abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 22:33 | Nová verze

    Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.

    Ladislav Hagara | Komentářů: 0
    včera 17:44 | Zajímavý článek

    Devadesátková hra Brány Skeldalu prošla portací a je dostupná na platformě Steam. Vyšel i parádní blog autora o portaci na moderní systémy a platformy včetně Linuxu.

    karkar | Komentářů: 0
    včera 12:11 | Humor

    Lidi dělají divné věci. Například spouští Linux v Excelu. Využít je emulátor RISC-V mini-rv32ima sestavený jako knihovna DLL, která je volaná z makra VBA (Visual Basic for Applications).

    Ladislav Hagara | Komentářů: 7
    včera 10:44 | IT novinky

    Revolut nabídne neomezený mobilní tarif za 12,50 eur (312 Kč). Aktuálně startuje ve Velké Británii a Německu.

    Ladislav Hagara | Komentářů: 27
    včera 09:55 | IT novinky

    Společnost Amazon miliardáře Jeffa Bezose vypustila na oběžnou dráhu první várku družic svého projektu Kuiper, který má z vesmíru poskytovat vysokorychlostní internetové připojení po celém světě a snažit se konkurovat nyní dominantnímu Starlinku nejbohatšího muže planety Elona Muska.

    Ladislav Hagara | Komentářů: 4
    včera 09:33 | IT novinky

    Poslední aktualizací začal model GPT-4o uživatelům příliš podlézat. OpenAI jej tak vrátila k předchozí verzi.

    Ladislav Hagara | Komentářů: 0
    včera 08:11 | Nová verze

    Google Chrome 136 byl prohlášen za stabilní. Nejnovější stabilní verze 136.0.7103.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 8 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    29.4. 20:55 | Nová verze

    Homebrew (Wikipedie), správce balíčků pro macOS a od verze 2.0.0 také pro Linux, byl vydán ve verzi 4.5.0. Na stránce Homebrew Formulae lze procházet seznamem balíčků. K dispozici jsou také různé statistiky.

    Ladislav Hagara | Komentářů: 0
    29.4. 16:22 | Nová verze

    Byl vydán Mozilla Firefox 138.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 138 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    29.4. 15:55 | Pozvánky

    Šestnáctý ročník ne-konference jOpenSpace se koná 3. – 5. října 2025 v Hotelu Antoň v Telči. Pro účast je potřeba vyplnit registrační formulář. Ne-konference neznamená, že se organizátorům nechce připravovat program, ale naopak dává prostor všem pozvaným, aby si program sami složili z toho nejzajímavějšího, čím se v poslední době zabývají nebo co je oslovilo. Obsah, který vytvářejí všichni účastníci, se skládá z desetiminutových

    … více »
    Zdenek H. | Komentářů: 2
    Jaký filesystém primárně používáte?
     (58%)
     (1%)
     (9%)
     (21%)
     (4%)
     (1%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 497 hlasů
     Komentářů: 19, poslední včera 11:32
    Rozcestník

    Detekce NAT v podnikové síti

    23.11.2014 14:09 | Přečteno: 1434× | Linux | poslední úprava: 23.11.2014 21:41

    Brácha řešil, jak v síti detekovat routery, které si někdo bez dovolení přinesl. Použil k tomu mirror provozu portu na páteřním Cisco switchi směrem na Debianí server, na kterém běžel NATDet. Funguje mu to velmi dobře.

    Jeho zápisek: Detekce NAT v podnikové síti

    NATDet si můžete stáhnout na http://elceef.itsec.pl/natdet/, je lepší si stáhnout a zkompilovat development verzi, protože stabilní nějak špatně funguje výpočet pravděpodobnosti - dává jen hodnoty 0, 50 a 100% a je zde velká míra false positive.

    Základní metodika detekce je zjišťování hodnoty TTL - packet stroje za routerem při průchodu má tuto hodnotu sníženou a router samotný také se sítí občas komunikuje a v určité časové periodě se tak ukážou 2 různé hotnoty TTL (v delší časové periodě to však mlže být normální - uživatel mohl např. rebootovat do druhého systému).

    Další metodikou je pokus o detekci OS - zkoumá například velikost TCP okénka, výchozí TTL, nebo velikost SYN packetu. Opět je zde důležitá časová perioda - uživatel opět mohl například rebootovat.

    NATDet je zatím nejlepším nástrojem, se kterým jsme se pro tento účel setkali a máme ho nasazen i v síti, která má více než 1000 aktivních uživatelů. Nezbeda je detekován po několika vteřinách po připojení se do sítě.        

    Hodnocení: 33 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    23.11.2014 16:41 Miriam | skóre: 3 | blog: zivot
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    až se budeš ptát, proč je tvůj blog hodnocen jako špatný: podobné věci patří do zpráviček, pokud blog nenese sám o sobě obsah, sdílej jen odkaz s krátkým popisem. Jinak se z ábíčka stane žumpa plná trolů.
    23.11.2014 18:23 sss
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    To proto, ze on je z WebTrhu a tohle bere, jako spravny webtrznik, jako linkbuilding na blogisek... :/
    MMMMMMMMM avatar 23.11.2014 21:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Typický webtržník. Pro zpětný odkaz by prodal rodiče/bráchu. :-D
    xkucf03 avatar 23.11.2014 21:44 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    +1
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    24.11.2014 23:45 Miriam | skóre: 3 | blog: zivot
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Díky za plus jedna, od tebe jsem to nečekala. BTW: všimnul sis, co se mi podařilo propašovat do menu nejčtenější a nejkomentovanější blogy? :-D
    24.11.2014 23:54 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    A stál ten orgasmus alespoň za to?
    25.11.2014 07:20 Miriam | skóre: 3 | blog: zivot
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    To víš, že jo Aleši :-)
    23.11.2014 21:56 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Ok, díky za upozornění, doplnil jsem informace, aby to nebylo tak chudé. Nechtěl jsem opisovat bráchův článek, proto jsem dával jen link.
    MMMMMMMMM avatar 24.11.2014 06:00 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    23.11.2014 19:30 biolog
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Přinesl bez dovolení? Snad se tím myslí přines i přes zákaz. Vyžadovat dovolení, zejména když NAT dělají některé krabičky samy, je nesmyslné.
    23.11.2014 21:50 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Existují oprávněné případy, kdy uživatel opravdu potřebuje mít "router", konkrétně třeba kvůli provozování virtuálního stroje. Někdy je přímý zákaz složité vydat... narážíme na to především v nemocničních sítích, kde se bohužel často stává, že si některý doktor přinese vlastní router, aby si mohl připojit mobil, nebo si to prostě pro svou ordinaci chce pořešit sám...

    xkucf03 avatar 23.11.2014 22:06 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    že si některý doktor přinese vlastní router, aby si mohl připojit mobil, nebo si to prostě pro svou ordinaci chce pořešit sám...

    Tak mu asi nevyhovuje kvalita služeb, které mu místní síťaři poskytují.

    Jestli kouká na porno, místo aby pracoval, tak to je samozřejmě špatně1. Ale jestli na to kouká na jednom počítači nebo na dvou, to je snad jedno, ne? Tímhle ho donutíte leda k tomu, že na něj bude koukat na hlavním počítači a zaviruje si ho – zaviruje si počítač, na kterém má záznamy o pacientech, přístup do různých systémů atd.

    [1] i když u doktora by to mohlo být i součástí pracovní náplně – nevím, na jakém oddělení pracuje

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    23.11.2014 22:34 R
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Ide hlavne o to, ze ludia si donesu vlastne wifi routery a nechaju ich v default konfiguracii - bez hesla alebo s trivialnym heslom.

    Vybudovanie a sprava kvalitne zabezpecenej wifi siete vo velkej budove je financne narocne a mnohe organizacie na to nemaju peniaze, alebo nie su ochotne na to peniaze dat.
    24.11.2014 00:24 Kvakor
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Ale pak by neměli zakazovat routery, ale zařízení s WiFi připojené k síti. I když většina prodávaných "krabiček s anténou" jsou opravdu routery s vestaveným AP, tak pořád existují routery bez WiFi nebo naopak čisté AP (případně kombinace AP/klient/bridge).
    24.11.2014 09:19 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Blokace wifi krabiček je hlavní důvod, proč detekci v síti nasazovat. To že zařízení má wifi z pohledu vnitřní sítě moc dobře nepoznáme...

    S přinesením čistých AP jsem se zatím příliš nesetkal - asi to bude tím že jsou většinou dražší než TPlink/noname routřík za stokorunu. Každopádně AP poznáme podle počtu MAC adres na portu.
    pavlix avatar 24.11.2014 17:29 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Každý router jde použít jako čisté AP.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    25.11.2014 00:04 Kvakor
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Stále se prodávají routery, která nejsou o moc dražší než obdobné modely s WiFi v rámci stejného výrobce (zrotna třeba TPLink dělá řadu "čistých routerů" TL-Rxx). Ale nejspíšto bude tak, že ti, co si nosí routery s WiFi, to nedělají an tak kvůli routování, ale hlavně kvůli WiFi.
    Jendа avatar 25.11.2014 00:35 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    S přinesením čistých AP jsem se zatím příliš nesetkal
    Co třeba zapojit kabel podnikové sítě do LAN portu klidně toho nejlevnějšího AP? Bude to dělat bridge mezi WiFi a tou LAN.
    brk avatar 24.11.2014 21:00 brk | skóre: 29 | blog: broukoviny
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Oni ten vlastní router hlavně nejraději připojují do sítě LAN portem se zapnutým DHCP.
    USE="-qt -kde"
    Dreit avatar 25.11.2014 01:20 Dreit | skóre: 15 | blog: Dreit a jeho dračí postřehy | Královehradecký kraj
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

    +1 :-D

    Nope
    Jendа avatar 25.11.2014 02:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Jo, to je taky dobrý. Pro mě jediný důvod, proč chci „chytrý“ switch. Jinak člověk běhá jako debil a snaží se zjistit, odkud to chodí.
    Max avatar 25.11.2014 10:19 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    A čemu to má vadit? Snad v každý rozumný síti nemá člověk povolen DHCP na každém portu switche, ne?
    Zdar Max
    Měl jsem sen ... :(
    25.11.2014 21:15 biolog
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Nás na škole učili, že je chyba zabezpečovat síť jako takovou. Mají se zabezpečovat jen počítače v síti (a síťové prvky, pokud mají management). Samotnou síť řešit jen proti podvrhování DHCP a ARP paketů, přílišného broadcastu atd. Zabezpečit síť by jinak byl marný boj, nebo případně riskantní pocit "máme bezpečnou síť, mohu v ní kopírovat nešifrovaně".
    xkucf03 avatar 23.11.2014 22:00 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    jak v síti detekovat routery, které si někdo bez dovolení přinesl … v delší časové periodě to však mlže být normální - uživatel mohl např. rebootovat do druhého systému … Další metodikou je pokus o detekci OS - zkoumá například velikost TCP okénka, výchozí TTL, nebo velikost SYN packetu. Opět je zde důležitá časová perioda - uživatel opět mohl například rebootovat.

    Aha, takže uživatel si může spustit jiný OS, ale dva spuštěné současně (třeba virtualizovaně – taky s NATem) mít nemůže? S tímhle přístupem běž do háje. A pak se síťaři diví, že je uživatelé nemají rádi.

    Virtualizace se hodí třeba pro izolaci aplikací, zvyšuje bezpečnost. Házet v tomhle uživatelům klacky pod nohy znamená, že tu bezpečnost naopak snižujete.

    Ale znám i horší škůdce – třeba když někdo nastavil síť tak, aby čmuchala do SMTP komunikace a když narazí na něco, co se jí nelíbí (třeba STARTTLS nebo nějakou MIME hlavičku), tak shodila spojení nebo dokonce podvrhla nějakou odpověď jako že je od serveru. Případně totéž s FTP komunikací – někdy fungovala, někdy ne. Tyhle problémy se moc dobře ladí, to bych ti přál. Propálilo se na tom X hodin práce na obou stranách… A nakonec se ukázalo, že síťař zapojil do sítě nějakou „chytrou“ krabičku.

    Z hlediska programátora nebo správce systému je nejlepší zabalit veškerou komunikaci do šifrovaného a podepsaného kanálu a nenechat nikoho cestou do toho strkat rypák. Člověk si ušetří spoustu problémů, které mu chtěl nějaký škůdce způsobit.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Heron avatar 23.11.2014 22:20 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    „chytrou“ krabičku

    Narazil jsem na případ, kdy nějaká chytrá krabička si hrála na SSH proxy a povolovala pouze autentizaci heslem. Vzhledem k tomu, že server neměl povolenou autentizaci heslem, jen klíče, tak to byl trochu problém.

    xkucf03 avatar 23.11.2014 22:55 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

    Na serverech přihlášení heslem prakticky vždycky vypínám a když se někam přihlašuji, tak většinou ani z hlavy nevím, jaké tam mám heslo, takže na mě by to moc nefungovalo. Ale bohužel je hodně uživatelů, u kterých bude takový MITM útok úspěšný.

    BTW: tohle si dal někdo do sítě dobrovolně nebo to byl útok?

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Heron avatar 24.11.2014 13:23 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Nebudu prozrazovat, co je to za síť, ale to si tam dali dobrovolně po té, co si za peníze z veřejných rozpočtů koupili hodně drahou krabičku od společnosti, která tu byla zmíněna, a tu zapojili dle doporučeného nastavení do sítě.

    Jinak, poslední asi půl rok se dá sledovat další jev a to, že tyto sítě zakazují směr ven. Pokud tam tedy máte nějaké zařízení (které si daný zákazník objednal), tak nejenže se nedostanete dovnitř (přístupy někteří povolují jen na daný okamžik -- toto se děje už poměrně dlouho), ale také automaticky zakáží přístup onoho serveru ven. Což postihne hromadu věcí aktualizacemi počínaje a třeba správným časem konče.

    Mezitím jsou samozřejmě zábavy typu filtrace SMTP, IMAPs, SSH a samozřejmě čím dál oblíbenější MITM na HTTPS (klient má podstrčený CA Root oné MITM https proxy a ta sleduje bůh ví co).
    23.11.2014 22:40 R
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Cisco firewally maju nejake featury, ktore rozbijaju SMTP. Chvilu trvalo, kym som na to dosiel... Odvtedy musi byt nastavene "no fixup protocol smtp".
    xkucf03 avatar 23.11.2014 22:51 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Cisco firewally maju nejake featury

    ano, byl to ten případ…

    Chvilu trvalo, kym som na to dosiel

    A nejsi sám. Posčítat ten čas, který s tím lidé po celém světě museli strávit, tak to jsou celkem slušné škody.

    "no fixup protocol smtp"

    Zajímalo by mě, v kterém jazyce „fixup“ znamená rozbít, poškodit, narušit…

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Bystroushaak avatar 24.11.2014 07:59 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Zajímalo by mě, v kterém jazyce „fixup“ znamená rozbít, poškodit, narušit…
    Korporátština. Je to slušný alias fuckup.
    24.11.2014 17:47 R
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    U Cisca plati: fixup == break. Do reklamy sa potom napise "zabezpecenie SMTP".
    24.11.2014 09:11 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti
    Také proto je nadpis "Detekce" a ne "Blokace", to že takového uživatele detekujeme neznamená, že ho hned blokujeme. Informace, že se v síti objevilo zařízení, které natuje je podle mě velmi podstatná informace.

    S ASA firewally mám také mnoho fixup zážitků :-)

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.