Идентифицировать хост в сети

пароли нужны... vpn например

Не пускать никуда без авторизации (VPN).

Купить управляемый свитч и залочить мак-адреса на порты, или засунуть каждого в отдельный VLAN.

Коннектишся к свичу, делаешь поиск по МАС-ам, находишь порт, после привязаваешь порт к настоящему МАС-у и злоумышленник может отдыхать, ну или ты его можешь выявить и линчевать прелюдно..

Самый дельный совет IMHO.

дельный-то дельный, да вот что-то из исходного сообщения кажется мне что у автора неуправляемые свитчи, так что про vlan-ы и port security придется забыть...

sasha999 верно сказал - все кинулись давать обыденные советы, который каждый знает, даже не прочитав мой пост ))
у меня обычные свичи, за 100 украинских гривен ) они неуправляемые.
вот, блин, такие условия.

Дальше, кажется, кто-то писал про VPN - злоумышленик действительно подымает VPN канал - но только для того, чтобы выйти в инет.

вопрос: особенности поднятия VPN канала повзоляют опознать хост, после того как он заново сменит мак и ip адреса ?.... думаю, что нет.

есть еще идеи ?

заранее спасибо.

Хорошо, вот ещё идея. Раздача IP у тебя через DHCP реализована? Тогда выделяешь скоб, жёстко привязываешь IP к МАС-ам сетевых интерфейсов на компах, других IP вообще не раздаёшь.

сочуствую. когда-то сам долго заморачивался, как выявить такого гада в локалке на тупых свичах - результат нулевой.

похоже что у него в сетке статические айпишники

всё-таки лучше сменить свичи на управляемые - иначе из-за таких умников регулярно будешь иметь гимор.

пезды ему дать, и фсе :)

)))
DHCP - нет.
я не выдаю ip - они прописанны у пользователей.
да, я тоже жалею что свичи неуправляемые... но все их заменить ради поимки чела - руководство не пойдет на это.

еще идеи есть ?

к тому же, эти свичи лежат на техэтажах жилых зданий - одним словом - "домашняя сеть". спиздеть свичь дороже чем $20 - какой-нибудь придурок не поленится это сделать.

Наиболее перспективен в твоем случае метод деления сети (пополам). Обнаружили, что злоумышленник злоумышленничает - выдернули из корневого свича один из линков. Злоумышленник не пропал - следующий провод. Пропал - продолжаем то же самое со свичом на другой стороне провода.

Если есть хотя бы парочка умных свечек, на которых он засветился, то круг сужается.

Ну а после обнаружения - меняем у пользователя свечку на умную, после чего можем доказать, что злоумышленничал именно этот пользователь и применяем мктоды воздействия на него.

ЗЫ. как альтернатива классическому выдергиванию кабеля - временная установка умной свечки на очередном этапе и определение по его логам дальнейшего этапа.

)) забыл написать, что выдергивание кабелей не подходит - это делаеться в межуд 00 и 05 часами, и лазить по техэтажам никто не будет - этот негодяй не приносит скользначимых затрат, и ради него такую поимку ночью делать не будем

>к тому же, эти свичи лежат на техэтажах жилых зданий - одним словом - "домашняя сеть". спиздеть свичь дороже чем $20 - какой-нибудь придурок не поленится это сделать.

когда твоя сетка вырастет, таких умников станет больше. а когда один из них додумается до организации у себя ложного arp сервачка и начнёт ходить в инет за счёт юзеров, сидящих с ним на одном свиче - долго ты не сможешь разводить обманутых юзеров по типу ("да у вас винда обновилась сама и весь трафик сьела", или "трафик сьела вирусня"), когда то это вскроется и у твоего начальства возникнут проблемы... такое уже бывало :)

> Дальше, кажется, кто-то писал про VPN - злоумышленик действительно подымает VPN канал - но только для того, чтобы выйти в инет.

Эээ. С чьими credentials-то? Если со своими - то все ясно, кто это. Если с "жертвы" - то, ээ. Откуда они их взял-то?

Фильтрация по МАС-ам? Списочек имеется? Вбиваешь в правила и вперёд.. Не забывай также и про arptables... А, вообще, идея с использованием лишь одного нормального свича для выявления гада тоже не плоха.. А бы тебе даже отдолжил бы его, если бы это было возможно..

шоу макадрестейбл.

>> С чьими credentials-то? Если со своими - то все ясно, кто это. Если с
>> "жертвы" - то, ээ. Откуда они их взял-то?

чет я не въехал... credentials - какойто идентификатор при поднятии VPN канала ? если со стороны клиента также указываеться уникальный идентификатор, который всегда одинаков - то это круто. но, думаю, я не понял автора.

>> Фильтрация по МАС-ам? Списочек имеется? Вбиваешь в правила и вперёд..
>> Не забывай также и про arptables...

хм.. смысла не вижу. чел ставит себе мак и ip адреса такие же, как и его соседа (когда тот спит глубоким сном). причем делает это, вытащив сетевой кабель из машины. как тут могут помочь arptables ?

да, еще: использую фрю 6-у.

>да, еще: использую фрю 6-у.

Ну на FreeBSD IPFW2 тоже умеет фильтрацию по МАС-ам.

Ну а так, судя по всему, без нормального свича тебе не обойтись.

>> Ну а так, судя по всему, без нормального свича тебе не обойтись
если работать с маками - то, да )))
вот и хочу другим способом проблему одолеть ).

>>> С чьими credentials-то? Если со своими - то все ясно, кто это. Если с >>> "жертвы" - то, ээ. Откуда они их взял-то?

> чет я не въехал... credentials - какойто идентификатор при поднятии VPN канала ? если со стороны клиента также указываеться уникальный идентификатор, который всегда одинаков - то это круто. но, думаю, я не понял автора.

Блин. И эти люди чего-то админят еще?

credentials - это нечто, используемое для авторизации/аутентификации. Т.е., в простейшем случае, логин+пароль.

Если я что-то в чем-то понимаю, то у хакера (Х) и жертвы (Ц, от слова цель, т.е. того, чей адрес используется), есть свой набор этих самых credentials

Далее, по теме, возможны сценарии:

- Х меняет свой IP/MAC на IP/MAC Ц, инициирует VPN-соединение со своим логином - ну, ээ. Он пойман, да?

- Х меняет свой IP/MAC на IP/MAC Ц, инициирует VPN-соединение с логином, принадлежащим Ц. Типа, попа - но откуда он пароль-то узнал? Поменяйте пароль Ц, и пусть его получше хранит. Проверьте, не стоят ли у Ц трояны, и если стоят - посмотрите, откуда ими рулят.

- Х меняет свой IP/MAC на IP/MAC Ц и не использует VPN - ну, тогда думайте дальше.

А что прохого он вообще делает после смены адресов такого, что вы а) смогли установить этот факт б) хотите это пресечь?

Ну если вы не хотите разорятся на нормальное оборудование (свичи), то вам стоит подумать о введении у себя системы предоставления доступа с каким-либо из методов аутентификации/авторизации..

>>Блин. И эти люди чего-то админят еще?

не надо сразу рубить с плеча.

>>credentials - это нечто, используемое для
>>авторизации/аутентификации. Т.е., в простейшем случае, логин+пароль.

"credentials" - как ты сам сказал, это "нечто", тоесть, этим нечто мог быть и не пароль и логин. пот я и интересовался, что ты под этим словом понимаешь.
я надеялся, что при авторизации через радиус, машина "хакера" передает "чет" радиусу, и это "чето" - всегда имеет одно и тоже значение.
сегодня проверил - такого "чета" нету.

>>Если я что-то в чем-то понимаю, то у хакера (Х) и жертвы (Ц, от слова
>>цель, т.е. того, чей адрес используется), есть свой набор этих самых
>>credentials
>>Далее, по теме, возможны сценарии:

работает второй вариант. X крадет деньги жертвы, сменив мак и ip на логин жертвы.

А нельзя использовать IPSec AH, чтобы не было таких проблем? Или раздача сертификатов и еще один сервер - это дорого?

проблема в том, что руководство не пойдет на эти меры.

уже, наверное, можно подытожить написанное нами. в общем, случае, как я думаю, сидя в офисе найти такого хулигана нельзя. его можно выловить через другие сервисы - такие, как почта, форумы, игровые сервера - в общем, понятно.

>уже, наверное, можно подытожить написанное нами. в общем, случае, как я думаю, сидя в офисе найти такого хулигана нельзя.

Вобщем-то отчасти так.. Но также напрашиваются и иные выводы.. При каком подходе вашей администрации и при такой организации системы, в принципе, разркшить данную ситуацию маловероятно.. А потомо стоило бы любо пересмотреть подход либо оргинизация? а то и всё вместе..

Ну нельзяж так =)
Писалиж, что это НЕУПРАВЛЯЕМЫЕ свичи, а не каталист.
И в отдельных виланах юзвери не сидят!
А так, увидишь срач из маков в 1-м вилане и все =)

Снять баннеры сервисов через nmap и потом сравнивать. Правда не сработает если чел своим аккаунтом не пользуется, а пользуется только соседским.

Как вариант - по договорённости со стардающим отключаем/включаем ему доступ(каждое по неделе примерно), после чего анализируем. При отсутствии халявного доступа кулхацкер будет пользоватся своим, при наличии - будет пользоватся чужим. Вот по разлёту статистики и ловим :-)

Можно ещё составить список посещаемых мест и по этому списку ловить, но тут придётся сочинять bpf для каждого коннекта + какой-то разгребатель.

>Снять баннеры сервисов через nmap и потом сравнивать. Правда не >сработает если чел своим аккаунтом не пользуется, а пользуется только >соседским.

В свое время я советовал знакомому админу сделать именно так.

Пишется скриптик, который nmapит все IP-шники пользователей. Затем во время "Ч" (когда хакер вылезает в сеть) nmapится еще раз и diffается.

Если он использует IP не одного, а множества клиентов.. То это выслеживание может ой как на долго затянуться.. Может всё-таки проще нормальный свич, ну хоть, в аренду чтоль, на время взять..

в общем, нашли мы этого чела, он обнаглел, и творил свои грязные дела днем. мы его по кабелю и нашли.

блин, тяжело без неуправлемых свичей...