>>Кстати, а каким боком cisco и dlink стали клиентами ? ;-)
>>если вся эта сетка ходит через цисковский роутер, то и отталкиваться надо
>>от его возможностей(точнее от своих финансов).
>Как я уже говорил (вернее писал) все сеть ходит через PC-роутер с
>FreeBSD. Клиентами же стали Cisco и D-Link по той простой причине
>что подключается иногда не комп, а целая сетка и подключается она
>через роутеры у тех кто побогаче через Cisco 800/2600/1700, кто победнее
>D-Link или Linux/FreeBSD ну и разные виндовые варианты. Только для меня
>они все эти сетки выглядят как один клиент.
как я понимаю Вы весьма огранниченны в изменениях конфигурации и настроек сети ;[
ловля хацкера в ваших условиях, занятие довольно длительное, но интересное;)
* во первых Вам бы надо разделить частные хосты и подсети. То есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это именно он. Варианты :
- использовать туннели между роутерами (ipip gre и проч.)
- использовать косвенную информацию - например тем что на роутерах работает OSPF. (написать скрипт/программку которая эт. проверяет)
Далее ищем одного хакера в собственной сети..
(если их больше одного, то всё сильно усложняется)
* Долго и нудно собирать статистку от arpwatch - так как на шлюзе место мало, её надо перекидывать на отдельную машину. Далее запряч sed,awk,sql загнать её в удобоваримую базу. И анализировать,анализировать..
* Собственно надо выяснить реальный mac злыдня, и время его активности (предпочитаемое время суток, дни недели). Примерные мысли по анализу - mac адрес злоумышленника пропадает незадолго до атаки + скорее всего на его реальном mac всегда один и тот-же ip (то есть свой адрес он не подменяет).
Заодно выяснить типичный режим для остальных юзеров. Не помешает также список излюбленных жертв.
* составить базу действительных mac - то есть тех которые присутствуют в вашей сети. Если мальчик балуется со всяким, то возможно иногда выдаёт мас которого в сети физически нет, или mac от фантастичного производителя.
* поставить машинку, которая будет делать то-же что и мальчик, то есть иногда менять свои mac и ip - на заранее Вам известные. Смысл, чтобы хакер
воспользовался вашей парой mac-ip - по её неожиданному появлению в сети Вы
обнаружите его активность. (вообще honey-сервер очень даже не повредит в любой сети)
* написать скрипт который при появлении нового mac/ip разберет какая ось там работает (nmap в руки+база по пользователям) - если ВераИванна 63 лет вдруг пересела на BSD, то практически наверняка это не она, значит её атакуют, значит все прочие активные mac считаем реальными - вычеркиваем из списка подозрительных.Заодно высняем, дуалистов(у кого на машине более 1 ОС) ставим их под подозрение.
* практически наверняка перед подменой адресов(или постоянно) хакер 'слушает' сеть - переводит карту в promisc.. ищем тулзы для обнаружения promisc - ставим.
* следим за конфликтами ip/ip mac/mac - они точно указывают на похождения хацкера - его реальный mac при этом не отвечает. Причем наверняка за какое-то время до этого он был засвечен в сети.
* наконец когда круг подозреваемых стал достаточно узок, меням собственный график работы, чтобы в on-line видеть атаку. Тут уж подручными средствами придётся отсеивать оставшихся.
* (Долгожданный миг) Ищем (или пишем) тулзу блокирующую mac адрес. (искуственно вывзвать конфликт mac), максимально ухудшаем качество обслуживания для требуемого лица (бьем пакеты, задерживаем соединения и проч.) хулиганим по полной. Вообщем ждём возмущенного звонка ;-) При звонке проявляя виртуозность дипломата настаиваем на визите или встрече на нейтральной территории.
Далее - в зависимости от воображения и кровожадности ;-)
|
