+ Responder ao Tópico



  1. PessoALL, eita nós aki de novo..

    Antes que tranquem meu topico.. deixa eu esclarecer uma coisa...

    Sou admin de redes.. e daqueles bem obcecados por segurança..

    gosto de testar a segurança dos outros.. e mais ainda.. testar a minha propria...

    como agora.. estou em um cliente nosso.. e nossa funçao aki.. servidor de internet...

    pra nao delongar muito.. hj fiz o seguinte...

    peguei um notebook e pluguei na switch...

    obvio q com isso quero testar a questao de alguem q tenha acesso fisico a um switch possa fazer o mesmo...

    (o motivo?? pq temos alguns zinwell g220 devidamente configurado como ap client pela cidade em locais distantes da sala do servidor.. e esses ap estao plugados numa switch bem longe daki.. dae.. alguem agora pode tah lah navegando e ateh tentando invadir minha rede e copiar dados)...

    voltando pra o teste... fiz o seguinte:

    pluguei o note na switch e tentei pegar um ip automaticamente..

    sem chance.. pq no debian amarro ip ao mac...

    entao retorna conectividade nula... otimo!!

    entao simulando q o mala tenha acesso a uma maquina cadastrada.. ele olha nas configurações da placa... o ip q esta maquina q jah eh cadastrada estah usando... assim ele descobre ip, mask, gateway e dns..

    entao peguei essas informações e coloquei no notebook mudando apenas o ip...

    detalhe..((se o cara clonar o mac vai ser mole mole... mas estou simulando apenas navega com algum ip sem uso)... ateh pq durante o expediente normal.. vai dar conflito de ip se ele usar um clone))..

    bom.. botei isso tudo no note... aih esbarrei no squid...

    aki eu faço proxy transparente.. de forma q se o mac nao for cadastrado no squid.. nao navega.. dah o tal de proibido o acesso...

    dae lembrei de um site q vi hoje.. falando sobre proxys para burlar os bloqueios de orkut feitos em empresas.. e faculdades... fui lah de outra maquina.. peguei este: 200.219.152.9 porta 8080

    que por sinal.. eh um mk.. pq digitei esse end. e vai direto pro fronted do mk em algum lugar do mundo...

    resultado.. naveguei blz... abri ateh as paginas bloqueadas aki.. como o orkut por exemplo...

    o unico inconveniente pro mala.. eh q faço controle de banda tb usando o htb... aih nas conf... botei a velocidade default pra quem nao tah previamente cadastrado o minimo possivel q eh 8... dae.. a navegação se torna horrivel... alguns sites chegam a dar erro.. mas outros mais leve abrem... o orkut por exemplo abriu.. mas nao quis testar entrar com minha senha.. nao sei o q esse proxy doido aih pode ser capaz...

    resumindo.. tem como evitar isso?? evitar q algum ip nao cadastrado se associe e navegue??

    pensei no iptables.. e botar todos os ips de minha rede de 1 por 1... e depois dah um drop no resto todo.. mas deve ser demorado pra caramba....

    enfim... estou sem sono.. alguem ae acordado??

  2. 1- faça autenticação dos clientes (pppoe, hotspot...)
    2- configure acl no squid para aceitar somente conexoes em modo transparente.. se o cara colocar o ip e porta no browser, vai dar acesso negado

    3- so de fazer autenticação do cliente vc ja resolve mto problema..



  3. concerteza seu fire tem falhas.
    seu squid tem falhas.
    tudo pode ter falhas.
    porque aki so roda quem ta amarrado por ip e mac com iptables se o nego não clonar o mac ele nao roda.
    pode e morrer doido.
    verifica sua politica padrão
    veja os locais onde coloco as suas regras, as vezes uma fora de lugar lasca tudo.

  4. Bloquear o tráfego via 8080 seria uma forma também... Certo pessoal?
    Agora se seu switch suportar 802.1x ai é outra estória cara! Ai a solução é sem falhas. Com 802.1x, logo quando vc conecta um cabo ethernet no switch abre um pop-up no sistema pedindo pra autenticar. Se a autenticação estiver ok o switch põe ele na VLAN comum ao resto da rede, se não, ele cai numa VLAN isolada q não tem acesso a rede. Dessa forma não tem jeito de burlar!
    O único inconveniente é que você vai ter que reconfigurar as máquinas dos clientes atuas pra usar 802.1x, se não ninguém navega!



  5. Vejamos entao...

    no meu caso.. os hosts sao maquinas desktops de uma secretaria ligada a prefeitura de uma cidade...

    fazer autenticacao nao vai tornar o processo moroso?? quero dizer... qual a real necessidade de autenticar maquinas q estao dentro do orgao??

    pq mesmo assim.. se autenticar implica em colocar senha e usuario pra todo mundo, nada impede de alguem deixar uma senha vazar...

    na verdade eu queria tentar fazer o bloqueio funcionar mais por questao de aprender do que pelo efeito de segurança...

    acho improvavel que alguem com um laptop vah tentar hackear a rede.. mas nunca se sabe...

    quanto as acls no squid.. como eu faço para ele soh aceitar modo transparente??

    Citação Postado originalmente por tianguapontocom Ver Post
    E aih?? vc poderia postar aki suas regras de squid e iptables??
    Citação Postado originalmente por Magnun Ver Post
    Meu grande entusiasta!!!!! eu vou dar uma olhada nesse lance do 802.1x... mas valeu
    um grande abraço a todos...






Tópicos Similares

  1. Falha de Segurança no Slackware
    Por ft_xavier no fórum Segurança
    Respostas: 4
    Último Post: 08-04-2005, 13:25
  2. Falhas de Segurança
    Por no fórum Segurança
    Respostas: 2
    Último Post: 24-02-2005, 17:49
  3. Falha de Seguranca!!!
    Por Michael no fórum Servidores de Rede
    Respostas: 24
    Último Post: 20-11-2004, 09:54
  4. Falhas de segurança
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 12-06-2003, 20:52
  5. Roteadores CISCO com falha de segurança
    Por dboom no fórum Redes
    Respostas: 1
    Último Post: 24-02-2003, 20:50

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L