Idegen gép a belső hálózaton

Horváth Péter horvathp at ecdl.xantuski.sulinet.hu
2009. Okt. 17., Szo, 07:55:20 CEST 

Farkas Gábor írta:
> Üdv.
>
> Nemrég volt egy problémám a belső hálózattal: megbolondult az egyik print szerverem (mezei 15000Ft-os) és valahogy bekapcsolódott a beépített dhcp szervere. (Minek egy print serverbe dhcp?) Mivel a belső háló is dhcp-t használ, ezért a gépeink "hallgattak" rá, rossz ip címet kaptak, nem lehetett netezni stb.
>
> Amíg nem jöttem rá, hogy mi lehet a baj, addig a következő is eszembe jutott:
> A dolgozó bejön, hozza a saját notebookját amin tegyük fel véletlenül vagy akarattal fut egy dhcp szerver.
>
> Ti hogyan védekeztek/védekeznétek az ellen, hogy a belső hálózatra csatlakoztatnak egy idegen gépet? Ami mondjuk teli van trójaival, vírussal, fut rajta egy dhcp szerver stb?
> Menedzselhető switchek MAC szűréssel? Meddig tart hamisítani egy MAC címet?
>
> FG
>   
Egyfajta elképzelés a korlátozásra:
Nincs DHCP szerver, csak fix IP címek vannak, és a nem használt címek 
tiltva vannak a tűzfalban.
Vagy van DHCP szerver, de a fix IP címektől eltérő címtartományból oszt 
címet csak a lebukás miatt.
A többi engedélyezett gép pedig PPPOE-vel tud kapcsolódni. A PPPOE 
szerver lehet pl. Mikrotik.
(Sok gépen még nem próbáltam, és nem tudom hogy a PPPOE protokoll 
használata milyen stabilitási
problémákat okoz wifi -nél)

A csatlakozás helyének a behatárolása ha közönséges nem managelhető 
switchek vannak:

A központi switch-be (amibe a szerverek, default GW, csatlakoznak )be 
van dugva egy  egy  HUB  is készenlétben.
Ezen figyel egy commview32, netxray, stb. a megállapított idegen gép IP 
címére.
(A HUB -ot lehet helyettesíteni a virtuális gépek virtuális bridge-jével 
a sebesség miatt, és a commview 32 is lehet virtuális gépen)
Behatárolásnál az alsóbb rendű swicthek uplink-jét egyenként, 
ideiglenesen átdugdosom a ebbe a HUB-ba vagy virtuális bridge -be, és 
közben
figyelem a network monitor programot. Ez a pillanatnyi beavatkozás 
tapasztalat szerint (pl Netware kapcsolatnál) nem okoz megszakadást.
Ha ismerem a hálózat topológiáját akkor így 5 perc alatt meg lehet 
állapítani a helyet.
Ilyen módon szoktam a vírusos, vagy torrentes gépeket is behatárolni. Ha 
egy IP címről  a megszokottnál több TCP kapcsolatot
kezdeményeznek akkor az gyanússá válik stb.

Mindehez kell egy virtuális környezet több hálókártyával, amin fut egy 
vagy több Mikrotik, és opcionálisan egy
Windows amin a network monitorozó program fut (de van ilyen a 
Mikrotikben is).

Péter.

További információk a(z) Techinfo levelezőlistáról