Rodzaje zabezpieczeń w aster city.

[reinexen]

Witam,
zajmuję się ostatnio zabezpieczeniami u różnych większych providerów i tym razem padło na aster. Jestem zaciekawiony tym tematem rzecz jasna dlatego, bo zakładam swoją sieć i nie chce popełniać ich błędów.

Z tego co się orientuje zabezpieczenia u aster wyglądają następująco:
przypisany stały MAC
przypisany stały IP
przypisane stałe wyjście na routerze

Mam następujące pytanie:
Czy nic nie pominąłem w tych zabezpieczeniach?
Czy da się obejść trzecie z zabezpieczeń?

Ponadto gdy badam sieć np. nmap-em albo p0f-em wszystkie pakiety okazują się filtrowane. Przebadałem ze 40 PC z mojego najbliższego otoczenia i wszystkie miały filtr. Czy po prostu mam takie szczęście czy może jakoś router filtruje te dane?

Pozdrawiam

[Ormi]

Moim zdaniem ruter filtruje.

Trzecie zabezpieczenie można obejść jednocześnie z pierwszym. Tzw. spoofing. Konkretnie ARP poisoning. Atakujący wysyła spreparowane adrsy ARP do bramy i jakiejś tam ofiary wewnątrz sieci. Wtedy brama myśli, że to do atakującego ma wysyłać pakiety, a komputer ofiary myśli, że to atakujący jest bramą. W ten sposób może czytać pakiety przychodzące i wychodzące.
Mam nadzieję, że czegoś nie pomyliłem. W razie czego mnie poprawcie

[reinexen]

nie chce się bawić w man in the middle. Nie obejdę blokady portów fizycznych samą zmianą mac. Chodzi o to że do jednego portu (fizycznego) na routerze jest przypisany mój mac i ip. Konkretnie mówiąc chcę zrobić to:
mam dwa kompy w aster jeden na 6 piętrze drugi na 4. W pierwszym jest opłacony net 3Mbit w drugim 0,5 Mbit. Chcę zamienić te kompy miejscami, gdyż częściej przesiaduję na tym drugim z wolniejszym netem.Podczas gdy jeden jest wyłączony nie mogę na drugim zmienić numeru ip i mac i "stać się nim", tylko jeszcze dodatkowo muszę podmienić kable na routerze. ponieważ jest to niewykonalne to chyba jedyną możliwością jest podmiana adresów mac przypisanych fizycznym portom przez włam na sam router. Czy nie ma prostszej metody?

I jeszcze jedno... co zrobić gdy podczas skanu nmap pokazuje że nie jest w stanie wykryć systemu operacyjnego routera, a router ma wszystkie porty filtrowane? Jak można by się do niego włamać?

[rafal44]

Próbowałem kiedyś przeskanować porty przy kompach i routerach Astra i dałem sobie spokój. Routery filtrują pakiety. A zmiana adresu MAC chyba może pomóc. Porty możesz przeskanować ręcznie.

[wbart]

Chyba nie każdy komp ma oddzielny fizyczny port tylko jakiś rejon?(w przeciwnym razie może jakieś VPN są zdefiniowane dla każdego kompa?)
W obrębie jednego portu zamiana mac i ip powinna pomóc.
Myślę,że masz małe szanse na bezpośrednie "włamanie się do routera".Prawdopodobnie jest zarządzalny tylko z określonego portu fizycznego.
Częściej przytrafiające się błędy wynikają z lenistwa personelu.Można prędzej wykombinować jaką furtkę do zarządzania zdalnego sobie mogli zostawić serwisanci/administratorzy.

Możesz też chyba użyć jakiegoś zdalnego pulpitu/vnc itp przez hamachi.I pracować z kompa z wolniejszym łączem na szybszym.Mówisz,że kompy są blisko,to możesz nawet pociągnąć sobie kabel/radiówkę między nimi.

[tom]

Witam,
zajmuję się ostatnio zabezpieczeniami u różnych większych providerów i tym razem padło na aster. Jestem zaciekawiony tym tematem rzecz jasna dlatego, bo zakładam swoją sieć i nie chce popełniać ich błędów.

fajnie ze sie zajmujesz zabezpieczeniami jednak cos mi sie zdaje najpierw trzeba sie dowiedziec jak dana siec dziala.

Jesli chodzi o Aster (kablowke) to siec oparta jest o system DOCSIS lub EuroDocsis (Nie wiem dokladnie co uzywaja. Ale glowna roznica jest w szerokosci kanalu downstream, a co za tym idzie wiekszej przepustowosci w EuroDOCSIS).

Sam sytem ma swoje zabezpieczenia i dziala troche inaczej niz zwykla siec
W sumie u wiekszosci operatorow w PL nie wyglada to najszczesliwiej i mozna wykorzystac sporo bledow w konfiguracji (najprawdopodobniej z powodu lenistwa lub nieznajomosci systemu przez adminow).

Jesli sie myle i myslisz o jakims innym internecie z Aster to z gory przepraszam (poprostu tylko o takiej usludze slyszalem)

Jak chodzi o DOCSIS to mozemy cos pogadac w tym temacie

[TQM]

Trzecie zabezpieczenie można obejść jednocześnie z pierwszym. Tzw. spoofing. Konkretnie ARP poisoning.

Jesli mowimy o zwyklych switchach to proponuje obejrzec prezentacje Lukasza Boromirskiego z jednej z konferencji (nie pamitam ktorej) gdzie ladnie pokazal co robi Port Security na switchu/routerze jak zobaczy inne adresy mac

Proponuje nie dla jaj czy aby sie wykazac, ale aby ludzie wiedzieli, ze sa mechanizmy ktore to blokuja takie zagrania i moga zaszkodzic uzytkownikowi... przynajmniej jesli admin zostawi domyslne zachowanie

[wbart]

Nie znalazłem tej prezentacji,ale z tego co przeczytałem o port security to domyślną akcją jest

Action to take when there is a violation detected (default is to disable the port and send an SNMP Trap message to the SNMP management server (if any))

Czyli nie eksperymentował bym u siebie ze spoofingiem

Ewentualnie zrób najpierw jakiś zwiad na temat urządzenia,które obsługuje Cie i wtedy instrukcje przejrzyj czym się broni.