Portál AbcLinuxu, 13. května 2025 22:50

Dotaz: ako identifikovať škodca?

29.9.2005 19:04 secido
ako identifikovať škodca?
Přečteno: 107×
Odpovědět | Admin
Máme rozbehanú wifi sieť, v ktorej má každý komponent vlastnú ip-adresu (jedna sieť 192.168.1.0/24) a ap-čka bežia v móde bridge. Zistil som, že tam máme čierneho pasažiera, len je problém identifikovať, kam presne sa pripája. Skoro každý používateľ má vlastné ap (v režime klient), ktorého mac adresa je povolená na ap (bridge) vyššej úrovne. Neviem však ako odsledovať, že sa tam nepripojí niekto ďalší. Na routeri (je tam linux podobne ako vo všetkých ap) vidím, že tam niekto je. Ako ho mám lokalizovať?
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

29.9.2005 19:21 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: ako identifikovať škodca?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Bude to trošku offtopic, ale to je takovej problém ty APčka zabezpečit, aby k tomu nemohlo dojít (WEP nebo ještě líp WPA, closed MAC policy, případně ověřování proti RADIUS serveru)?

Jinak na vyřešení tvýho problému asi bude potřeba znát víc informací (zejména konkrétní konfiguraci a vybavení), bez toho ti těžko někdo pomůže.
29.9.2005 19:31 secido
Rozbalit Rozbalit vše Re: ako identifikovať škodca?
No nie je to až také jednoduché, wep sa dá prelomiť, mac adresy sa filtrujú na wireless strane a nie na tých ap u zakazníkov. Tam si ktokoľvek môže hodiť switch a basta. Môj problém nie je ako ho zablokovať, to je maličkosť. Ja potrebujem zistiť, kde sa pripája a kto to je - chápeš potenciálny klient :-). Konfiguráciu sem môžem hodiť, lenže neviem, čo konkrétne treba.
29.9.2005 19:39 D-Evil | skóre: 25 | Praha
Rozbalit Rozbalit vše Re: ako identifikovať škodca?
No pokud je připojenej někde u zákazníka, tak buď někde ukrad IP adresu, nebo je za NATem.

Pokud má vlastní adresu a ty jí znáš, asi ti pomůže traceroute.

Pokud adresu neznáš, začni logovat provoz v iptables na nejbližším routeru.

Pokud je za NATem, asi toho moc nezjistíš.
29.9.2005 19:53 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: ako identifikovať škodca?
Pokud znáš jeho ipadresu tak by mohlo pomoct trochu si zahrát s etherealem (logování na oblíbený e-mail, psaní do diskusí, ....)
30.9.2005 09:54 secido
Rozbalit Rozbalit vše Re: ako identifikovať škodca?
Ip adresu poznám a už som sa aj hral s etherealom (teda tcpdumpom). Traceroute nepomôže, lebo medzi ním a mnou žiadny router nie je a nepoužíva ani NAT. Rozmýšľal som, že ako zistiť jeho mac adresu. V arp tabuľke je len mac adresa najbližšieho ap. Dá sa to vôbec?
30.9.2005 11:01 petr_p
Rozbalit Rozbalit vše Re: ako identifikovať škodca?
Ted v tom mam gulas. Nejdriv rikate, ze mezi vasim routerem a zaskodnikem neni zadny router, tudiz musi byt cela sit switchovana (smerovani na L2 vrstve) a tudiz musite videt MAC adresy vsech klientu, vcetne zaskodnika.

Na druhou stranu tvrdite, ze vidite MAC adresu nejblizsiho AP. Pak ale AP nebridguje, anybrz routuje (a v tom pripade to AP musi znat MAC i IP zaskodnika a staci si vypsat ARP cache na AP). Tak jak to tedy je?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.