| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
VVVVVVVV
Гость
|
 Добавлено: Пт Окт 11 2002 10:57 Заголовок сообщения: Можно ли с помощью ipfw фильтровать протокол PPPoE ? |
 |
|
| На FreeBSD стоит фильтрующий мост. ipfw настроен (казалось как надо-реальные IP замечательно фильтрует). И есть протокол PPPoE, который выводит в интернет часть внутренних комп-ов. Оказалось, что трафик этих машин не фильтруется и не защищен снаружи. Куда глянуть, на что посмотреть? |
|
| Вернуться к началу |
|
 |
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Окт 11 2002 11:46 Заголовок сообщения: Умеючи - все можно. |
|
|
Первый вопрос: кто с кем устанавливает PPPoE соединение? Я так понимаю, это соединение работает только внутри сегмента Ethrnet, т.е. не может проходить сквозь роутер/FireWall.
Эти PPPoE-соединения легальные (нужны для дела), или это самодеятельность сотрудников?
Отлавливать пакеты можно пакаджем trafshow, натроив его на отсечение "законного" трафика.
Либо можно перейти от политики "можно все, кроме особо запрещенного" к "запрещено все, кроме разрешенного", где для получения разрешения с каждым сервером вне сетИ надо писать отдельную заявку, заверенную начальником отдела.  |
|
| Вернуться к началу |
|
|
VVVVVVVV
Гость
|
| Добавлено: Пт Окт 11 2002 12:14 Заголовок сообщения: Re: Умеючи - все можно. |
|
|
Есть группа пользователей Inet'ом. Работают по выделенной линии, т.е. существует сегмент сети внутри здания, которым пользуются и другие группы пользователей. В нашей группе одни комп. - с реальными IP, другие - работают по PPPoE. Это все легальные пользователи. PPPoE - желание провайдера, от которого можно отказаться. Только отказ - слишком просто. Лучше научиться фильтровать. Защищаемся мы от других групп, пользующихся общим сегментом и работников провайдера.
Самая простая защита - не окрывать доступ наружу, но группа трансформируется и уследить за всем сложно. Ошибки возникают не часто, но лучше застраховаться. Как оказалось компьютеры, работающие по PPPoE замечательно видны снаружи - по краейней мере от провайдера (провайдер же и сказал).
Кстати, bridge FreeBSD замечательно пропускает и IPX (не только PPPoE). IPX не фильтруется - это мы знаем и в указанном сегменте не используем.
Так что делать с PPPoE ? |
|
| Вернуться к началу |
|
|
VVVVVVVV
Гость
|
| Добавлено: Пт Окт 11 2002 12:37 Заголовок сообщения: Кстати, про trafshow |
|
|
| С какими параметрами его запустить, чтобы увидеть протокол PPPoE? Я его вижу только в tcpdump? |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Окт 11 2002 12:50 Заголовок сообщения: А от чего защищаемся? |
|
|
Защититься от всего нереально - админ с паранойей подобен DoS-атаке. Поэтому надо составить модель возможных атак и защищаться от них.
Я вообще не понял, зачем нужен PPPoE. Я вообще сиьно подозреваю, что PPPoE - это не TCP или UDP, и даже не IP, а что-то вроде IPX или NetBEU или ARP - отдельный протокол. И как всякий уважающий себя современный туннелирующий протокол, он шифрует свой трафик (включая поля передаваемых по нему IP-пакетов).
Лично я бы защищал клиентские раб.станции через раздачу им внутренних IP-адресов 192.168.*.* и выход наружу через HTTP-Proxy и/или NAT/Masquerading. Если же машины используют PPPoE для коннекта с провайдерской машиной, то они будут великолепно видны от провайдера, да и со всего мира, как будто они соединились с той машиной по простому PPP (который используется в DialUp).
На сайт ко мне не хочешь сходить? |
|
| Вернуться к началу |
|
|
VVVVVVVV
Гость
|
| Добавлено: Пт Окт 11 2002 13:23 Заголовок сообщения: Re: А от чего защищаемся? |
|
|
Защищаемся от того, чтобы общие ресурсы группы можно было прочесть снаружи (с комп., расположенных за bridge+ipfw FreeBSD).
tcpdump :
13:58:36.019893 PPPoE [ses0x1984] IP 42: 80.x.y.z.1045 > 213.189.216.100.http: ack 1024 win 7460 (DF)
Так выглядит запись, которая в ipfw я не смог отфильтровать, т.е. 80.x.y.z не виден ни в ipfw, ни в trafshow, а так же traflog, trafstat и пр.
Это что - протокол tcp поверх(или внутри) чего-то?
У видимых ipfw,trafshow и прочим п.о. пакетов отсутствует часть - PPPoE [ses0x1984] IP 42:
Диагноз есть? |
|
| Вернуться к началу |
|
|
VVVVVVVV
Гость
|
| Добавлено: Пт Окт 11 2002 16:26 Заголовок сообщения: Что ж, придется отказаться от PPPoE |
|
|
| Что ж, придется отказаться от PPPoE, как и от IPX. |
|
| Вернуться к началу |
|
|
:)
Гость
|
| Добавлено: Пт Окт 11 2002 17:31 Заголовок сообщения: Re: А от чего защищаемся? |
|
|
| бред мягко говоря, причем довольно занятный "подозрениями" должны страдать сыщики, а "сетевой администратор интернет" (как написано на Вашем сайте), должен оперировать фактами. не знаешь для чего PPPoE - идешь и читаешь RFC 2516. Если Вам не встречались задачи для решения которых пришлось ипользовать PPPoE, то это Ваша беда, ну или счастье а то какой-то странный разговор получается, ни о чем и без знания предмета. Вы часом не преподаватель, уважаемый ? |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Окт 11 2002 18:50 Заголовок сообщения: То, что я преподаватель, тоже можно прочесть на моем сайте |
|
|
А тут я пытаюсь помочь человеку как умеею. Кто прочел RFC 2516, может рассказать правильное решение; а я спрашиваю, зачем VVVVVVVV использует PPPoE.
PS: Кстати, некоторые вещи используются совсем не для того, что написано в их RFC. |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Окт 11 2002 18:52 Заголовок сообщения: Наверно, надо отказываться - как мне кажется, PPPoE защищает вовсе не от того, что тебе нужно. Или пусть всезнающий улбчик меня |
|
|
| - |
|
| Вернуться к началу |
|
|
VVVVVVVV
Гость
|
| Добавлено: Сб Окт 12 2002 08:10 Заголовок сообщения: Сказал А - говори |
|
|
| Так иожно ли с помощью ipfw фильтровать протокол PPPoE ? |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
