Rogue router a local hálón

Hálózatok általános

Nos, belefutottam egy címbeli problémába.

Adott lokál hálózatunkon - az igen kedves local ügyvéd Úr - bepakoltatott illegál magának egy wireless routert. A dolog számomra kiderült gyorsan, mérgemben gondolkodtam egy radikális IT kalapács megoldáson, de mielőtt (amúgy is) megteszem érdekelne azért más megoldás is.

amink van ellene:

linux gw
linux bind+dhcp mac address-re szűrve (az illegálban be van lőve a clone mac gondolom)
iptables
layer 2 switch
Transparens proxy is van

a kalapács

Várom ötleteitek!

Üdv:
Alfonz

  • 1090 megtekintés

( neutrino v | 2009. 11. 18., sze – 21:27 )

Wi-Fi vagy kábeles a hálózat?

127.0.0.1 SWEET 127.0.0.1

( janoszen v | 2009. 11. 18., sze – 21:33 )

A switch mit tud? Nem tud véletlenül 802.11x-et? Mert ha igen, akkor lehet per port VLANokat gyártani. Mindenképpen hasznos lenne, ha valamilyen módon lehetne izolálni.

Aztán még ötletek:

  • arpwatch-al összegyűjtöd az "ismert" mac addresseket és amint valami más eszköz megjelenik a hálózaton, lefloodolod a fenébe. Esetleg megnézed, milyen IP-t húz magára és azt elveszed tőle néhány jól irányzott ARP csomaggal.
  • Fölpatchelték a Tarpit modult az új kernelekhez, azzal meg lehet próbálkozni, hátha lefagy a router a fenébe.
  • DHCP-t mindenképpen valami nem szokványos címtartományra confold be és minden gépnek ossz kézzel IP-t.
  • Tegyél proxyt a hálózatra, a mindenféle alternatív portok meg ne legyenek kiengedve!
  • A gépekre valami normális tűzfalat, ha van rá költségvetés. Személyes jó tapasztalataim vannak az 8signs-el.
  • Osszál DHCPvel neki dedikáltam egy másik IP tartományból címet és jól szűrd meg ami onnan kifele jön.
  • A legfontosabb: mindent, de mindent beszélj le a főnökkel, mert ha nem, akkor utána Te leszel a genyó. Leginkább demonstráld neki, hogy be tudsz jönni és mi mindent el tudsz érni a routeren keresztül.

Egyébként személyes tapasztalat, hogy ez általában egy ki nem mondott igényt jelez. Ha teheted, inkább próbálj meg konstruktívan hozzáállni és javasold egy általatok menedzselt wifi router telepítését.

Végre jó napom lesz holnap....

Janoszen: kösz az ötleteket (illetve jöhet még), nekibuzdulok - egyenlőre nem nyúlok a hammerhez - legalább tesztelhetem magam.

de ha valakinek van tapasztalata ilyen téren, akkor ne fogja vissza magát..

válaszok és eredmények később, megyek pihenni

Lehet, hogy Neked fő a biztonság, de a cégvezetők nagy többségének addíg nem az, amíg az első komoly baleset meg nem történik. Vedd figyelembe, hogy az ügyvéd munkája fontosabb a cégnél, Te a "kiszolgáló személyzet" vagy és ezért az ő jó közérzete egy fontos tényező. Próbáld meg békésen elrendezni, jobban jársz és bent is jobb lesz a közhangulat, ha úgy érzik, hogy az IT kooperatív és segítőkész. Miből áll Neked menedzseni egy wifi routert és beengedni az Ő PDAját? Jobban is jársz, mert be tudod tenni külön hálózatba és nem kell félni attól, hogy megint mit talál ki.

Ami az Eximes dolgokat illeti, azokat folytatni kellene, csak kicsit mostanában ki vagyok punnyadva.

Félig fun:

Előtte érdemes esetleg a munkaszerződést is átolvasni, amit nagy valószínűséggel ő fogalmazott, nehogy legyen az apróbetűben szó holmi wifi-s routerekről meg egyebekről :), illetve, hogy megnézni, hogy melyik mondatba mit lehet belemagyarázni .

( pinyo_villany | 2009. 11. 18., sze – 21:33 )

switch port tilt, amin rajta van, onnantol kezdve barmit csinalhat...
___
info

( muszi v | 2009. 11. 19., cs – 08:47 )

Egy idoben a DunaWeb alkalmazta: a kliens fele meno csomagok TTL-jet 1-re allitottak, igy ha gepet dugtal ra, az ment, ha routert, az mar nem... :-)

(masfel orat debugoltam a routerem, amig rajottem :-)

eloszor beszelj ugyveddel negyszemkozt.
utana cegvezetovel negyszemkozt.
aztan uljetek le harmasban.
vegig azt a magatartast mutasd, hogy te szakember vagy es az ilyen akciok
biztonsagi kockazatot jelentenek.
es mivel te felelsz az IT biztonsagert ugyved ur a te munkahelyeddel jatszik.

egyebkent ha mar jol akarsz kijonni ebbol keszits egy kerdoivet ami az IT teruletre vonatkozik.
kerj meg mindenkit hogy toltse ki, es negyedevente ismeteld meg.
ezzel aztan prezentalhatod, hogy te igenis jol vegzed a munkad es mindenki elegedett veled.
ha valoban csak az ugyveddel van a gond, ezen ki fog bukni.

csok

OpenBSD 4.6/i386 theo for the prezident:D

( neutrino v | 2009. 11. 19., cs – 11:03 )

Megkéred a T. urat, hogy kurvagyorsan szedle le a routert :D

127.0.0.1 SWEET 127.0.0.1