Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables: Inet nur für einige MAC + Netzwerk schützen
Hi,
Ich habe hier ein relativ großes, unübersichtliches Netzwerk. Dieses soll so nach und nach vor allem noch vor internen ungewollten Aktionen geschützt werden (von außen ist es sicher). Dazu ist ein IDS (Snort) geplant, was aber durch mehrfaches Switching auch ein Problem ist, oder? Was habe ich noch für Möglichkeiten? Es ist hier kein Problem einen Laptop mitzubringen, oder einen anderen Rechner zu benutzen. Die Server sind relativ sicher, aber es geht mir vor allem um die Mitarbeiter-Rechner (fast alle verschiedene Windows-Maschinen), leider keine Domäne und jeder ist selber für seinen Rechner verantwortlich.
Also zuerst wollte ich mal sicherstellen, daß nur bestimmte Rechner ins Internet können. Dazu wollte ich auf der Firewall (iptables) eine neue Kette anlegen, wo die MAC-Adressen verglichen werden, und dann jedes akzeptierte Paket nochmal da durch "jagen". Ist das so sinnvoll, oder spricht das was gegen bzw. gibt es ne bessere Lösung? Der Rechner sollte schnell genug sein.
Beispiel:
$IPTABLES -N ok
$IPTABLES -A ok -m mac --mac-source 00:50:AB:CD:EF:12:G8 -j ACCEPT
$IPTABLES -A ok -j DROP
$IPTABLES -A FORWARD -i $INT -o $DMZ -p TCP --sport $p_high --dport http -m state --state NEW -j ok
Hoffe Ihr habt noch paar Tips.
Danke, Gruß Swen
edit: hab den Betreff nur etwas geändert ...
*schieb*
Hat da keiner einen Tip? Das glaub ich ja eigentlich nicht. Hab mich da bestimmt bißl blöd ausgedrückt. :(
die regeln, die du gepostet hast, sind für den anfang okay (baust du ja sicher noch aus - prinzip ist in ordnung)
auf MAC basis ist schone eine gute idee zu filtern, nur mache ich mir über das MAC Spoofing gedanken, wodurch ein "angreifer" deine fw-rules aushebeln könnte (ARP tabelle auf DHCPD kontrollieren)
ich würde das ganze dann noch auf einer höheren ebene ansiedeln (proxy) und IP's auch noch mit einbeziehen
denn: der client kann zwar so auch den dhcpd täuschen, muss aber, um ins internet zu kommen, eine gültige IP zugewiesen bekommen
bindest du nun noch MAC->IP (dhcpd.conf), muss er die korrekte MAC kennen, um eine gültige IP zu bekommen, die für das internet freigeschalten ist
snort sollte, wenn möglich, immer auf einer zentralen "vermittlungsstelle" im netz fungieren (FW,...) , damit es allen traffic registrieren kann
hoffe, es war nicht zu "undurchsichtig"
greez
@emba
Dank Dir, und es ist nicht zu undurchsichtig :)
2 Problemchen hab ich noch:
1. Es sind schon ne Menge Rechner hier. Da heißt jedes akzeptierte Paket muß unter Umständen viele Regeln mehr durchlaufen (MAC-Kette). Wird die Verbindung dadurch sehr langsam, oder fällt das nicht ins Gewicht?
2. Snort auf oder gleich hinter der Firewall ist klar. Mir geht es aber hauptsächlich darum mitzubekommen was in meinem Netz passiert (Gegen "Angriffe" von außen halte ich es für sicher). Was hab ich da für Möglichkeiten? Wie gesagt, es ist sehr unübersichtlich und geht über mehrere Gebäude mit vielen Switches.
Gruß Swen
hi
zu 1)
diese frage tauch oft in der netfilter mailinglist auf
entweder du durchsuchst sie mal, oder nimmst mit meiner (sicher nicht vollständigen erklärung) vorlieb
wenn du die regeln ordentlich und sinnvoll einrichtest, sowie nicht viele resourcennehmende module (string-match, ...) nutzt, sollte sich der performanceverlust in grenzen halten
sprich: die firewall/kernel verarbeitet entweder das paket oder dropt es, wenn sie keine verbindungen mehr annehmen kann
desweiteren kommt es oft dazu, dass contrack-einträge gelöscht werden, weil der allokierte speicher dafür nicht ausreicht -> ergo kommt es zu verbindungsabbrüchen bzw. verzögerungen, wenn der client neu aufbauen muss
ich meine aber mal gelesen zu haben, dass bei einem P3@800 400 Rules und mehr zu keinem nennenswerten performanceeinbruch führten
zu 2) nun, das wird schwierig, denn wenn die clients direkt miteinander kommunizieren, kannst du den traffic über (normale) switches nicht mitloggen/auswerten - bsp., wenn ein client den anderen scannt
snort ist nur sinnvoll als IDS auf servern, das hat mit dem "auswerten" des traffics im internen netz nur wenig zu tun
um was geht es dir genau?
P2P, scans, ... ??
du könntest weniger den traffic analysieren ( macht eh kaum sinn in einem großen LAN und ist rechtlich gesehen auch in der "grauzone"), und mehr den traffic schon auf den switches begrenzen mit einfachen filtern
greez
Hi emba,
Du hast mir schon sehr geholfen! Der Firewall-Rechner ist schneller (Athlon XP 1700+, 512 MB RAM), allerdings ist das hier auch nicht DSL (100Mbit?).
um was geht es dir genau?
Mir geht es nicht darum die Mitarbeiter zu überwachen, die sollen hier machen was Sie wollen ;) . Es geht mir darum, daß sich nicht jemand mit Laptop hier einfach anstöpseln kann, und Daten von unvorsichtigen Mitarbeitern klaut.
Aber dagegen werde ich wohl nichts machen können, und es bleibt meine Aufgabe regelmäßig die Rechner zu überprüfen und dann diejenigen aufzuklären.
Gruß Swen
nope
dagegen kannst du solang nix machen, bis du nicht selbst jeden client angefasst hast
du könntest höchstens den neu ins netz gebrachten clients ein anderes subnet (meinetwegen auch mittels VLAN auf den switches) geben, damit sie nicht direkt mit den clients in deinem netz kommunizieren können
mittels eines scripts könntest du dann jeden tag prüfen, wer in deinem netz ist (broadcast-ping) und diese antwortenten IP`s mit deiner dhcp datenbank abgleichen, ob die IP's auch zu den MAC gehören
voraussetzung: alle clients in deinem netz werden mit dhcp versorgt
hintergrund: nicht jeder soll sich mittels einer statischen adresse in dein netz einklinken dürfen
das ist vllt. nicht die sauberste variante, aber schonmal ein denkanstoss
greez
Hi,
mittels eines scripts könntest du dann jeden tag prüfen, wer in deinem netz ist (broadcast-ping) und diese antwortenten IP`s mit deiner dhcp datenbank abgleichen, ob die IP's auch zu den MAC gehören
schau dir mal das (http://www.securityfocus.com/tools/142) an. Das Tool macht genau das, was emba vorgeschlagen hat.
Lustig ist es nur bei Notebooks, wenn diese einmal mit und einmal ohne Dockingstation im Netz arbeiten. ;)
Genau sowas hab ich gesucht. Mal sehen wie's funktioniert.
Gruß Swen
Nette Idee - Nettes Tool:)
@swen1
Poste bitte wie´s (ob´s) funktioniert.
Interessiert mich auch - hab aber im Moment leider kaum Zeit...
Thank´s
cane
@cane
ich kann dir sagen, dass tool funktioniert. Nur die Frage mit dem wie hab ich nicht verstanden, es funktioniert genau so wie auf der Webseite angegeben.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.