Detekce sdílení zabezpečení/obejití - switch, router,...
Tak nejprve parametry:
Sdílím internet do lokální sítě, kde je daný počet PC (s různými OS), daný počet, jejich MAC a IP adresy znám.
Otázka 1.:
Když si někdo do sítě připojí switch, tak jak ho mám vystopovat? Slyšel jsem, že switch má MAC adresu, tak jak ji zjistit, popř. lepší způsob jak detekovat switch na lokální síti?
Popř. jak by to dotyčný uživatel mohl ze své strany zamaskovat, pokud to lze?
Otázka 2.:
Když některý z připojených pc (pc má více síťových adaptérů) do mé sítě bude sdílet připojení k dané síti za
A) pomocí sítového mostu
B) pomocí sdílení ve Windows (na jiný síťový adaptér)
Jak mohu toto sdílení odhalit, popř. jak může sdílející pc toto sdílení učinit nezjistitelným pro mě?
Otázka 3.:
Otázka stejná jako číslo.2, akorát místo pc by byl router, kde by se také sdílelo na více pc. Za předpokladu, že já bych znal MAC + IP adresu routeru a nevěděl, že dané zařízení je router (myslel si, že je to pc). Jak zjistit, že se mě zde zase neoprávněně sdílí, popř. jak by to dotyčný uživatel mohl ze své strany zamaskovat pokud to lze?
Otázka 4.:
Otázka stejná jako číslo.2, akorát místo pc by byla proxy aplikace běžící na počítači se dvěma síťovými rozhraními. Otázka zase stejná, jak zjistit, zdali dané pc sdílí připojení, popř. jak by se sdílející pc mohl přede-mnou zamaskovat, abych na sdílení nepřišel.
Otázka 5.:
Pokud by dané pc použilo VPN, tak jak to detekovat, popř. jak by se dané pc mohlo tuto skutečnost přede-mnou skrýt.
Děkuji za vaše nápady a názory, Leon
Switch nema ziadnu MAC. V sieti sa chova transparentne. Je to len obycajny prepinac z portu x na port y. Ma ale vnutornu MAC tabulku vsetkych pripojenych zariadeni priamo na jeho porty. Z pricipu funkcie je neodhalitelne. Ved si vyskusaj odhalit svoj switch. Viac zariadeni za switchom sa riesi blokaciu na MAC adresu adaptera v PC. Mozno si uz pocul o tom, ze to ma takto riesene napr UPC.
Spravne ma byt, ze bezny switch zadnou MAC adresu nepotrebuje. Ale jsou i konfigurovatelne switche (s web managementem), ktere tudiz musi mit IP, a proto i MAC...
Nejen pres web, SNTP, telnet... osobne nesnasim websmart (ovladane pouze pres webove rozhrani) switche, jsou strasne problematicke.
Odpoviem ti ako lokalny ISP a administrator.
1. Pocet pc pripojenych do switchu mozes ovladat cez manazovatelne switche s uzamknutim mac adries na porty. Dalsi switch v sieti zistis napr cez arp tym, ze sa ti na sieti "ponevieraju" cudzie mac adresy. Maskovanie je mozne jedine routrom.
2. Zdielanie internetu vo windowse nikdy nefungovalo, takze tymto by som sa nezaoberal. Co si predstavujes pod pojmom sietovy most je mne nezname, cize sa neviem vyjadrit.
3. Odhalit natovaci router je pomerne tazke, ale ide to. Nicmenej vynalozena namaha v tvojom pripade by urcite nestala za to. Tento bod vynechame radsej.
4. Opat velmi vseobecne, zalezi na typu proxy, niektore proxy prezradzaju viacej akoby sa mohlo zdat. Silne pochybujem, zeby niekto prevadzkoval doma vlastny proxy server.
5. VPn packet dokazes detekovat pokial nie je sifrovany, uplatnuje sa podobny princip ako pri detekcii p2p (torent) packetov. Pripadne mozes blokovat odporucane porty pri vpn spojeniach.
Pokial chces mat co najucinnesjsiu kontrolu nad sietou zakaz pouzivanie cudzich dns okrem svojich, takto budes mat prehlad pri spravnom logovani kto, kam, kde a kedy chodi.
1/
kdyz uzaknu mac adresu pc na port switche a on z daneho pc nasdili internet, tak je mi uzamykani na nic.
A uzivatel "ruzo" rika ze router od pc lze odlisit.
2/
sdileni ve windows me vzdy fungovalo na 100%. Ze Vam to nefungovalo je docela mozne. kdyz nastavite vhodne IP(+masky) adresy, nebo pouzijete DHCP server, tak by to melo slapat bez problemu.
Sítový most si představuji asi tohle:
Bridge
http://windows.microsoft.com/cs-CZ/windows-vista/W hat-is-a-network-bridge
http://technet.microsoft.com/cs-cz/library/cc78372 8%28WS.10%29.aspx
http://technet.microsoft.com/cs-cz/library/cc78109 7%28WS.10%29.aspx
atd. viz. google
3/
Uzivatel "ruzo" rika ze router od pc lze odlisit.
4/
), ale internet muze mit od nas pouze na jedom pc.
Aby mel internet i na druhem (dalsich) pc za to stoji provozovat proxy. vzdyt maji internet zadarmo (respektive za to ze u nas pracuji
5/
cim bych prosim mohl detekovat vpn paket poradte nejeke programy.
Je dost pravdepodobne, ze by ste potrebovali komplexnejsie a predovsetkym hotove riesenie.
Skuste pozriet napr.: http://www.bezpecnostit.cz/reseni/komplexni-sprava -analyza-dat/epo
Je ale pravda, ze to neni zadarmo a dokonca to neni ani "low cost".
Kdepak, tohle nelze resit softwarove.
Reseni:
poradny router s dobrym firewallem (nejlepe i aplikacnim), sofistikovane switche + nasazeni 802.1x do site.
Mas pravdu v tom, ze tohle reseni uz opravdu neni levne a zdarma ani nahodou.
Preco myslis, ze to nieje mozne riesit softwarovo. Predsa kazdy hw potrebuje urcitu cast kodu v podobe softwaru, alebo firmwaru. Uvedene riesenie je postavene na baze hw + sw.To co je zrejme tazatelom vyzadovane, alebo hladane sa vola inspekcia paketov.
Samozrejme je mozne to postavit na baze Unix like systemu aj lacnejsie, akurat ten know-how, ktory je zapracovany do uvedeneho riesenia by bolo nutne najprv nastudovat a odskusat v praxi. Ale suhlasim, ze na bezpecnost sa nemoze hrat na jednom prvku siete (napr. routri), ale je nutne mat k tomu postavenu komplexnu infrastrukturu.
ad 1) a 3) kdyz v PC neni operacnim systemem windows, nepoznas to od routru, protoze rozumne operacni systemy se neexhibuji do site.
Existuji techniky, jak poznat pritomnost routru, ale pri jejich znalosti take existuje jednoduchy zpusob, jak je obejit, takze je nehodlam psat do verejne diske a rozhodne vyzaduji sofistikovany router (linux, cokoli jemu podobne, small bussines zarizeni).
ad 2) "sdileni ve windows" funguje jako router.. no dobre, s trochou fantazie, sitove sluzby windowsum nikdy poradne nesly, ale prakticky je to to totez, jako router v ceste
ad 4) vasi zamestnanci maji touhu si na svych pracovistich nosit dalsi zarizeni? jen aby tam jako mely dve, ze jsou cool nebo tak?
ad 5) firewall na treti vrstve, IPsec pakety maji totiz specialni IP protokol, ssl VPN temer nemas sanci poznat ani s filtraci na 7 (aplikacni) vrstve
1. Uzamykanie mc ti umozni to, ze sa ti tam nebudu potulovat cudzie mac adresy. Router beznym sposobom nezistis.
2. Zdielanie som naposledy skusal pred x rokmi na xp, boli siete, ktore pred x rokmi ked som zacinal s ISP vsadili namiesto linuxu na kombinaciu win+kerio win route firewall. Postupne vsetky tuto platformu opustili. Nepoznam ziadnu siet co by prevadzkovala routing na win platforme. Je mozne, ze Vista a 7 su uz na tom lepsie. \
Sietovy most je nudzovka, pri cenach dnesnych SOHo routrov uplne zbytocna vec, navyse po pripojeni do siete dokazes identifikovat dalsie pc za mostom, takze je to bezpredmetne.
3. Uzivatel ruzo nema tak celkom pravdu. Za istych okolnosti mozes s urcitou pravdepodobnostou spoznat router, po pouziti istych prostriedkov dokonca s urcitostou. Oboje je podla urvoni tvojich otazok momentalne mimo tvoj level, preto trvam na to, ze router momentalne nespoznas.
4. Proxy servre sa dnes pouzivaju len vynimocne. Venovat sa tejto moznosto je v tvojom pripade trosku zbytocne.
5. Myslim, ze najprv by bolo vhodne nieco si o tom nastudovat a neziadat hned hotove riesenia. Detekcia sietoveho trafficu je mimo rozsah tohoto threadu a museli by sme sa tomu venovat minimalne v serii clankov. Prestuduj si na googli layer7. Pre teba najschodnejsie riesenie je blokacia vsetkych portov, povol len standarne sietove a tak zabranis napriklad pouzivaniu vpn spojeni. Ja osobne by som vsak na takejto sieto nechcel byt ani minutu, resp by som to obchadzal nejakym ssh tunelom vedenym cez 80 alebo 443 port. Vsetko ma svoje za a proti.
Edit pokial chces ozaj, aby na sieti nemohli ist cudzi useri je jedine riesenie vytvorenie vpn spojenia pre kazdeho klienta alebo pouzitie Radiusu. Takto odstranis soho routre a cudzie pc s falsonymi mac adresami a pod.
Ja mam openvpn nastavenou na tcp port 443
je to SSL provoz, nedokazes odhalit vubec nic, kdyz mi povolis port 443 
ad 2) sitovy most funguje jako hub. Akorat interne v pocitaci z jedne sitovky na druhou (proste bridge).
ad 5) SSL VPN nedokazes rozlisit od HTTPS provozu zadnym zpusobem, protoze je to fakticky HTTPS provoz.