Detekce NAT v podnikové síti (diskuse)

AbcLinuxu:/ Blogy / Zápisky z Lyntu / Detekce NAT v podnikové síti / Detekce NAT v podnikové síti (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

23.11.2014 16:41 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Odpovědět | Sbalit | Link | Blokovat | Admin

až se budeš ptát, proč je tvůj blog hodnocen jako špatný: podobné věci patří do zpráviček, pokud blog nenese sám o sobě obsah, sdílej jen odkaz s krátkým popisem. Jinak se z ábíčka stane žumpa plná trolů.

23.11.2014 18:23 sss
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

To proto, ze on je z WebTrhu a tohle bere, jako spravny webtrznik, jako linkbuilding na blogisek... :/

23.11.2014 21:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Typický webtržník. Pro zpětný odkaz by prodal rodiče/bráchu. :-D

Linux Dokumentační Projekt - PDF ke stažení

23.11.2014 21:44 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

24.11.2014 23:45 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Díky za plus jedna, od tebe jsem to nečekala. BTW: všimnul sis, co se mi podařilo propašovat do menu nejčtenější a nejkomentovanější blogy? :-D

24.11.2014 23:54 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

A stál ten orgasmus alespoň za to?

25.11.2014 07:20 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

To víš, že jo Aleši :-)

23.11.2014 21:56 smíťa | skóre: 9 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Ok, díky za upozornění, doplnil jsem informace, aby to nebylo tak chudé. Nechtěl jsem opisovat bráchův článek, proto jsem dával jen link.

24.11.2014 06:00 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Mnohem lepší. :-)

Linux Dokumentační Projekt - PDF ke stažení

23.11.2014 19:30 biolog
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Odpovědět | Sbalit | Link | Blokovat | Admin

Přinesl bez dovolení? Snad se tím myslí přines i přes zákaz. Vyžadovat dovolení, zejména když NAT dělají některé krabičky samy, je nesmyslné.

23.11.2014 21:50 smíťa | skóre: 9 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Existují oprávněné případy, kdy uživatel opravdu potřebuje mít "router", konkrétně třeba kvůli provozování virtuálního stroje. Někdy je přímý zákaz složité vydat... narážíme na to především v nemocničních sítích, kde se bohužel často stává, že si některý doktor přinese vlastní router, aby si mohl připojit mobil, nebo si to prostě pro svou ordinaci chce pořešit sám...

23.11.2014 22:06 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

že si některý doktor přinese vlastní router, aby si mohl připojit mobil, nebo si to prostě pro svou ordinaci chce pořešit sám...

Tak mu asi nevyhovuje kvalita služeb, které mu místní síťaři poskytují.

Jestli kouká na porno, místo aby pracoval, tak to je samozřejmě špatně¹. Ale jestli na to kouká na jednom počítači nebo na dvou, to je snad jedno, ne? Tímhle ho donutíte leda k tomu, že na něj bude koukat na hlavním počítači a zaviruje si ho – zaviruje si počítač, na kterém má záznamy o pacientech, přístup do různých systémů atd.

_{[1] i když u doktora by to mohlo být i součástí pracovní náplně – nevím, na jakém oddělení pracuje}

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

23.11.2014 22:34 R
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Ide hlavne o to, ze ludia si donesu vlastne wifi routery a nechaju ich v default konfiguracii - bez hesla alebo s trivialnym heslom.

Vybudovanie a sprava kvalitne zabezpecenej wifi siete vo velkej budove je financne narocne a mnohe organizacie na to nemaju peniaze, alebo nie su ochotne na to peniaze dat.

24.11.2014 00:24 Kvakor
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Ale pak by neměli zakazovat routery, ale zařízení s WiFi připojené k síti. I když většina prodávaných "krabiček s anténou" jsou opravdu routery s vestaveným AP, tak pořád existují routery bez WiFi nebo naopak čisté AP (případně kombinace AP/klient/bridge).

24.11.2014 09:19 smíťa | skóre: 9 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Blokace wifi krabiček je hlavní důvod, proč detekci v síti nasazovat. To že zařízení má wifi z pohledu vnitřní sítě moc dobře nepoznáme...

S přinesením čistých AP jsem se zatím příliš nesetkal - asi to bude tím že jsou většinou dražší než TPlink/noname routřík za stokorunu. Každopádně AP poznáme podle počtu MAC adres na portu.

24.11.2014 17:29 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Každý router jde použít jako čisté AP.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.11.2014 00:04 Kvakor
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Stále se prodávají routery, která nejsou o moc dražší než obdobné modely s WiFi v rámci stejného výrobce (zrotna třeba TPLink dělá řadu "čistých routerů" TL-Rxx). Ale nejspíšto bude tak, že ti, co si nosí routery s WiFi, to nedělají an tak kvůli routování, ale hlavně kvůli WiFi.

25.11.2014 00:35 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

S přinesením čistých AP jsem se zatím příliš nesetkal

Co třeba zapojit kabel podnikové sítě do LAN portu klidně toho nejlevnějšího AP? Bude to dělat bridge mezi WiFi a tou LAN.

24.11.2014 21:00 brk | skóre: 29 | blog: broukoviny
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Oni ten vlastní router hlavně nejraději připojují do sítě LAN portem se zapnutým DHCP.

USE="-qt -kde"

25.11.2014 01:20 Dreit | skóre: 15 | blog: Dreit a jeho dračí postřehy | Královehradecký kraj
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

+1 :-D

Nope

25.11.2014 02:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Jo, to je taky dobrý. Pro mě jediný důvod, proč chci „chytrý“ switch. Jinak člověk běhá jako debil a snaží se zjistit, odkud to chodí.

25.11.2014 10:19 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

A čemu to má vadit? Snad v každý rozumný síti nemá člověk povolen DHCP na každém portu switche, ne?
Zdar Max

Měl jsem sen ... :(

25.11.2014 21:15 biolog
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Nás na škole učili, že je chyba zabezpečovat síť jako takovou. Mají se zabezpečovat jen počítače v síti (a síťové prvky, pokud mají management). Samotnou síť řešit jen proti podvrhování DHCP a ARP paketů, přílišného broadcastu atd. Zabezpečit síť by jinak byl marný boj, nebo případně riskantní pocit "máme bezpečnou síť, mohu v ní kopírovat nešifrovaně".

23.11.2014 22:00 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Odpovědět | Sbalit | Link | Blokovat | Admin

jak v síti detekovat routery, které si někdo bez dovolení přinesl … v delší časové periodě to však mlže být normální - uživatel mohl např. rebootovat do druhého systému … Další metodikou je pokus o detekci OS - zkoumá například velikost TCP okénka, výchozí TTL, nebo velikost SYN packetu. Opět je zde důležitá časová perioda - uživatel opět mohl například rebootovat.

Aha, takže uživatel si může spustit jiný OS, ale dva spuštěné současně (třeba virtualizovaně – taky s NATem) mít nemůže? S tímhle přístupem běž do háje. A pak se síťaři diví, že je uživatelé nemají rádi.

Virtualizace se hodí třeba pro izolaci aplikací, zvyšuje bezpečnost. Házet v tomhle uživatelům klacky pod nohy znamená, že tu bezpečnost naopak snižujete.

Ale znám i horší škůdce – třeba když někdo nastavil síť tak, aby čmuchala do SMTP komunikace a když narazí na něco, co se jí nelíbí (třeba STARTTLS nebo nějakou MIME hlavičku), tak shodila spojení nebo dokonce podvrhla nějakou odpověď jako že je od serveru. Případně totéž s FTP komunikací – někdy fungovala, někdy ne. Tyhle problémy se moc dobře ladí, to bych ti přál. Propálilo se na tom X hodin práce na obou stranách… A nakonec se ukázalo, že síťař zapojil do sítě nějakou „chytrou“ krabičku.

Z hlediska programátora nebo správce systému je nejlepší zabalit veškerou komunikaci do šifrovaného a podepsaného kanálu a nenechat nikoho cestou do toho strkat rypák. Člověk si ušetří spoustu problémů, které mu chtěl nějaký škůdce způsobit.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

23.11.2014 22:20 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

„chytrou“ krabičku

Narazil jsem na případ, kdy nějaká chytrá krabička si hrála na SSH proxy a povolovala pouze autentizaci heslem. Vzhledem k tomu, že server neměl povolenou autentizaci heslem, jen klíče, tak to byl trochu problém.

Heron

23.11.2014 22:55 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Na serverech přihlášení heslem prakticky vždycky vypínám a když se někam přihlašuji, tak většinou ani z hlavy nevím, jaké tam mám heslo, takže na mě by to moc nefungovalo. Ale bohužel je hodně uživatelů, u kterých bude takový MITM útok úspěšný.

BTW: tohle si dal někdo do sítě dobrovolně nebo to byl útok?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

24.11.2014 13:23 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Nebudu prozrazovat, co je to za síť, ale to si tam dali dobrovolně po té, co si za peníze z veřejných rozpočtů koupili hodně drahou krabičku od společnosti, která tu byla zmíněna, a tu zapojili dle doporučeného nastavení do sítě.

Jinak, poslední asi půl rok se dá sledovat další jev a to, že tyto sítě zakazují směr ven. Pokud tam tedy máte nějaké zařízení (které si daný zákazník objednal), tak nejenže se nedostanete dovnitř (přístupy někteří povolují jen na daný okamžik -- toto se děje už poměrně dlouho), ale také automaticky zakáží přístup onoho serveru ven. Což postihne hromadu věcí aktualizacemi počínaje a třeba správným časem konče.

Mezitím jsou samozřejmě zábavy typu filtrace SMTP, IMAPs, SSH a samozřejmě čím dál oblíbenější MITM na HTTPS (klient má podstrčený CA Root oné MITM https proxy a ta sleduje bůh ví co).

Heron

23.11.2014 22:40 R
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Cisco firewally maju nejake featury, ktore rozbijaju SMTP. Chvilu trvalo, kym som na to dosiel... Odvtedy musi byt nastavene "no fixup protocol smtp".

23.11.2014 22:51 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Cisco firewally maju nejake featury

ano, byl to ten případ…

Chvilu trvalo, kym som na to dosiel

A nejsi sám. Posčítat ten čas, který s tím lidé po celém světě museli strávit, tak to jsou celkem slušné škody.

"no fixup protocol smtp"

Zajímalo by mě, v kterém jazyce „fixup“ znamená rozbít, poškodit, narušit…

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

24.11.2014 07:59 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Zajímalo by mě, v kterém jazyce „fixup“ znamená rozbít, poškodit, narušit…

Korporátština. Je to slušný alias fuckup.

blog.rfox.eu | DREAMLAND

24.11.2014 17:47 R
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

U Cisca plati: fixup == break. Do reklamy sa potom napise "zabezpecenie SMTP".

24.11.2014 09:11 smíťa | skóre: 9 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Detekce NAT v podnikové síti

Také proto je nadpis "Detekce" a ne "Blokace", to že takového uživatele detekujeme neznamená, že ho hned blokujeme. Informace, že se v síti objevilo zařízení, které natuje je podle mě velmi podstatná informace.

S ASA firewally mám také mnoho fixup zážitků :-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: