Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Milyen routert?
  5. (kiemelt téma)
Keresés

Új hozzászólás Aktív témák

  • #59170 #19482368 törölt tag Core2duo6600 #59158
    Új Válasz #59170
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

    #19482368

    törölt tag

    válasz Core2duo6600 #59158 üzenetére

    Melyik Layer 2 pl Edege PRO van lehetőség rá hogy beállítsd. .Unifi vonalon a PRO is Layer 3. Más Gyártó pl cisco catalyst

    Miért érdekes ez, mert a lakossági soho routerekre be lehet hoppolni. Ahogy le írta a kérdező mit szeretne megvalósítani. Minden féle képen ajánlott.
    A leggyakrabban előforduló Layer2 támadási módszerek
    CAM table overflow, VLAN hopping, Switch Spoofing,  Double Tagging, Spanning-Tree Protocol manipulation, DHCP starvation, Rouge DHCP server, MAC Address Spoofing, illetve ARP Spoofing

    Proxy minek is?
    Igaz a Unifi, Edge eszközökbe van beépített proxy server lehetőség, CLI keresztül be is lehet üzemelni. De nem az igazi. Ennek oka az, hogy izmosabb hardver kell neki. Mert ….
    A csomagszűrő tűzfal egy jó dolog. Ami a Linuxban van szintén. Teszi a dolgát és szűri a forgalmat. De vannak komoly korlátai. A legfontosabb korlát, hogy nem, vagy csak minimálisan képes a protokollt felismerni.
    Miért és hol gond ez?
    Egy egyszerű példánál maradva, tételezzük fel, hogy a belső hálózatod számára meg szeretnéd engedni a böngészést. Ehhez a tűzfalon kinyitod a 80 (HTTP) és 443 (HTTPS) TCP portokat kifelé. Tegyük fel nagyon gondos vagy és csak a proxy szervert engeded ki, mindenki azon keresztül böngészik. Más forgalmat a tűzfalon nem engedsz át. Ez biztonságosnak hangzik, ugye?
    Akkor hol a hiba?
    A hiba ott van, hogy a tűzfal HTTPS forgalmat csak "továbbítja", mivel az egy kódolt (SSL) csatorna. Tehát semmit nem tud arról, milyen forgalom megy át. Ha proxy sincs, akkor pedig direktben érhetőek el a 443-as porton futó szolgáltatások, ami ugye a biztonságos web, a HTTPS
    Hogyan lehet ezzel visszaélni?
    Az a baj, hogy ez pofon egyszerű: mindössze egy SSH szerver és egy SSH kliens kell hozzá. Az SSH szerver lehet bárhol, a lényeg, hogy annak korlátlan netkapcsolata legyen és a 443-as TCP porton fusson az SSH. Ezt könnyű létrehozni (10 perc alatt regisztrálhat bárki kb. virtuális szervert publikus IP-vel és Linux rendszerrel.
    A kliens oldalon (a védett hálózatban bármely operációs rendszer jó, nem csak a Linux) kell egy SSH kliensprogram. Ez sem gond, nem kell hozzá semmi extra. Innen két megoldás mutatkozik. A durvább teljes IP forgalmat tud átvinni bármely(!) irányban, tehát kintről befelé is. A szerencse itt az, hogy ehhez rendszergazdai (root) jog kell a kliensen. Ennek hiányában "csak" egyes TCP portokat tud beengedni valaki (már ha az kevésbé gond). Kifelé azonban minden extra jog nélkül BÁRMIT.
    És csak az alábbi parancs kell hozzá:
    ssh -ND 1080 -p 443 külső-szerver
    Ha proxy nehezíti a feladatot, akkor Linux alatt a corkscrew gyorsan megoldja:
    ssh -ND 1080 -p 443 -o 'ProxyCommand corkscrew proxy-címe proxy-portja %h %p' külső-szerver
    Innen már csak a megfelelő alkalmazást (pl. böngésző) kell beállítani, hogy a localhost címen a 1080-as porton SOCKS5 proxyt használjon. Ezt szinte minden program ismeri. Az ajtó nyitva áll.
    Mit tehetsz ellene?
    A megoldás kézenfekvő, de cseppet sem egyszerű. Olyan proxy vagy tűzfal megoldás kell, ami nem csak a portot nyitja, hanem érti a protokollt is. A fenti példánál maradva egyrészt az SSL-t, másrészt a HTTP-t (ezen kettő kombinációja a HTTPS). Igen, ez azt jelenti, hogy ki kell bontani a titkosított kapcsolatot, de jelen pillanatban tudomásom szerint ez az "ára" annak, hogy a hálózatot valóban megvédd. Ha ezt teszed, az SSH nem jut át, mert az SSL mögött nem HTTP van, így a tűzfal blokkolja.
    Van ilyen proxy vagy tűzfal?
    A jó hír az, hogy IGEN. Linuxra is. Az egyik a Squid új verziója.

Új hozzászólás Aktív témák