Hi,

Ich habe hier ein relativ großes, unübersichtliches Netzwerk. Dieses soll so nach und nach vor allem noch vor internen ungewollten Aktionen geschützt werden (von außen ist es sicher). Dazu ist ein IDS (Snort) geplant, was aber durch mehrfaches Switching auch ein Problem ist, oder? Was habe ich noch für Möglichkeiten? Es ist hier kein Problem einen Laptop mitzubringen, oder einen anderen Rechner zu benutzen. Die Server sind relativ sicher, aber es geht mir vor allem um die Mitarbeiter-Rechner (fast alle verschiedene Windows-Maschinen), leider keine Domäne und jeder ist selber für seinen Rechner verantwortlich.

Also zuerst wollte ich mal sicherstellen, daß nur bestimmte Rechner ins Internet können. Dazu wollte ich auf der Firewall (iptables) eine neue Kette anlegen, wo die MAC-Adressen verglichen werden, und dann jedes akzeptierte Paket nochmal da durch "jagen". Ist das so sinnvoll, oder spricht das was gegen bzw. gibt es ne bessere Lösung? Der Rechner sollte schnell genug sein.

Beispiel:
$IPTABLES -N ok
$IPTABLES -A ok -m mac --mac-source 00:50:AB:CD:EF:12:G8 -j ACCEPT
$IPTABLES -A ok -j DROP

$IPTABLES -A FORWARD -i $INT -o $DMZ -p TCP --sport $p_high --dport http -m state --state NEW -j ok


Hoffe Ihr habt noch paar Tips.
Danke, Gruß Swen

edit: hab den Betreff nur etwas geändert ...

*schieb*
Hat da keiner einen Tip? Das glaub ich ja eigentlich nicht. Hab mich da bestimmt bißl blöd ausgedrückt. :(

die regeln, die du gepostet hast, sind für den anfang okay (baust du ja sicher noch aus - prinzip ist in ordnung)

auf MAC basis ist schone eine gute idee zu filtern, nur mache ich mir über das MAC Spoofing gedanken, wodurch ein "angreifer" deine fw-rules aushebeln könnte (ARP tabelle auf DHCPD kontrollieren)

ich würde das ganze dann noch auf einer höheren ebene ansiedeln (proxy) und IP's auch noch mit einbeziehen
denn: der client kann zwar so auch den dhcpd täuschen, muss aber, um ins internet zu kommen, eine gültige IP zugewiesen bekommen

bindest du nun noch MAC->IP (dhcpd.conf), muss er die korrekte MAC kennen, um eine gültige IP zu bekommen, die für das internet freigeschalten ist

snort sollte, wenn möglich, immer auf einer zentralen "vermittlungsstelle" im netz fungieren (FW,...) , damit es allen traffic registrieren kann

hoffe, es war nicht zu "undurchsichtig"

greez

@emba
Dank Dir, und es ist nicht zu undurchsichtig :)

2 Problemchen hab ich noch:

1. Es sind schon ne Menge Rechner hier. Da heißt jedes akzeptierte Paket muß unter Umständen viele Regeln mehr durchlaufen (MAC-Kette). Wird die Verbindung dadurch sehr langsam, oder fällt das nicht ins Gewicht?

2. Snort auf oder gleich hinter der Firewall ist klar. Mir geht es aber hauptsächlich darum mitzubekommen was in meinem Netz passiert (Gegen "Angriffe" von außen halte ich es für sicher). Was hab ich da für Möglichkeiten? Wie gesagt, es ist sehr unübersichtlich und geht über mehrere Gebäude mit vielen Switches.

Gruß Swen

hi

zu 1)
diese frage tauch oft in der netfilter mailinglist auf
entweder du durchsuchst sie mal, oder nimmst mit meiner (sicher nicht vollständigen erklärung) vorlieb

wenn du die regeln ordentlich und sinnvoll einrichtest, sowie nicht viele resourcennehmende module (string-match, ...) nutzt, sollte sich der performanceverlust in grenzen halten
sprich: die firewall/kernel verarbeitet entweder das paket oder dropt es, wenn sie keine verbindungen mehr annehmen kann

desweiteren kommt es oft dazu, dass contrack-einträge gelöscht werden, weil der allokierte speicher dafür nicht ausreicht -> ergo kommt es zu verbindungsabbrüchen bzw. verzögerungen, wenn der client neu aufbauen muss

ich meine aber mal gelesen zu haben, dass bei einem P3@800 400 Rules und mehr zu keinem nennenswerten performanceeinbruch führten

zu 2) nun, das wird schwierig, denn wenn die clients direkt miteinander kommunizieren, kannst du den traffic über (normale) switches nicht mitloggen/auswerten - bsp., wenn ein client den anderen scannt
snort ist nur sinnvoll als IDS auf servern, das hat mit dem "auswerten" des traffics im internen netz nur wenig zu tun

um was geht es dir genau?
P2P, scans, ... ??

du könntest weniger den traffic analysieren ( macht eh kaum sinn in einem großen LAN und ist rechtlich gesehen auch in der "grauzone"), und mehr den traffic schon auf den switches begrenzen mit einfachen filtern

greez

Hi emba,

Du hast mir schon sehr geholfen! Der Firewall-Rechner ist schneller (Athlon XP 1700+, 512 MB RAM), allerdings ist das hier auch nicht DSL (100Mbit?).

um was geht es dir genau?
Mir geht es nicht darum die Mitarbeiter zu überwachen, die sollen hier machen was Sie wollen ;) . Es geht mir darum, daß sich nicht jemand mit Laptop hier einfach anstöpseln kann, und Daten von unvorsichtigen Mitarbeitern klaut.

Aber dagegen werde ich wohl nichts machen können, und es bleibt meine Aufgabe regelmäßig die Rechner zu überprüfen und dann diejenigen aufzuklären.

Gruß Swen

nope

dagegen kannst du solang nix machen, bis du nicht selbst jeden client angefasst hast

du könntest höchstens den neu ins netz gebrachten clients ein anderes subnet (meinetwegen auch mittels VLAN auf den switches) geben, damit sie nicht direkt mit den clients in deinem netz kommunizieren können

mittels eines scripts könntest du dann jeden tag prüfen, wer in deinem netz ist (broadcast-ping) und diese antwortenten IP`s mit deiner dhcp datenbank abgleichen, ob die IP's auch zu den MAC gehören

voraussetzung: alle clients in deinem netz werden mit dhcp versorgt

hintergrund: nicht jeder soll sich mittels einer statischen adresse in dein netz einklinken dürfen

das ist vllt. nicht die sauberste variante, aber schonmal ein denkanstoss

greez

Hi,


mittels eines scripts könntest du dann jeden tag prüfen, wer in deinem netz ist (broadcast-ping) und diese antwortenten IP`s mit deiner dhcp datenbank abgleichen, ob die IP's auch zu den MAC gehören

schau dir mal das (http://www.securityfocus.com/tools/142) an. Das Tool macht genau das, was emba vorgeschlagen hat.
Lustig ist es nur bei Notebooks, wenn diese einmal mit und einmal ohne Dockingstation im Netz arbeiten. ;)

Genau sowas hab ich gesucht. Mal sehen wie's funktioniert.

Gruß Swen

Nette Idee - Nettes Tool:)

@swen1

Poste bitte wie´s (ob´s) funktioniert.
Interessiert mich auch - hab aber im Moment leider kaum Zeit...

Thank´s
cane

@cane
ich kann dir sagen, dass tool funktioniert. Nur die Frage mit dem wie hab ich nicht verstanden, es funktioniert genau so wie auf der Webseite angegeben.