Visite também:
Br-Linux ·
VivaOLinux ·
LinuxSecurity ·
Dicas-L ·
NoticiasLinux ·
SoftwareLivre.org ·
[mais]
|
|||||||
| Wiki | Classificados | Galeria | Reviews | Jogos | Comunidades | RSS Feeds | FAQ | Termos de Uso | Sobre |
| Cadastre-se | Fotos | Blogs | Lista de Membros | Calendário | Pesquisar | Mensagens de Hoje | Marcar Fóruns Como Lidos |
Burlando o squid - Falha de segurança ou falha do admin??
 |
|
|
LinkBack | Opções do Tópico |
05-05-2008, 23:04
|
#1 (permalink) |
Burlando o squid - Falha de segurança ou falha do admin??
PessoALL, eita nós aki de novo..
Antes que tranquem meu topico.. deixa eu esclarecer uma coisa... Sou admin de redes.. e daqueles bem obcecados por segurança.. gosto de testar a segurança dos outros.. e mais ainda.. testar a minha propria... como agora.. estou em um cliente nosso.. e nossa funçao aki.. servidor de internet... pra nao delongar muito.. hj fiz o seguinte... peguei um notebook e pluguei na switch... obvio q com isso quero testar a questao de alguem q tenha acesso fisico a um switch possa fazer o mesmo... (o motivo?? pq temos alguns zinwell g220 devidamente configurado como ap client pela cidade em locais distantes da sala do servidor.. e esses ap estao plugados numa switch bem longe daki.. dae.. alguem agora pode tah lah navegando e ateh tentando invadir minha rede e copiar dados)... voltando pra o teste... fiz o seguinte: pluguei o note na switch e tentei pegar um ip automaticamente.. sem chance.. pq no debian amarro ip ao mac... entao retorna conectividade nula... otimo!! entao simulando q o mala tenha acesso a uma maquina cadastrada.. ele olha nas configurações da placa... o ip q esta maquina q jah eh cadastrada estah usando... assim ele descobre ip, mask, gateway e dns.. entao peguei essas informações e coloquei no notebook mudando apenas o ip... detalhe..((se o cara clonar o mac vai ser mole mole... mas estou simulando apenas navega com algum ip sem uso)... ateh pq durante o expediente normal.. vai dar conflito de ip se ele usar um clone)).. bom.. botei isso tudo no note... aih esbarrei no squid... aki eu faço proxy transparente.. de forma q se o mac nao for cadastrado no squid.. nao navega.. dah o tal de proibido o acesso... dae lembrei de um site q vi hoje.. falando sobre proxys para burlar os bloqueios de orkut feitos em empresas.. e faculdades... fui lah de outra maquina.. peguei este: 200.219.152.9 porta 8080 que por sinal.. eh um mk.. pq digitei esse end. e vai direto pro fronted do mk em algum lugar do mundo... resultado.. naveguei blz... abri ateh as paginas bloqueadas aki.. como o orkut por exemplo... o unico inconveniente pro mala.. eh q faço controle de banda tb usando o htb... aih nas conf... botei a velocidade default pra quem nao tah previamente cadastrado o minimo possivel q eh 8... dae.. a navegação se torna horrivel... alguns sites chegam a dar erro.. mas outros mais leve abrem... o orkut por exemplo abriu.. mas nao quis testar entrar com minha senha.. nao sei o q esse proxy doido aih pode ser capaz... resumindo.. tem como evitar isso?? evitar q algum ip nao cadastrado se associe e navegue?? pensei no iptables.. e botar todos os ips de minha rede de 1 por 1... e depois dah um drop no resto todo.. mas deve ser demorado pra caramba.... enfim... estou sem sono.. alguem ae acordado??
__________________
---------------------------------------------------  Tal como eh acima, eh abaixo. Maktub!
|
 
Registrado em: Jun 2007
Localização: Bahia
Mensagens: 87
Agradeceu: 14
Agradecido 18 vez(es) em 17 Posts
Reputação: 41
 |
|
|
06-05-2008, 0:22
|
#2 (permalink) |
|
1- faça autenticação dos clientes (pppoe, hotspot...)
2- configure acl no squid para aceitar somente conexoes em modo transparente.. se o cara colocar o ip e porta no browser, vai dar acesso negado 3- so de fazer autenticação do cliente vc ja resolve mto problema..
__________________
Sds. Alexandre Correa Onda Internet / OPinguim Web Hosting www.ondainternet.com.br www.opinguim.net Blog http://alexandrecorrea.under-linux.org/ Consultoria Redes, Servidores, Linux, Mikrotik, IkarusOS, StarOS NÃO faça pergunta via mensagem privada, poste sua dúvida no forum. Aprenda a usar o forum, dica by Hitler: http://www.youtube.com/watch?v=8zFYt1_0FUE Leia o FAQ UnderLinux !!!!! http://under-linux.org/wiki/index.ph...Linux_Wiki:FAQ
  |
Super Moderador
Registrado em: Feb 2006
Localização: Minas Gerais
Idade: 25
Mensagens: 3.650
Agradeceu: 13
Agradecido 498 vez(es) em 414 Posts
Envios no Blog: 3
Reputação: 451
 |
|
|
| Os seguintes usuarios agradeceram alexandrecorrea por este post: | eugeniomarques (12-05-2008) |
|
06-05-2008, 1:16
|
#3 (permalink) |
|
opa
concerteza seu fire tem falhas.
seu squid tem falhas. tudo pode ter falhas. porque aki so roda quem ta amarrado por ip e mac com iptables se o nego não clonar o mac ele nao roda. pode e morrer doido. verifica sua politica padrão veja os locais onde coloco as suas regras, as vezes uma fora de lugar lasca tudo.
__________________
Emanuel |
 
Registrado em: Jul 2005
Localização: Ceará
Distribuição: SlackWare
Idade: 26
Mensagens: 463
Agradeceu: 2
Agradecido 22 vez(es) em 22 Posts
Reputação: 88
 |
|
|
| Os seguintes usuarios agradeceram tianguapontocom por este post: | eugeniomarques (12-05-2008) |
|
06-05-2008, 20:19
|
#4 (permalink) |
|
802.1x
Bloquear o tráfego via 8080 seria uma forma também... Certo pessoal?
Agora se seu switch suportar 802.1x ai é outra estória cara! Ai a solução é sem falhas. Com 802.1x, logo quando vc conecta um cabo ethernet no switch abre um pop-up no sistema pedindo pra autenticar. Se a autenticação estiver ok o switch põe ele na VLAN comum ao resto da rede, se não, ele cai numa VLAN isolada q não tem acesso a rede. Dessa forma não tem jeito de burlar! O único inconveniente é que você vai ter que reconfigurar as máquinas dos clientes atuas pra usar 802.1x, se não ninguém navega! |
Autor
Registrado em: Nov 2006
Localização: Distrito Federal
Distribuição: Ubuntu 8.04
Mensagens: 438
Agradeceu: 103
Agradecido 63 vez(es) em 61 Posts
Reputação: 93
|
|
|
| Os seguintes usuarios agradeceram Magnun por este post: | eugeniomarques (12-05-2008) |
|
12-05-2008, 13:54
|
#5 (permalink) | ||
|
Vejamos entao...
no meu caso.. os hosts sao maquinas desktops de uma secretaria ligada a prefeitura de uma cidade... fazer autenticacao nao vai tornar o processo moroso?? quero dizer... qual a real necessidade de autenticar maquinas q estao dentro do orgao?? pq mesmo assim.. se autenticar implica em colocar senha e usuario pra todo mundo, nada impede de alguem deixar uma senha vazar... na verdade eu queria tentar fazer o bloqueio funcionar mais por questao de aprender do que pelo efeito de segurança... acho improvavel que alguem com um laptop vah tentar hackear a rede.. mas nunca se sabe... quanto as acls no squid.. como eu faço para ele soh aceitar modo transparente?? Citação:
Citação:
__________________
--------------------------------------------------- Tal como eh acima, eh abaixo. Maktub!
|
Registrado em: Jun 2007
Localização: Bahia
Mensagens: 87
Agradeceu: 14
Agradecido 18 vez(es) em 17 Posts
Reputação: 41
|
||
|
|
|
| Tags |
| bloqueio de acesso, restição de rede |
| Opções do Tópico | |
|
|
Tópicos Similares
|
||||
| Tópico | Tópico Iniciado Por | Fórum | Respostas | Última Mensagem |
| Falha de Segurança? | alancp | Mikrotik Hotspot | 10 | 15-03-2008 21:46 |
| Possível Falha de segurança | VirTualLoPeZ | Adm. em Geral | 6 | 05-10-2006 9:53 |
| Falha de Segurança no Slackware | ft_xavier | Segurança | 4 | 08-04-2005 14:25 |
| Falha de Seguranca!!! | Michael | Proxy/NAT/Firewall | 24 | 20-11-2004 10:54 |
| Falha no phpadmin (segurança) | Visitante | Bind/Named/Djbdns | 0 | 03-09-2004 1:18 |
Horários baseados na GMT -3. Agora são 19:47.
Powered by vBulletin®
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd
SEO by vBSEO 3.2.0 ©2008, Crawlability, Inc.
