logo dewil.ru
Home Adv News FreeBSD Whois VoIP Security Domain Hosting Evernote Radio Journal IpCalc Wap
News
Article
Атака SMURF
Защита от DDOS
Обнаружение вторжений
Обнаружение снифферов
Потенциальная уязвимость php-скриптов
WebTest
Wireless Atack
Firewalls & Backdoors
IDS
Оценка риска защиты в Интернете
Нападение на клиентские компьютеры
Стены из огня
Искусство обмана
Список аббревиатур по информационной безопасности
История безопасности одной сети
SpamAssassin

SpamAssassin Project

Русскоязычная рассылка

Покупка трафика на сайт. Быстрая покупка трафика на сайт для заработка. Покупка трафика на сайт. | Хочешь стать лучшим в продажах - имиджмейкер обучение. Имидж Бутик -Технологии Имиджа.

История безопасности одной сети

По просьбе моего старого друга (Slav0H) публикую статью об истории из моей жизни.

Действующие лица:
(я) - понятно о ком идет речь.
(п1) - провайдер довольно большого размера для мега-города N.
(п2) - провайдер меньше первого.

Часть 1. Подключение IP-шлюза.

Итак, попал я в одну контору. Хотели они поставить себе сервер (router), который должен был выполнять ряд задач (не буду говорить каких). Что за контора и чем она занимается не суть важно. В контору приходил (может и сейчас приходит, я уже не знаю) кабель ethernet. Обычный кабель с разъемом RJ-45, который втыкался в Cisco IP-шлюз (далее буду называть его - "шлюзик". Шлюз этот давал услугу ip-телефона от (п1) для упомянутой конторы. Так уж сложилось, я не знаю почему, но Интернет в конторе покупали не у (п1), а у (п2). По той же витой паре приходил Интернет от (п2), т.е. был организован единый Vlan у (п1), чтоб и шлюзик работал от (п1) и Интернет от (п2) приходил. Адреса у шлюзика и адреса (п2) находились в разных сегментах, поэтому друг другу не мешали (хотя в одном ethernet сегменте). В общем, все замечательно, все рады.

Начитаю думать, как поставить туда сервер (FreeBSD), но при этом не сломать связь со шлюзиком. Самое логичное место для него - это точка входа. Можно конечно было упростить себе задачу и воткнуть его в хабик, который поставить на самом входе. Но зачем нам лишний хабик в нашем хозяйстве? Будем делать красиво, без лишних железок. Шлюзик тоже воткнем в сервер.

Звоню в техсуппорт (п1) и дежурному админу поясняю ситуацию. Типа тут есть ваш телефон, и он очень хорошо работает, хотелось бы оставить его в рабочем состоянии, но т.к. я надумал поставить роутер на входе, то мне придется прокинуть адреса через сервер, чтобы шлюзик дальше смог работать. Сразу сделаю пояснение. Эти шлюзики обслуживаются полностью (п1), т.е. клиенты даже не знают паролей для их настройки, так же не знают и адресов, которые в шлюзике прописаны. В общем, техсупорт, скрипя зубами, но понимая о чем я их прошу, поковырявшись в своей админской программе, выдает мне адрес шлюзика. Каждый раз, когда звоню в техсуппорт, попадаю на разных админов. Этим можно пользоваться :)

Сделать проброс определенных портов, с внешнего интерфейса на внутренний можно, чтоб шлюзик работал ничего не подозревая, но шлюзик еще и сам соединения в обратную сторону устанавливает, в общем, я понял, что получится сложная схема и проще будет решить эту задачу попросив у (п1) транзитную сетку на 4 адреса. Звоню на следующий день, интересуюсь о возможности получения адресов. Получаю положительный ответ с направлением в абонотдел, чтобы оформить допуслугу. Звоню в абонотдел и спрашиваю чего нужно от меня, чтоб сие получить у вас. Девушка обещает перезвонить. Сразу скажу, что общение с (п1) велось в течение недели, то у меня времени не было, то уже вечер, никак руки не доходили до физической установки роутера. И вот звонит мне девушка из абонотдела (п1), сообщая, что к сожалению, они не могут мне предоставить адреса. На мой вопрос: "почему?" сообщает, что так сказал админ. Узнаю фамилию, перезваниваю в техсуппорт, прошу этого умного админа (а). Диалог:
(я): - Объясните, пожалуйста, почему я не могу получить 4 адреса за дополнительные деньги, хотя этот вопрос уже обсуждался и мне было дано устное подтверждение, что я могу получить адреса подключения шлюза за роутером.
(а): - Вы у нас не покупаете услуги Интернет, а только покупаете услугу voip, поэтому адреса мы вам выдать не можем.
(я): - Конечно, понимаю, что я могу включить шлюз в хабик на входе и включить в этот же хабик свой роутер, но ведь я готов заплатить за услугу и хочу получить транзитные 4 адреса. Неужели вы не заинтересованы, что бы клиенты у вас покупали дополнительные услуги?
(а): - Мы не можем вам дать адреса.
(я): - Но я не понимаю, почему?!
(а): - А потому, что вы будете через эти адреса качать трафик из интернета, а услуги интернета у вас нет.
(я) [немного обалдев от услышанного ответа]: - а что мне мешает выключить ваш шлюз, воткнуть кабель в комп и юзать интернет?
Тут админ замолчал. Он видимо осознал всю суть ситуации, которую он мне сам подсказал :)
(а): - Этого не может быть, потому, что у вас на шлюзе используются локальные адреса.
(я): - Да нет, реальные там стоят.
(а): - А откуда вы знаете адреса на шлюзе?
(я): - Мне их сказал ваш коллега, правда фамилию я его не спрашивал, несколько дней назад по этому же телефону, в этом есть что-то криминальное?
(а): - Такого не может быть, мы сейчас же сменим вам адрес!
(я): - Да меняйте, пожалуйста, но мне бы решить вопрос с выделением транзитной сетки.
(а): - Сетку мы вам не дадим!

Кладу трубку, понимая, что во всех похожих ситуациях будет так, как решит админ, а не так, как хочет клиент. Сам я работал в суппорте ISP, и знаю всю эту кухню.

Но я решил не отчаиваться, и что нить придумать, чтобы все-таки не ставить хабик. Да, кстати, чтоб этот умный админ не сменил мне адреса на шлюзике, я пошел и выдернул из него кабель. Минут через 20 от начальства поступил сигнал, типа звонили из (п1) и они не могут понять почему недоступен шлюзик. Я то понимаю как теперь (п1) засуетился от собственной глупости :). Перезваниваю админу в (п1). Выслушиваю от него негодование, что после нашего разговора он не видит шлюзик. Объясняю ему, что в данный момент у меня шлюзик выключен, т.к. я воткнул вместо шлюзика свой роутер и буду его настраивать. А вот шлюзик я не могу воткнуть, т.к. у меня нет хабика, и хабик ставить принципиально не хочу. Но пообещал ему, что на 20 минут я все же его воткну, чтоб он закончил свою гениальную работу над исправлением ошибки их конторы. Я не соврал, пошел и воткнул шлюзик. Через пару часов обнаружил, что телефон, который работает через шлюзик, не работает вовсе. Я злой. Явно админ из (п1) что то накосячил. Уже собираясь звонить в суппорт, думаю проверить еще раз, подключен ли шлюзик. Оказалось, я до конца не воткнул RJ-45 и шлюзик остался таки выключенным. Меня это даже обрадовало, значит, адреса он не поменял, и если мне понадобится когда-либо, я смогу их использовать.

Все же подключил шлюзик без использования транзитной сетки. Поставил в сервер 3 сетевые карты. Одна смотрит на внешний мир, вторая в локалку, третья для шлюзика с его индивидуальными адресами. Загнал первую и третью карты в bridge-mode и шлюзик отлично работает. Да, чтоб админ из (п1) так и не смог сменить адреса, я за фильтровал 80 порт на этом бриджевом мосту. Судя по моим логам, он ломился, но пакеты не достигли цели. Так он 2 месяца пытался закончить начатое, а потом я перестал следить за этой картиной.

Часть 2. Кто в теремочке живет.

Отлаживая Firewall, для того, чтобы ко мне через бридж не сыпались левые пакеты, я обнаружил много интересного для себя. В этом сегменте почему то не только адреса шлюзика и моего провайдера (п2), а еще достаточно много разных сеточек, которые я не заказывал и непонятно, чего они делают в моем сегменте. Сначала инструментом для изучения служил tcpdump. Я все не понимал, откуда в этом Vlan-е берутся какие то виндовые машины. Дальше полез в Интернет искать удобный сниффер. Нашел - Ethereal. Он показал тоже самое, но, предварительно удобно отсортировав и отфильтровав ненужный мусор по моему заказу.

Выяснилось, что в этом Vlan-е сижу не только я. В нем сидит еще локалка одного банка, который имеет не последнее место в городе. Название банка конечно я называть не буду. Меня так же изумило, что весь виндузовый парк машин (касса, бухгалтерия и т.п. по названиям компов) сидел на реальных адресах. Именно на реальных. Провел диагностику этих адресов со стороны Интернета. Закрыто. Все закрыто. Т.е. они ее фильтруют снаружи, но зачем они используют реальные адреса мне все же не понятно.

Одним словом, моя сеть, которая эзернетом уходила куда-то к провайдеру имела единый сегмент. Пакеты моей сети, до того как я поставил роутер на входе, тоже бегали по их локалке. И самое интересное, что никто из службы безопасности банка до сих пор не остановил этот беспредел. А до моего прихода она проработала так уже 2 месяца. Мне оно, конечно, совершенно безразлично, моя работа - установка сервера, а не наведение безопасности в других конторах, собратьях по кабелю, так сказать. Чтобы банк не продолжал читать наши пакеты в открытом виде, поднял ipsec до определенной точки, и банк не видит мой трафик, даже если будет его снифить. Пусть дешифруют, если делать им будет нечего.

А вот уважаемому (п1) большой респект! Ведь я уверен, что банк им оплачивает услугу, что-то типа закрытого сегмента, или выделенного Vlan-а для объединения своих филиалов по городу. Ведь иначе бы банк, сам заботился о закрытости сегмента, но он возложил это на плечи провайдера, одновременно с предоставлением услуги Интернета. Т.к. (п1) очень большая контора и админов там много, то бардака соотвественно там не меньше.

На этом собственно и заканчивается данная история. Иногда я заходил на установленный мною сервер и проверял. Ничего не изменилось :).
И после этого вы спросите, пойду ли я открывать счет в этом банке? Щаз!

Любые совпадения считать случайными.

© DeWiL, 2005-05-05.

about | contact | donate | sitemap | search | feedback | seo | credit | © 1999—∞
Powered by dwlSiteEngine | Valid CSS HTML
Вы владелец розничного магазина - ткани мебельные оптом. | Нужное бухгалтерское сопровождение. Бухгалтерское сопровождение м дмитровская. | Шлюз Cisco 2851-V/K9 на базе маршрутизатора 2851