Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Защита от блокирования сервера в локалке (http://forum.oszone.net/showthread.php?t=93359)

artymen 02-11-2007 18:43 671648
Защита от блокирования сервера в локалке
 
Мой сервер в сети атакуют хулиганы. Он становится недоступным, самое интересное, что через некоторое время он становится доступным некоторым людям, которые находятся через пару-тройку свитчей от него, а я по-прежнему не пингую его, моя машина на одном с ним свитче сидит. Выдергиваю провод из сервера, вставляю, проскакивает пинг пару раз и опять недоступен. Предполагаю, что атака основана на ARP-протоколе. На сервере Win2003, Outpost Firewall с включенной защитой от ARP-спуфига и прочей дряни. Журнал фаерволла показывает периодические "Подмена сетевого адаптера шлюза" (мак действительно похож на мак шлюза, только 3-е и 4-е числа меняются, вообще не понимаю, при чем тут шлюз, он предназначен для выхода во внешнюю районную сеть, атака в пределах подсети производится, наверно, побочный эффект). IP атакующих известны (и даже известно, где они живут), задание соотвествующих блокирующих правил естестно не помогает. Проверяю "arp -a" на своей машине: мак сервера не меняется, все время реальный.
Отрубить им провода то канеш можно, но хочется как то рациональнее защищиться от подобных атак. Такое возможно ? (например, поставив перед сервером управляемый свитч).
Заранее благодарю за любую помощь.

Aliandro 08-11-2007 16:19 674940
Попробуй поставь IDS (система обнаружения вторжений) - Snort.
Или лучше аппаратный файерволл (CISCO PIX ) и там настроить листы доступа.

Butunin Klim 08-11-2007 16:25 674946
artymen, У вас нет ли поднятого DHCP на вашем "роуте(железка какаянибудь"

artymen 08-11-2007 17:29 674983
Aliandro, вы не могли бы вкратце описать, что и как делает этот Snort. Я почитал инфу на сайте, скачал, посмотрел, там конфиг огромный, в-общем большущая вещь, я в растерянности :) А сколько стоит подходящий аппаратный фаерволл ?
Butunin Klim, нету.

Я где-то читал, что надо на всех компах сделать статическую arp-таблицу и проблем не будет ? =) Нерационально, но сердито :)

Butunin Klim 08-11-2007 17:41 674992
Snort

Aliandro 08-11-2007 19:59 675069
Цитата:
Цитата artymen
А сколько стоит подходящий аппаратный фаерволл ? »
Смотря какой фаерволл брать будешь..посмотри тут .
лучше конечно :) надежно ! вот у меня PIXа стоит.

Цитата:
Цитата Aliandro
лучше конечно »
CISCO ))

artymen 09-11-2007 16:35 675650
Мда... смотрел ща правила снортовские, возникли у меня кое-какие сомнения, которые подтвердились в начале раздела Rules в мануале: "... There are four protocols that Snort currently analyzes for suspicious behavior
– TCP, UDP, ICMP, and IP. In the future there may be more, such as ARP, IGRP, GRE, OSPF, RIP, IPX, etc." С этими "TCP, UDP, ICMP, and IP" наипрекраснейшим образом справляется оутпост. Мне собсно ARP и нужен был. А на первый взгляд Snort выглядит впечатляюще. Значит придется аппаратный фаервольчик ставить :)


Время: 07:38.

Время: 07:38.
© OSzone.net 2001-