|
Wykryc maskarade/router
|
| lukaszkrkpl |
Dodano 18-11-2006 09:51
|
User
Posty: 11
Dołączył: 21/10/2006 10:05
|
Witam, udostepniam internet na kilka komputerow za pomoca WRT54GL z tomato 0.09.0852, mam obawy ze jeden z userow za pomoca wlasnego routera udostepnia lacze dalej.
Pytanie:
jaki jest najlatwiejszy a zarazem najpewniejszy sposob wykrycia takiego udostepniania ?
pozdrawiam
jeszcze teraz sprawidzilem wychodzace polaczenia z jego komputera
wszystkie sa z zakresu portow 62549 - 64045 wiekszosc docelowy port ma 80, jak dla mnie to jest 100% dowod na podzial lacza za pomoca routera
jezeli sie myle prosze o sprostowanie 
Edytowany przez lukaszkrkpl dnia 18-11-2006 10:24
|
| |
|
|
| robsonn |
Dodano 18-11-2006 12:13
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
A jak dla mnie dowod to zaden. Musisz obserwowac czy np. nie uzywa roznych komunikatorow, liczba programow p2p, ilosc polaczen. A najlepiej sciagnac i uzyc NATDET. To program, ktory wykrywa to czy user ma maskarade u siebie (czyli posiada NAT co najprawdopodobniej oznacza dzielenie lacza).
Jesli chcesz zapobiec dzieleniu to wpisz w skrypt firewalla ponizsza regule 
Nastepnie zapisz i zrestartuj router.
Spowoduje to iz w sieci wewnetrznej wszystkie dochodzace pakiety beda mialy TTL = 1. Jesli uzywa kompa to net bedzie dzialal, natomiast jesli to bedzie router to upusci takie pakiety i za NATem nie bedzie internetu.
Cytat
modprobe ipt_TTL
iptables -t mangle -A POSTROUTING -o vlan1 -j TTL --ttl-set 1
Edytowany przez robsonn dnia 18-11-2006 12:23
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| kobjac |
Dodano 18-11-2006 13:59
|
User
Posty: 111
Dołączył: 11/10/2006 14:54
|
wiesz co robsonn w tym skrypcie co napisałeś jest chyba jakiś błąd bo jak to wkleje w router w firewalla to nie ma wogóle netu. Mam DSL od tepsy i u mnie jest modem router i potem switch który rozdziela na kompy. I po wklejeniu tego znikł net wszędzie. Sprawdz czy nie wkradł się błąd i daj znać. Dzięki
A cały skrypt u mnie wygląda tak:
modprobe ipt_TTL
iptables -t mangle -A POSTROUTING -o vlan1 -j TTL --ttl-set 1
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto skypetoskype
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto exe
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto zip
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto rar
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto pdf
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto smtp
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto pop3
iptables -I FORWARD 4 -i vlan+ -m layer7 --l7proto http
Jak mozesz robsonn to kuknij gdzie jest błąd. Dzięki
Edytowany przez robsonn dnia 18-11-2006 15:45
Gwarek
|
| |
|
|
| robsonn |
Dodano 18-11-2006 15:47
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
Podaj jakies szczegoly - jakiego sprzetu uzywasz i gdzie wklejasz ten skrypt skoro nie masz WRT ??? Przynajmniej nic o tym nie piszesz. Podaj wiecej danych, bo skrypt jest prawidlowy, czyzbys po drodze mial jeszcze jakies proxy/router czy cus ? Jesli tak to ustaw TTL na 2
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| lukaszkrkpl |
Dodano 18-11-2006 16:10
|
User
Posty: 11
Dołączył: 21/10/2006 10:05
|
nom jest maly blad - zly interfejs
modprobe ipt_TTL
iptables -t mangle -A POSTROUTING -o br0 -j TTL --ttl-set 1
powinno byc lepiej
Edytowany przez lukaszkrkpl dnia 18-11-2006 16:12
|
| |
|
|
| kobjac |
Dodano 18-11-2006 17:28
|
User
Posty: 111
Dołączył: 11/10/2006 14:54
|
mam DSL 4000 od tepsy i po modemie który mam od nich mam zapiety wrt54gl i na nim tomato 0,9 i dalej na 1 porcie zapięty switch który rozdziela net na reszte kompów. To co wyżej napisałem wklejam w administration/scryipts i dalej w zakładke firewall. Natomiast to co podał lukaszkrkpl to chyba działa, a przynajmniej po wklejeniu wszyscy mają net tylko pytanie czy zabezpiecza przed routerem w sieci, bo tego nie mam jak sprawdzić. Dzieki
Gwarek
|
| |
|
|
| lukaszkrkpl |
Dodano 18-11-2006 18:56
|
User
Posty: 11
Dołączył: 21/10/2006 10:05
|
sprawdzic najlatwiej ---> start uruchom ---> ping www.onet.pl zobacz jaki TTL jest
ew tez ping do routera daj
pozdro |
| |
|
|
| kobjac |
Dodano 19-11-2006 10:01
|
User
Posty: 111
Dołączył: 11/10/2006 14:54
|
no ok ping na onet daje mi TTL=1 ale mam użytkownika któremu przy pingu TTL=128 czy oznacza to że ma router i jeśli tak to czy skrypt blokuje go? Jak to sprawdzić czy faktycznie blokuje go? dzięki
Gwarek
|
| |
|
|
| lukaszkrkpl |
Dodano 19-11-2006 10:56
|
User
Posty: 11
Dołączył: 21/10/2006 10:05
|
do userow z sieci lokalnej bedziesz mial ttl 128 ( windows) lub 64 (linux) bo to wewnatrz sieci jest, systemy same nadaja ttl'a |
| |
|
|
| Dziadek |
Dodano 19-11-2006 13:04
|
Super User
Posty: 476
Dołączył: 10/08/2006 19:43
|
Cytat robsonn napisał/a:
A najlepiej sciagnac i uzyc NATDET. To program, ktory wykrywa to czy user ma maskarade u siebie (czyli posiada NAT co najprawdopodobniej oznacza dzielenie lacza).
To jest dokładnie to, czego nam potrzeba, ale czy da się ten program zainstalować na WRT?
A jeśli nie, to gdzie go zainstalować?
Moja siec wygląda następująco:
modem -- router/serwer (linux) -- WRT54G -- switch -- komputery użytkowników.
Na serwerze mam konto użytkownika (i wiedze na temat linuksa też na tym poziomie), więc wolałbym ten program zainstalować gdzieś indziej, gdyby tylko się dało.
Czy ewentualnie sprawę załatwiłoby wstawienie huba pomiędzy switcha, a WRT oraz podpięcie do niego mojego kompa z zainstalowanym NATDet? |
| |
|
|
| robsonn |
Dodano 19-11-2006 13:15
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
Cytat To jest dokładnie to, czego nam potrzeba, ale czy da się ten program zainstalować na WRT?
Na pewno nie skompilowac bo na WRT narzedzia kompilacyjne sa wyciete, ze wzgledu na oszczednosc miejsca. Musialbys skompilowac to podobnie jak soft broadcomu. Ale zasadniczo z ich stronki mozna sciagnac program pod windowsa lub zrodlo pod linucha.
Cytat A jeśli nie, to gdzie go zainstalować?
Moja siec wygląda następująco:
modem -- router/serwer (linux) -- WRT54G -- switch -- komputery użytkowników.
J/w mozesz programik odpalac z poziomu linnii polecen w windowsie lub zapakowac i skompilowac na linuchu.
Nie musisz nic wpinac i zmieniac. NatDet analizuje pakiety SYN pochodzace z roznych hostow i na podtsawie tego wykrywa.
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| Dziadek |
Dodano 20-11-2006 23:32
|
Super User
Posty: 476
Dołączył: 10/08/2006 19:43
|
Cytat robsonn napisał/a:
J/w mozesz programik odpalac z poziomu linnii polecen w windowsie
Tak właśnie mam zamiar robić.
Czy do sniffowania należy włączać PROMISC mode?
Cytat Nie musisz nic wpinac i zmieniac. NatDet analizuje pakiety SYN pochodzace z roznych hostow i na podtsawie tego wykrywa.
Czy należy rozumieć, ze pakiety SYN nie są routowane, lecz są rozgłaszane po całej sieci?
Dopytuję się, bo jak na razie nic mi sie jeszcze nie udało wychwycić i wolałbym mieć pewność, ze mam to wszystko dobrze skonfigurowane, a na stronach programu nie mogę się tych szczegółów doczytać. |
| |
|
|
| lukaszkrkpl |
Dodano 01-12-2006 20:12
|
User
Posty: 11
Dołączył: 21/10/2006 10:05
|
Odswieze troche temat. Moje przypuszczenia byly prawdziwe - pacjent postawil sobie routerek
Sam sie zglosil ze net nie dziala.... ( wyciete porty 60k - 65k ), jednak dziwne jest ze programy typu p0f niczego nie wykryly.... choc byly odpalone przez kilka dni
pozdrawiam |
| |
|
|
| robsonn |
Dodano 02-12-2006 17:33
|
OL Maniac
Posty: 1337
Dołączył: 04/03/2006 13:35
|
lukaszkrkpl - z ciekawości zapytam co ci dało wycięcie tylko wysokich portów (60-65k)? Czyżby tylko na nich szedł ruch od tego klienta?
Tomato ... since 0.01
WRT54G v2.2 Tomato 1.10 Turbo
WRT54GL v1.0 Tomato 1.07 Turbo
PAP2 NA v1.0 Stock firmware 3.1.5(LS) + IPFON
WPC11B v4.0 modded peek drivers
[b]WRT54 Script Generator - obowi?zkowe narz?dzie ka?dego Link
|
| |
|
|
| lukaszkrkpl |
Dodano 02-12-2006 21:28
|
User
Posty: 11
Dołączył: 21/10/2006 10:05
|
Cytat robsonn napisał/a:
lukaszkrkpl - z ciekawości zapytam co ci dało wycięcie tylko wysokich portów (60-65k)? Czyżby tylko na nich szedł ruch od tego klienta?
tak, dokladnie tak bylo WSZYSTKIE polaczenia byly z zakresu tych wycietych portow, zapytalem googla co o tym mysli i powiedzial ze to maskarada pewnie jest - jak sie okazalo mial racje
pozdrawiam |
| |
|
|
| Dziadek |
Dodano 03-12-2006 00:47
|
Super User
Posty: 476
Dołączył: 10/08/2006 19:43
|
Cytat lukaszkrkpl napisał/a:
jednak dziwne jest ze programy typu p0f niczego nie wykryly.... choc byly odpalone przez kilka dni
Ja miałem ten sam problem z programem NATdet.
Najpierw odpaliłem go na swoim desktopie podpiętym do switcha, ale nic nie wykrył.
Swoją konfiguracje sieci opisywałem w poście z dnia 19.11.
Tak jak wówczas planowałem, wpiąłem huba pomiędzy WRT i linuxowy serwer, a swojego desktopa podpiąłem do tego huba.
Niestety, też bez żadnego efektu, chociaż NATdet powinien mi wykryć przynajmniej dzielenie łącza na moim własnym WRT!
Na komputerze mam zainstalowany WinPcap, czyli wymóg posiadania bibliotek WinPcapa chyba też jest spełniony.
Prawdopodobnie coś robie źle, ale nie mam pojęcia, co!
A może ten NATdet musi być odpalony na takim komputerze, który routuje pakiety?
Cytat Sam sie zglosil ze net nie dziala.... ( wyciete porty 60k - 65k )
A jak wyciąłeś te porty? Bo AFAIK WRT chyba umożliwia blokowanie tylko numerów portów zdalnych?
Edytowany przez Dziadek dnia 03-12-2006 01:15
|
| |
|
|
| lukaszkrkpl |
Dodano 03-12-2006 11:10
|
User
Posty: 11
Dołączył: 21/10/2006 10:05
|
Cytat Sam sie zglosil ze net nie dziala.... ( wyciete porty 60k - 65k )
A jak wyciąłeś te porty? Bo AFAIK WRT chyba umożliwia blokowanie tylko numerów portów zdalnych?[/quote]
dodalem regulke w Access Restriction
zaznacz : all day, everyday
wpisz ip kompa do wyciecia portow
zaznacz tcp/udp, w src port wpisz 60000-65000 ( ja dalem src or dst) ale wystarczy same zrodlowe
ps. mialem tez regulke do ustawiania ttl'a na 1, ale chyba sobie gosciu sam na routerze poradzil z tym |
| |
|
' target='_blank'>Link
