IP_SherlockHomes

[Steve]

Lazar Zoltan írta:
> Sziasztok,
>
> Adva van egy kb 150 gepbol allo halozat ,windowsokkal,2000,XP.
> Mindegyik gepnek neve van,igy beazonosithato.Ebbol a 150-bol kb 20-nak van 
> kilepese az internetre.A szures tobbek kozott ip cim alapjan.
> A maradt 130 gep valamelyikenel,valaki cserelgeti az ip cimet,mert neha IP 
> conflict-ot ad a 20-bol valamelyik gep,veletlenszeruen.
> Nem tudom beazonositani melyik geprol jon a "ta'madas".
> Tudtok-e olyan programrol,amelyik segitsegevel ezt meg tudnam 
> oldani....tehat kiirna a gep nevet ahonnan indult az masodik ugyanolyan ip.
>  Nem baj,ha ingyenes :-).
> Koszonom.
> Udv: Zoli
>
>
>   
Én nem csak IP-re hanem MAC-cím/IP-cím párosra szűrök alapból!
Egy mezei lúzerjúzer úgy sem tud MAC-címet hamisítani :)
Ha mégis te ez ellen nem tehetsz semmit sem!
Hacsak nem minden gépet egy különálló fizikai hálókártyára dugsz fel, de 
ilyen gép nincs ami ennyi kártyát kezelne ésszerű kerreteken belül!
Vagy használsz bazi drága switcheket, amik az egyes portjaikon tudnak 
ilyen szűrést végezni, de ez aranyár :)))))

A másik ha cserélgeti az IP címét, akkor -gondolom- úgyis csak azokra 
cserélné le, ami kimehet az internetre. :)

Vagy azt csinálod, hogy samba-zol (felhasználó azonosítás), vagy ha 
"csak" tűzfal van -gondolom linux alapú-, akkor proxyzni mindent és a 
proxyn végezni a felhasználói azonosítást. Én alapból proxyzom a DNS, 
HTTP, FTP, NTP kéréseket. UPnP és DHCP alapból tiltva van. Fixen 
bedrótozott hálózat esetében könnyebb az ilyesfajta nyomkövetés :) 
Mondjuk egy dinamikusan változó hálózatot nehezebb így karban- és 
naprakészen tartani az biztos, de ezt döntse el mindenki maga 
kénye-kedve-ideje szerint. :)

Aztán lehet még használni az arpwatch nevű progit (debian, ubuntu 
disztribekben alapban benne van), ami figyeli a mac-cím változásokat és 
akár levelet is küld a root felhasználónak. Ebből meg már könnyedén ki 
lehet deríteni a csaló ip címét, rögzíted az aktuális arp táblákat, 
abban ugye benne van a mac/ip páros és változásokat keresel, de mindezt 
az arpwatch elvégzi helyetted.

Egy biztos, amikor megfogtam az embert, keményen rálépnék a tökére, hogy 
mit képzel magáról, letörném a kezét, lábát.
Nálunk ez megengedhetetlen, mivel rádióról lévén szó ez azonnali 
adásszünetet is eredményezhet, ezért még ki is rugatnám az embert, nem 
érdekelne, hogy ki volt és miért tette :)
Akárhogy is nézem, erősen visszaélés kategória vagy belső támadás, 
hackerkedés, amit a törvény is büntet.....szóval.....
A kár amit ezzel okoz(hat) kemény pénz és/vagy presztizs veszteség ugyebár.
Örülhet, hogy egy kirúgással és/vagy fizetéslevonással megússza :)))

ui.: bocsi ha keménynek tűnök, de nem ártana már ebbe a nyamvadt 
országba egy alaposabb biztonságtechnikai morált létrehozni, felépíteni 
éééés nem utolsó sorban betartatni a lúzer júzerekkel!!!
A lúzer júzerek között is vannak természetesen kivételek, tőlük 
utólagosan is elnézést kérek, és persze rájuk nem vonatkoznak a fentebb 
leírtak :DDDD

mindenkinek minden jót és sok sikert!

üdv.
Steve