banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống  XML
  [Question]   [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 18/03/2009 11:34:23 (+0700) | #1 | 173630
[Avatar]
1mp0ss1bl3
Member

[Minus]    0    [Plus]
Joined: 14/02/2008 21:32:58
Messages: 41
Location: ...
Offline
[Profile] [PM]
Chào mọi người,

Hiện tại mình vừa triển khai hệ thống Lan access control, hệ thống này (kết hợp với các switch) sẽ cho phép người quản trị phát hiện được các Mac address bất hợp pháp (Mac address chưa được biết đến trong hệ thống) để từ đó có đưa ra các hành vi tương ứng như cho phép, chặn (block) hoặc chỉ cho phép truy nhập vào 1 vùng giới hạn. Ứng dụng mình dùng là FreeNac (website: freenac.net) + mysql + apache và các switch cisco (2950 và 45xx). Hệ thống hiện đang hoạt động ổn định. Tuy nhiên, vấn đề phát sinh hiện nay là có 1 số user mang theo laptop cá nhân vào công ty, họ có toàn quyền trên máy tính đó vì thế hoàn toàn có thể thay đổi được Mac address và IP để từ đó hoàn toàn có thể truy cập vào các nguồn tài nguyên của công ty và chép các dữ liệu mang ra ngoài. Mình nghĩ user chỉ cần có chút kiến thức thì hoàn toàn có thể làm được điều này và xem như đã vô hiệu hóa được hệ thống trên.
Mình xin hỏi liệu có giải pháp nào để có thể nhận biết được Mac address giả mạo và cách phòng chống. Mình đã xem qua về S-ARP, port-security... nhưng có vẻ không thích hợp với trường hợp này (hoặc có thể mình hiểu chưa tường tận). Xin mấy bạn/ mấy anh tư vấn dùm.

Thanks,
To achieve the impossible, one must thing the absurd - to look where everyone else has looked, but to see what no else has seen.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 18/03/2009 12:45:29 (+0700) | #2 | 173638
mfeng
Researcher

Joined: 29/10/2004 15:16:29
Messages: 243
Offline
[Profile] [PM]
Góp ý một tẹo smilie
- Bạn (và công ty) cần đề ra các quy định (policies) về an toàn thông tin cho công ty. Các trường hợp mang laptop cá nhân vào và truy câp trái phép ... nếu bị phát hiện sẽ chịu trách nhiệm nào đó.

- Do không nói rõ "vùng giới hạn" ở đây là cái gì, nên không thể góp ý cụ thể được. Tuy nhiên triển khai access control dựa trên MAC và IP không phải là giải pháp vững chắc. Bạn nên xem xét tới một số cơ chế khác như resource sharing (Samba, AD), authentication proxy, firewall...
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 18/03/2009 19:23:50 (+0700) | #3 | 173651
[Avatar]
tranduyninh
Member

[Minus]    0    [Plus]
Joined: 05/07/2006 12:05:48
Messages: 253
Location: aiowebs.net
Offline
[Profile] [PM] [WWW] [Yahoo!]
nếu thực sự cần an toàn thông tin mà vẫn để mang latop vào thì không được. Người nào đó muốn lấy dữ liệu thì cách tốt nhất vân4 là đừng mang đồ hitech vào cty
Các bạn giúp mình giải cứu bạn gái này nha : http://bit.ly/23mHJE ( đây là 1 cuộc thi đó ) không biêt các hắc cơ có ý kiến như thế nào ?
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 18/03/2009 19:57:11 (+0700) | #4 | 173652
khi3mkp
Member

[Minus]    0    [Plus]
Joined: 21/11/2008 14:13:13
Messages: 27
Location: Und3rGr0unD
Offline
[Profile] [PM]

Tuy nhiên, vấn đề phát sinh hiện nay là có 1 số user mang theo laptop cá nhân vào công ty, họ có toàn quyền trên máy tính đó vì thế hoàn toàn có thể thay đổi được Mac address và IP để từ đó hoàn toàn có thể truy cập vào các nguồn tài nguyên của công ty và chép các dữ liệu mang ra ngoài. 


vậy ở cty bạn IP được cấp thế nào static or dynamic, sao không thử gán IP bằng MAC xem thế nào.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 19/03/2009 05:38:26 (+0700) | #5 | 173703
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

tranduyninh wrote:
nếu thực sự cần an toàn thông tin mà vẫn để mang latop vào thì không được. Người nào đó muốn lấy dữ liệu thì cách tốt nhất vân4 là đừng mang đồ hitech vào cty 


@tranduyninh:Hèm cái này phải không vậy.

Cái mà bạn quản lý ở đây là computer hay là data. Tớ thấy cậu chỉ quản lý computer chứ chưa thấy đề cập tới data. Họ có quyền làm chủ máy họ nhưng đối với hệ thống cty,dữ liệu cong ty thì ta lam chủ.

Nếu data chứa tại file server thì ta cấu hình tại thằng này,két hợp group policy trong AD ... quản lý user.Và phải có tờ A4 của sếp bự.
Cảm ơn cậu cái feenac nhé,trước kia tớ cũng có post lên cái yêu cầu ni nhưng chưa có dịp triển khai. Sẵn tiện cậu làm cái tut về cái nì luôn
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 19/03/2009 07:51:40 (+0700) | #6 | 173719
[Avatar]
1mp0ss1bl3
Member

[Minus]    0    [Plus]
Joined: 14/02/2008 21:32:58
Messages: 41
Location: ...
Offline
[Profile] [PM]
- Bạn (và công ty) cần đề ra các quy định (policies) về an toàn thông tin cho công ty. Các trường hợp mang laptop cá nhân vào và truy câp trái phép ... nếu bị phát hiện sẽ chịu trách nhiệm nào đó.
- nếu thực sự cần an toàn thông tin mà vẫn để mang latop vào thì không được. Người nào đó muốn lấy dữ liệu thì cách tốt nhất vân4 là đừng mang đồ hitech vào cty 


Vấn đề này mình đã nghĩ tới nhưng nó sẽ gây ra cảm giác ức chế cho nhân viên. Không lẽ mỗi khi vào công ty thì security phải khám xét từng người một? Policy thì đã có, nhưng làm cách nào để user tuân thủ nghiêm ngặt policy đó thì lại là chuyện khác. Thời buổi mà các thiết bị công nghệ ngày càng tinh vi thì việc kiểm tra như thế này sẽ rất khó.

- Tuy nhiên triển khai access control dựa trên MAC và IP không phải là giải pháp vững chắc. Bạn nên xem xét tới một số cơ chế khác như resource sharing (Samba, AD), authentication proxy, firewall...
- Cái mà bạn quản lý ở đây là computer hay là data. Tớ thấy cậu chỉ quản lý computer chứ chưa thấy đề cập tới data. Họ có quyền làm chủ máy họ nhưng đối với hệ thống cty,dữ liệu cong ty thì ta lam chủ.
Nếu data chứa tại file server thì ta cấu hình tại thằng này,két hợp group policy trong AD ... quản lý user.Và phải có tờ A4 của sếp bự.
 


Mình cần quản lý cả 2. Dữ liệu được lưu trữ trên NAS hỗ trợ cả Unix File permission (UFS) và PC File permission (NTFS). Vấn đề gán quyền truy cập dữ liệu cho từng user/group đã được áp dụng và không có vấn đề gì, ở đây môi trường bao gồm cả Windows và *Nix OS. Tuy nhiên, như mình đã nói, nếu user đã có thể qua được bước ban đầu (bằng cách fake MAC) sau đó gán đúng IP (user có thể biết được thông tin này). Từ đó, họ có thể truy cập vào các nguồn tài nguyên được cho phép để chép dữ liệu về. Nguồn tài nguyên cho phép ở đây chủ yếu là nơi chứa dữ liệu về project mà user đó đang thực hiện.

vậy ở cty bạn IP được cấp thế nào static or dynamic, sao không thử gán IP bằng MAC xem thế nào. 


Ở chỗ mình dùng cả 2. Bạn nói rõ thêm về vụ "gán IP bằng MAC được không" ?

Cảm ơn cậu cái feenac nhé,trước kia tớ cũng có post lên cái yêu cầu ni nhưng chưa có dịp triển khai. Sẵn tiện cậu làm cái tut về cái nì luôn 


Mình setup chủ yếu bám vào hướng dẫn trên trang chủ và diễn đàn thôi. Nếu có thời gian sẽ làm cái tut như bạn nói smilie

PS: Có vẻ mình hơi cầu toàn. Nhưng vì thấy giải pháp mình đưa ra chưa được vẹn toàn cái cảm giác khó chịu sao đó.
To achieve the impossible, one must thing the absurd - to look where everyone else has looked, but to see what no else has seen.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 19/03/2009 23:32:49 (+0700) | #7 | 173805
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Tớ vẫn chưa thấy cậu quản lý data ở mức user. IP và MAC chỉ là điều kiện để truy cập,khi truy cập thì phải phân quyền ..đại loai hoat động theo AAA. Chẳng hạn tớ có file server chứa hai thư mục A:chứa phần công việc của từng user đối với dự án (user làm xong cái nào thì bỏ lên đây ) thư mục B chứa tài liệu liên quan đến thưc hiện dự án.

Tớ chỉ cần phân quyền hợp lý lên hai thư mục này.Chẳng hạn thư mục A chỉ cho user đưa dữ liệu lên v.v. thư mục B thì tùy theo mức độ. Dù họ có quyền "đi vào" hai thư mục này nhưng để làm được điều kia điều nọ thì họ phải là user thuộc nhóm nào đó.

Authentication Authorization Audit :tớ tô đỏ hai ý tớ định nói cậu chưa triển khai.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 20/03/2009 01:07:40 (+0700) | #8 | 173813
[Avatar]
tanlich12
Member

[Minus]    0    [Plus]
Joined: 19/03/2009 12:27:07
Messages: 5
Location: binh duong
Offline
[Profile] [PM] [WWW] [Yahoo!] [MSN]
Theo mình biết thi bạn nên tao cho mỗi máy một acc khác nhau và pass tuy người và cho họ môt địa chỉ chỉ IP theo quyền sử dụng . còn người khác mang laptop vào ma không có user và mật khẩu truy cập ( IP ) là bó tay . chúc bạn thành công smilie smilie smilie
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 20/03/2009 01:45:53 (+0700) | #9 | 173814
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]

tanlich12 wrote:
Theo mình biết thi bạn nên tao cho mỗi máy một acc khác nhau và pass tuy người và cho họ môt địa chỉ chỉ IP theo quyền sử dụng . còn người khác mang laptop vào ma không có user và mật khẩu truy cập ( IP ) là bó tay . chúc bạn thành công smilie smilie smilie  

Cái kỹ thuật này cần có phân tích cụ thể để hiểu và sữ dụng được.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 30/03/2009 11:51:42 (+0700) | #10 | 175266
[Avatar]
ngochoan2003
Member

[Minus]    0    [Plus]
Joined: 15/05/2003 14:09:36
Messages: 91
Offline
[Profile] [PM] [WWW]
Ý của bạn gần giống với tình hình của chỗ mình. Theo mình được biết thì tại chỗ mình làm việc họ triển khai quản lý các máy tính thông qua 1 domain. Tại domain này họ lọc ra 1 danh sách các Mac ko được vào mạng Lan của cty ( Cắm vô là limited luôn ). Tuy nhiên, địa chỉ IP lại là Static --> chỉ cần change cái Mac đi là lại ngon lành cành đào truy cập được.
mà soft để change cái mac thì đầy --> Ko quản lý được --> Thay đổi cách quản lý. Ko quản lý theo Mac nữa mà quản lý theo tên máy tính đi --> Dùng thằng CCA ( Cisco Clean Access Agent )
đảm bảo ngon luôn.
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 30/03/2009 12:19:57 (+0700) | #11 | 175273
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
Nếu không quản MAC được thì tốt nhất đừng có quan tâm tới nó nữa mà nghĩ tới những biện pháp khả thi hơn.
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: [Hỏi] Giả (Fake) Mac address - Cách phát hiện và phòng chống 10/04/2009 11:19:11 (+0700) | #12 | 176485
[Avatar]
1mp0ss1bl3
Member

[Minus]    0    [Plus]
Joined: 14/02/2008 21:32:58
Messages: 41
Location: ...
Offline
[Profile] [PM]
Hi,

Mình đã có giải pháp cho vấn đề này, nhưng không thuộc về kĩ thuật mà về con người. Tạm thời sẽ thành lập 1 ban gọi là ban "an toàn thông tin". Thành viên của ban này được chọn từ thành viên của tất cả các bộ phận còn lại. Nhiệm vụ là sẽ tuyên truyền, giám sát, cập nhật ... các policy của công ty về "an toàn thông tin".

@vik: Mình xin giải thích rõ hơn
1. Authentication: Để truy cập vào bất kỳ nguồn tài nguyên mạng nào, điều đầu tiên user phải xác nhận được mình là ai thông qua username và password.
2. Authorization: Sau khi user đã được xác thực. Tùy theo ACL đã được thiết lập, user chỉ có quyền truy cập vào 1 số nguồn tài nguyên nhất định.
3. Audit: Cái này mình chưa rõ. Có phải ý bạn muốn nói là audit file/folder access? Nếu vậy mình cũng đã triển khai.

@Mr.Bí: smilie Mình đang chuyển hướng theo gợi ý của bạn.

BTW, thanks các bạn đã góp ý.
smilie
To achieve the impossible, one must thing the absurd - to look where everyone else has looked, but to see what no else has seen.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|