The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Найти и обезвредить"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение [ Отслеживать ]

"Найти и обезвредить"  +/
Сообщение от ramzes3000 email(ok) on 14-Янв-13, 20:02 
Здраствуйте.
Есть офисная сеть, около 200 пк = управляемые коммутаторы dlink, шлюз - Debian + squid.
Некоторые товарищи ставят свои роутеры и раздают по кабинетам инет, что запрещено.
Как все это безобразие прекратить? Как найти в сети пиратский шлюз.? Ничего толкового кроме адм. наказания не нашел.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Найти и обезвредить"  +1 +/
Сообщение от PavelR (ok) on 14-Янв-13, 22:18 
> Как все это безобразие прекратить?
> Как найти в сети пиратский шлюз.?
> Ничего толкового кроме адм. наказания не нашел.

Найти, прекратить и наказать - это разные задачи.

Найти:
- можно по TTL
- можно сканировать наборы портов на адресе и ловить их изменение
- можно пытаться контролировать число одновременных TCP-сессий


Хотя я возможно не так понял, что подразумевается под "ставят свои роутеры". Я пишу в контексте: ставят свое железо и тянут свои провода.

Если они ставят маршрутизирующий софт на имеющиеся компьютеры и имеющимся компьютерам "расшаривают" интернет используя "вашу" физику - то надо просто ассимметричные виланы на д-линках настроить, и запретить общаться компьютерам друг с другом.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Найти и обезвредить"  +/
Сообщение от ramzes3000 email(ok) on 14-Янв-13, 23:49 

> Хотя я возможно не так понял, что подразумевается под "ставят свои роутеры".
> Я пишу в контексте: ставят свое железо и тянут свои провода.

Народ ставит железо - маршрутизаторы, сетевухи, тянут провода.....
Основная задача - Как за натом увидеть пиратскую сеть?

Софт пока не ставят.
Все было вычислено путем личного обхода, но ножки не казенные?

Спасибо.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Найти и обезвредить"  +/
Сообщение от eek email on 15-Янв-13, 07:22 
> Народ ставит железо - маршрутизаторы, сетевухи, тянут провода.....
> Основная задача - Как за натом увидеть пиратскую сеть?

Думаю можно еще немного подождать и они захватят серверную (или как у вас этот чулан называется где сервер со сквидом стоит) и тогда вы сможете спокойно пойти домой.

По теме: У вас проблемы административные не технические. Когда народ вместо своей работы начинает тянуть провода и ставить роутеры, это явно говорит о том, что и админ и их непосредственное начальство не делают свою работу. Равно как и может говорить о том, что пользователи в конец охренели. В любом случае корень проблемы лежит не в технической области.

Можно конечно продложить сделать авторизация дополнительную, например привязывать по маку, но учитывая техническую грамотность ваших пользователей это не поможет.

Ну и так ради интереса.
А как ваш заповедник называется?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Найти и обезвредить"  +/
Сообщение от ramzes3000 email(ok) on 15-Янв-13, 12:07 
>[оверквотинг удален]
> По теме: У вас проблемы административные не технические. Когда народ вместо своей
> работы начинает тянуть провода и ставить роутеры, это явно говорит о
> том, что и админ и их непосредственное начальство не делают свою
> работу. Равно как и может говорить о том, что пользователи в
> конец охренели. В любом случае корень проблемы лежит не в технической
> области.
> Можно конечно продложить сделать авторизация дополнительную, например привязывать по
> маку, но учитывая техническую грамотность ваших пользователей это не поможет.
> Ну и так ради интереса.
> А как ваш заповедник называется?

На данный момент привязка по ip + mac, планирую включить ip-mac-port binding, может + по логину, паролю. Хотелось как то проще/технически решить проблему = ограничить кол-во мак на порту и/или др., но в длинке говорят, что железо этого не умеет.

Это не заповедник, а стадо баранов.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Найти и обезвредить"  +1 +/
Сообщение от fantom (??) on 15-Янв-13, 12:16 
>[оверквотинг удален]
>> области.
>> Можно конечно продложить сделать авторизация дополнительную, например привязывать по
>> маку, но учитывая техническую грамотность ваших пользователей это не поможет.
>> Ну и так ради интереса.
>> А как ваш заповедник называется?
> На данный момент привязка по ip + mac, планирую включить ip-mac-port binding,
> может + по логину, паролю. Хотелось как то проще/технически решить проблему
> = ограничить кол-во мак на порту и/или др., но в длинке
> говорят, что железо этого не умеет.
> Это не заповедник, а стадо баранов.

802.1X (даааалеко не каждый рутер оный умеет) + все исключительно через squid с авторизацией + ограничение количества tcp сессий на один IP до разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать) и раздача инета через рутер станет "нерентабельной", тем, кто сможет все правильно настроить и обойти - приглашение на работу сисадмином на ваше место :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Найти и обезвредить"  +/
Сообщение от Andrey (??) on 15-Янв-13, 14:27 
>[оверквотинг удален]
>> области.
>> Можно конечно продложить сделать авторизация дополнительную, например привязывать по
>> маку, но учитывая техническую грамотность ваших пользователей это не поможет.
>> Ну и так ради интереса.
>> А как ваш заповедник называется?
> На данный момент привязка по ip + mac, планирую включить ip-mac-port binding,
> может + по логину, паролю. Хотелось как то проще/технически решить проблему
> = ограничить кол-во мак на порту и/или др., но в длинке
> говорят, что железо этого не умеет.
> Это не заповедник, а стадо баранов.

Чего только не делают некоторые администраторы чтобы только не общаться с пользователями и с собственными руководителями. Пробема не решается только техническими средствами.  

Представте себе что кто-то в офисе готовит шашлык на мангале. Приходит пожарный инспектор и отбирает спички. Мангал, дрова, жидкость для розжига, шашлыки, выписывание штрафов, закрытие офиса и прочее пожарного инспектора не интересуют. Текущая ситуация аналогична.

Стаду баранов нужен пастух и овчарки которые будут стадо охранять. Если этого нет - волки вырежут стадо в считанные минуты. Решайте кто вы в данном случае - такое существо входящее в состав стада или пастух, который с этого стада имеет иногда хороший наваристый суп и вкусный шашлык.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Найти и обезвредить"  +/
Сообщение от ramzes3000 email(ok) on 15-Янв-13, 18:22 
>[оверквотинг удален]
> и с собственными руководителями. Пробема не решается только техническими средствами.
> Представте себе что кто-то в офисе готовит шашлык на мангале. Приходит пожарный
> инспектор и отбирает спички. Мангал, дрова, жидкость для розжига, шашлыки, выписывание
> штрафов, закрытие офиса и прочее пожарного инспектора не интересуют. Текущая ситуация
> аналогична.
> Стаду баранов нужен пастух и овчарки которые будут стадо охранять. Если этого
> нет - волки вырежут стадо в считанные минуты. Решайте кто вы
> в данном случае - такое существо входящее в состав стада или
> пастух, который с этого стада имеет иногда хороший наваристый суп и
> вкусный шашлык.

Эт понятно - внедрять комплекс мероприятий = пастухи, овчарки, щуки, окуни..... обрезка лишнего кабеля, увольнение...

Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда успеем, шашкой махать дело не хитрое.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Найти и обезвредить"  +/
Сообщение от mrak (??) on 16-Янв-13, 11:42 
> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
> успеем, шашкой махать дело не хитрое.

можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Найти и обезвредить"  +/
Сообщение от fantom (??) on 16-Янв-13, 11:49 
>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
>> успеем, шашкой махать дело не хитрое.
> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(

и как вы MAC-и за IP роутерами отслеживать собираетесь?


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Найти и обезвредить"  +1 +/
Сообщение от fantom (??) on 16-Янв-13, 11:55 
>>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
>>> успеем, шашкой махать дело не хитрое.
>> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(
> и как вы MAC-и за IP роутерами отслеживать собираетесь?

Повторюсь:
802.1X (даааалеко не каждый рутер оный умеет) + все исключительно через squid с авторизацией + ограничение количества tcp сессий на один IP до разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать) и раздача инета через рутер станет "нерентабельной", ибо
1. Надо найти рутер с поддержкой 802.1x
2. все равно squid попросит логин/пароль
3. Даже втроем на 10 сессий - это поодной страничке открыть да скайп запустить и усе... да они сами умельца с роутером изнасилуют.
4. естественно, на все жалобы что работает хреново в первую очередь проверять на наличие роутера и реагировать административно.


И тут правильно писали - без админ мер все технические средства бесполезны, ибо безнаказанность ничего хорошего не порождает.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Найти и обезвредить"  +/
Сообщение от ramzes3000 (ok) on 16-Янв-13, 15:33 
>[оверквотинг удален]
> разумного предела, например 10 (нуфиг по 100 страниц в браузере открывать)
> и раздача инета через рутер станет "нерентабельной", ибо
> 1. Надо найти рутер с поддержкой 802.1x
> 2. все равно squid попросит логин/пароль
> 3. Даже втроем на 10 сессий - это поодной страничке открыть да
> скайп запустить и усе... да они сами умельца с роутером изнасилуют.
> 4. естественно, на все жалобы что работает хреново в первую очередь проверять
> на наличие роутера и реагировать административно.
> И тут правильно писали - без админ мер все технические средства бесполезны,
> ибо безнаказанность ничего хорошего не порождает.

Всем спасибо, будем работать.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Найти и обезвредить"  +/
Сообщение от fantom (??) on 16-Янв-13, 15:45 
>[оверквотинг удален]
>> 2. все равно squid попросит логин/пароль
>> 3. Даже втроем на 10 сессий - это поодной страничке открыть да
>> скайп запустить и усе... да они сами умельца с роутером изнасилуют.
>> 4. естественно, на все жалобы что работает хреново в первую очередь проверять
>> на наличие роутера и реагировать административно.
>> И тут правильно писали - без админ мер все технические средства бесполезны,
>> ибо безнаказанность ничего хорошего не порождает.
> Всем спасибо, будем работать.
> кстати maxconn даже в 20-25 рубит на 1-2 вкладке. Спрошу в другой
> ветке. Спасибо.

А вы не тутайте параметры сквида с количеством tcp сессий :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Найти и обезвредить"  +/
Сообщение от mrak (??) on 16-Янв-13, 16:37 
>>> Коллеги, окажите помощь в техническом плане к выше сказанному, наказать стадо всегда
>>> успеем, шашкой махать дело не хитрое.
>> можно поробовать MAC адреса отслеживать и чужие блокировать, но метод ненадёжный :(
> и как вы MAC-и за IP роутерами отслеживать собираетесь?

Не за роутерами, а роутеров. При стандартной настроойке роутера, будет светиться его MAC адрес, а не адрес ПК, если мы знаем все свои МАСи то чужие можно блокировать. Единственный недостаток - МАС роутера, можно заменить на МАС легалного ПК :(

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Найти и обезвредить"  +/
Сообщение от pavlinux (ok) on 16-Янв-13, 20:29 
> Здраствуйте.
> Есть офисная сеть, около 200 пк = управляемые коммутаторы dlink, шлюз -
> Debian + squid.
> Некоторые товарищи ставят свои роутеры и раздают по кабинетам инет, что запрещено.
> Как все это безобразие прекратить? Как найти в сети пиратский шлюз.? Ничего
> толкового кроме адм. наказания не нашел.

1. Авторизацию через LDAP по IPSec и всем USB свистки c ключами.
2. Использовать в сети только свои свичи/роутеры.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Найти и обезвредить"  +/
Сообщение от Seva email(??) on 16-Янв-13, 20:48 
Выявить нелегальную точку с помощью сканера по уровню сигнала и "настучать по голове"(если пользователь знает и нарушает рассмотреть на партийном собрании целесообразность доступа к сети в том числе и интернет)

А вообще хороша технология cisco rogue detection но такой сети её уже не внедрить:-)

Да и что бы юзеры были довольны и не мучались проверить вашу сетку на предмет готовности к BYOD :-) именно поэтому они тащат в офис железяки и чувствуют себя кул хацкерами )))

Гарантирую что у вас никто ни за что не отвечает, порты не закрываются и находятся в свободном доступе а Одмин мальчик для битья и будет крайним в случае чего ))


А вообще хороший повод поднять вопрос перед руководством и приступить к модернизации сети )))

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру