Author |
Message |
|
Post subject: RE: WIFI a security
Posted: 07.10.2003 - 23:00 #3954
|
|
Guru
Joined: Feb 19, 2003
Posts: 1133
Location: blizko Trencina
|
|
sam to poznas .. moznosti je vela. . od tunelu, cez proxace a dalsie veci.
co tak ho pichnut do hubu a odsnifovat to? alebo hodit mu do cesty linux bridge? |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 08.10.2003 - 00:39 #3958
|
|
Basic
Joined: Feb 23, 2003
Posts: 423
Location: Bratislava, Dubravka
|
|
floppy: Tazko 100%ne povedat... skus ho odsnifnut a budes vediet viac. (Na switchi si nastav monitorovaci port, na Catalystox je to v configu pre interface, inde neviem.) Eventualne mu oznam, ze porusuje pravidla, s ktorymi suhlasil v zmluve a ze nex to napravi, lebo mu "napravis" pripojenie (config/interface XXX/shutdown ... write memory).
Inak... ak povolujes staticke eth. adresy z akehokolvek portu, tak mas asi problem... proste sprav nieco ako "staticku switchovaciu tabulku" a kazdej znamej eth. adr. prirad port, na ktory sa ramce budu posielat... nic mu nepride. Mozno to nie je idealne riesenie, ale tak by som to asi robil ja...
Dalsia teoreticka moznost je, ze mu niekto na svojom kompe robi proxy... |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 08.10.2003 - 12:56 #3961
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
neviem ci nie skor nejake proxy. IMHO takato cinnost je u mna riesena okamzitym odpojenim uzivatela. myslim fyzicky |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 08.10.2003 - 21:47 #3966
|
|
Basic
Joined: Mar 03, 2003
Posts: 423
Location: Nitra
|
|
2 kockac: mam nastaveny staticky mac na jeho port, kde je pripojeny. Cize na tom porte ina mac nemoze existovat, cize inu mac ako jeho dropne a nepusti dalej.
2 mgx: fyzicke odpojenie nepomaha, nakolko je user schopny prist k swicu a zapojit sa sam. Uz mi to raz predviedol. Svic je umiestneny v sachte, kde sa nachadza motor vytahu.
2 all: Vznika mi tu moznost vypnut port na swici. Ostatne porty maju tiez nastavenu staticku mac az na jeden, ktory ide do dalsieho podotykam nie uz managovatelneho swicu. Ak odpoji, ale ten, odpoji sa od sieti. |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 08.10.2003 - 23:31 #3968
|
|
Basic
Joined: Feb 23, 2003
Posts: 423
Location: Bratislava, Dubravka
|
|
floppy: A dump Ti ukazuje co? Zda sa, ze bez toho nebudeme mudrejsi... |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 09.10.2003 - 00:18 #3969
|
|
Basic
Joined: Mar 03, 2003
Posts: 423
Location: Nitra
|
|
ako to mam oddampovat? ja nie som pripojeny v tom swici. Jedine ak routrom, ktory je nadradeny pre ten segment, ale aj ten nie je priamo v tom swici. mam prist s notasom, napichut sa piramo do swvicu a tam to oddampovat? na ake elementy sa mam sustedit v dumpe? tcp, udp, icmp, arp, vsetky? ako zistim, ze vidim to co hladam? asi podla jeho mac a ip a komunikacie, ktora tam prebieha. ak ma user tunel, budem aj tak v dampe vidiet jeho elektronicke inicialy? ja viem, RTFM!, ale aj tak :: Dikes za odpovede |
|
|
|
|
|
|
Post subject: pripojenie ku switchu
Posted: 09.10.2003 - 08:06 #3970
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
pripojenie ku switchu mozes riesit tak, ze tam das:
1. managovany swtich
2. odrezes konektor
akykolvek zasah do konfiguracie siete by som povazoval za dovod pre okamzite ukoncenie poskutovanie sluzby, resp. neviem ci si to doticny neuvedomuje, ale hranici to uz aj s moznostou trestneho postihu.
Asi najlepsie poslat mu doporucene pisomne vyjadrenie a upozornenie. |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 09.10.2003 - 10:41 #3971
|
|
Basic
Joined: Feb 23, 2003
Posts: 423
Location: Bratislava, Dubravka
|
|
floppy: Vsetko z daneho portu, aby si videl, aka komunikacia tam bezi... obcas moze byt problem rozlisit, co je legitimna komunikacia v ramci siete a co nie, ale s tym sa asi da len malo robit...
mgx: Celkom dobry pristup |
|
|
|
|
|
|
Post subject: hmmm
Posted: 09.10.2003 - 11:53 #3973
|
|
Guru
Joined: Dec 27, 2002
Posts: 1505
|
|
ja sa snazim byt stale fair, ale predstav si, ze niekto pride, a do tvojho pripoji vlastny kabel. IMHO zajdem za nim, a vysvetlim mu slusne ze sa to nerobi (preto a preto) a riesi sa to inak (takto a takto). Ked to iste vsak urobi znovu, tak moznosti:
1. urezat jeho kabel - blbe je to, ze to iste moze urobit aj on Vam
2. switch mat uzamknuty - ak ide o nasilne vniknutie, rovno volam policiu a nebavil by som sa
3. zaviest radius server |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 09.10.2003 - 12:46 #3974
|
|
Basic
Joined: Feb 23, 2003
Posts: 423
Location: Bratislava, Dubravka
|
|
Ja som to nemyslel ironicky, ale vazne. Nexceni parxanti v sieti su problem vsade a kto ix zanedba, neskonci celkom dobre. I ked je mi jasne, ze nie je mozne ani spravne si pozvat particku tvrdyx xlapov a zaplatit im zanho... Najlepsie riesenie je asi 2. ... pretoze prienik do siete, aj ked nie je uzamknuta, myslim nie je legalny, ale na policajtov treba ist s jednoduxymi vecami. |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 12.01.2004 - 17:45 #5384
|
|
Basic
Joined: Okt 19, 2003
Posts: 28
Location: Svaty Jur
|
|
da sa nejako spolahlivo urcit ze niekto je skryty za proxy?
analyza hlavicky paketu alebo podobne?
tcpdump/ethereal/ettercap? |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 12.01.2004 - 19:04 #5385
|
|
Basic
Joined: Feb 23, 2003
Posts: 423
Location: Bratislava, Dubravka
|
|
dexter: Aky protokol? HTTP? A co je "spolahlivo"? 100% spolahlivost nemas nikdy.
BTW proksy je na aplikacnej urovni TCP/IP... |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 12.01.2004 - 19:07 #5386
|
|
Basic
Joined: Okt 19, 2003
Posts: 28
Location: Svaty Jur
|
|
protokoly vseobecne...
ide mi o to, mat pod kontrolou uzivatela na sieti, aby si proste neurobil z klientskej stanice proxy/nat/whatever...
ci sa da nejako urcit, ze ano, tento stream ide spoza niecoho...? |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 12.01.2004 - 19:24 #5387
|
|
Basic
Joined: Feb 23, 2003
Posts: 423
Location: Bratislava, Dubravka
|
|
Aha, ze ako overit, ze za sebou nema skrytu nejaku siet? Vseobecna metoda neeksistuje. Ale vacsina proksy/NAT/... nie je robena ako anonymizery a umyselne alebo neumyselne "pustaju" informacie, napr.:
- NAT nemusi prepisovat IP ID alebo TCP ISN pri uvodnyx paketox,
- pasivny fingerprinting moze ukazovat "vela OS naraz" na tej IP,
- SMTP pridava hlavicku Received: do mailu,
- HTTP proksy pridavaju X-Forwarded-For: (alebo tak nejak),
- pasivny fingerprint (ktory analyzuje hlavicky sietovej a transportnej vrstvy) hlasi nejaky OS a aplikacny protokol (napr User-Agent hlavicka HTTP) hlasi software, ktory na danom OS nebezi (napr. Windows a lynx).
Bohuzial, myslim, ze ziadna z tyxto metod neobstoji na sude, takze si radsej v zmluve vyhrad pravo prestat im poskytovat Inet bez nahrady bez udania dovodu alebo nejaku podobnu pravnicku fintu... |
|
|
|
|
|
|
Post subject: RE: WIFI a security
Posted: 12.01.2004 - 19:39 #5388
|
|
Basic
Joined: Okt 19, 2003
Posts: 28
Location: Svaty Jur
|
|
dobre na tom je, ze nie som viazany ziadnou zmluvou, takisto ako ludia nie su viazani zmluvou ku mne:-) ...vsetok HW na strane AP/servera/switche je moj, oni maju maximalne svojich klientov alebo svoje kable:-) ...ale mame istu ustnu dohodu a chcem mat kontrolu nad svojou sietou.
iny pohlad je, ze clovek by mal mat moznost administrovat svoje "deti" napr. aj z prace, kde som limitovany http proxy:-) ...len zistujem ake su moznosti pripadne cim som "kryty" ale ssh je zatial dostatocne:-)))
dikes moc, viem ktorym smerom sa treba vybrat |
|
|
|
|
|
|