+ Responder ao Tópico



  1. #1

    Padrão Burlando o squid - Falha de segurança ou falha do admin??

    PessoALL, eita nós aki de novo..

    Antes que tranquem meu topico.. deixa eu esclarecer uma coisa...

    Sou admin de redes.. e daqueles bem obcecados por segurança..

    gosto de testar a segurança dos outros.. e mais ainda.. testar a minha propria...

    como agora.. estou em um cliente nosso.. e nossa funçao aki.. servidor de internet...

    pra nao delongar muito.. hj fiz o seguinte...

    peguei um notebook e pluguei na switch...

    obvio q com isso quero testar a questao de alguem q tenha acesso fisico a um switch possa fazer o mesmo...

    (o motivo?? pq temos alguns zinwell g220 devidamente configurado como ap client pela cidade em locais distantes da sala do servidor.. e esses ap estao plugados numa switch bem longe daki.. dae.. alguem agora pode tah lah navegando e ateh tentando invadir minha rede e copiar dados)...

    voltando pra o teste... fiz o seguinte:

    pluguei o note na switch e tentei pegar um ip automaticamente..

    sem chance.. pq no debian amarro ip ao mac...

    entao retorna conectividade nula... otimo!!

    entao simulando q o mala tenha acesso a uma maquina cadastrada.. ele olha nas configurações da placa... o ip q esta maquina q jah eh cadastrada estah usando... assim ele descobre ip, mask, gateway e dns..

    entao peguei essas informações e coloquei no notebook mudando apenas o ip...

    detalhe..((se o cara clonar o mac vai ser mole mole... mas estou simulando apenas navega com algum ip sem uso)... ateh pq durante o expediente normal.. vai dar conflito de ip se ele usar um clone))..

    bom.. botei isso tudo no note... aih esbarrei no squid...

    aki eu faço proxy transparente.. de forma q se o mac nao for cadastrado no squid.. nao navega.. dah o tal de proibido o acesso...

    dae lembrei de um site q vi hoje.. falando sobre proxys para burlar os bloqueios de orkut feitos em empresas.. e faculdades... fui lah de outra maquina.. peguei este: 200.219.152.9 porta 8080

    que por sinal.. eh um mk.. pq digitei esse end. e vai direto pro fronted do mk em algum lugar do mundo...

    resultado.. naveguei blz... abri ateh as paginas bloqueadas aki.. como o orkut por exemplo...

    o unico inconveniente pro mala.. eh q faço controle de banda tb usando o htb... aih nas conf... botei a velocidade default pra quem nao tah previamente cadastrado o minimo possivel q eh 8... dae.. a navegação se torna horrivel... alguns sites chegam a dar erro.. mas outros mais leve abrem... o orkut por exemplo abriu.. mas nao quis testar entrar com minha senha.. nao sei o q esse proxy doido aih pode ser capaz...

    resumindo.. tem como evitar isso?? evitar q algum ip nao cadastrado se associe e navegue??

    pensei no iptables.. e botar todos os ips de minha rede de 1 por 1... e depois dah um drop no resto todo.. mas deve ser demorado pra caramba....

    enfim... estou sem sono.. alguem ae acordado??

  2. #2

    Padrão

    1- faça autenticação dos clientes (pppoe, hotspot...)
    2- configure acl no squid para aceitar somente conexoes em modo transparente.. se o cara colocar o ip e porta no browser, vai dar acesso negado

    3- so de fazer autenticação do cliente vc ja resolve mto problema..

  3. #3

    Padrão opa

    concerteza seu fire tem falhas.
    seu squid tem falhas.
    tudo pode ter falhas.
    porque aki so roda quem ta amarrado por ip e mac com iptables se o nego não clonar o mac ele nao roda.
    pode e morrer doido.
    verifica sua politica padrão
    veja os locais onde coloco as suas regras, as vezes uma fora de lugar lasca tudo.

  4. #4

    Padrão 802.1x

    Bloquear o tráfego via 8080 seria uma forma também... Certo pessoal?
    Agora se seu switch suportar 802.1x ai é outra estória cara! Ai a solução é sem falhas. Com 802.1x, logo quando vc conecta um cabo ethernet no switch abre um pop-up no sistema pedindo pra autenticar. Se a autenticação estiver ok o switch põe ele na VLAN comum ao resto da rede, se não, ele cai numa VLAN isolada q não tem acesso a rede. Dessa forma não tem jeito de burlar!
    O único inconveniente é que você vai ter que reconfigurar as máquinas dos clientes atuas pra usar 802.1x, se não ninguém navega!

  5. #5

    Padrão

    Vejamos entao...

    no meu caso.. os hosts sao maquinas desktops de uma secretaria ligada a prefeitura de uma cidade...

    fazer autenticacao nao vai tornar o processo moroso?? quero dizer... qual a real necessidade de autenticar maquinas q estao dentro do orgao??

    pq mesmo assim.. se autenticar implica em colocar senha e usuario pra todo mundo, nada impede de alguem deixar uma senha vazar...

    na verdade eu queria tentar fazer o bloqueio funcionar mais por questao de aprender do que pelo efeito de segurança...

    acho improvavel que alguem com um laptop vah tentar hackear a rede.. mas nunca se sabe...

    quanto as acls no squid.. como eu faço para ele soh aceitar modo transparente??

    Citação Postado originalmente por tianguapontocom Ver Post
    E aih?? vc poderia postar aki suas regras de squid e iptables??
    Citação Postado originalmente por Magnun Ver Post
    Meu grande entusiasta!!!!! eu vou dar uma olhada nesse lance do 802.1x... mas valeu
    um grande abraço a todos...