признаков. >>Вот потом что? Не совсем DOS-атаку, а забить бы его мусором, увеличить >>таймауты, не дать работать... Но точечно :-) >>Есть идеи? > > >Ну знаеш ли, это у тебя не сеть а помойное ведро, все >кругом что хотят то и делают. Какой нафиг тогда левый комп, >там левую сеть поставить могут. И порносайты пооткрывать. Меняй оборудование. произвести реструктуризацию сети, расколотить на сети/подсети и рулить - много легче будет высечь, на сети разбивать поэтажно и таким макаром сажать на свитчи, вобщем где-то так. Сеть <-> территория, территориальная разбивка, чтобы сузить место куда надо бежать, искать и с ходу давать в репу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: 'Пиратская' станция"
	Сообщение от trin on 01-Ноя-02, 15:03  (MSK)
	Да, тут точно нужно ставить вопрос к директору об укреплении трудовой дисциплины. :( Это бардак, в нем без мазы порядок наводить. Единственное, что, на мой взгляд, можно было бы сделать (или попробовать сделать) - поиграть с идеей шифрования ip траффика от всех "легальных" клиентов и сервисов. Вроде, были пакеты такого функционала. Тогда, в сети просто станет бессмысленным "левое" подключение, потому, как сервисов доступных не будет. Но проги эти были коммерческие и довольно дорогие. В принципе, если все клиенты поддерживают vpn, можно самые интересные сервисы убрать из доступа напрямую, а выделить в сетку, доступную через vpn подключение - так часто теперь организуют доступ в инет ethernet-провайдеры. Есть минус - большая работа по консультированию пользователей и настройкам...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: 'Пиратская' станция"
Сообщение от trin on 01-Ноя-02, 16:14  (MSK)
Кстати, а что имелось ввиду под "похоже файрволл"? Просто интересно :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: 'Пиратская' станция"
	Сообщение от Larin on 01-Ноя-02, 16:50  (MSK)
	NMAP выдал неоднозначный набор открытых портов, после чего станция пропала. Похоже на плохо настроенный локальный файрволл.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.