Skocz do zawartości

Bezpieczne Dhcp Deny Unknown-clients


samba

Rekomendowane odpowiedzi

Witam

Mam 2 interfacy

eth0 -10.10.10.1 LAN

eth1 -WAN dynamicznie przydzielane

Zrobiłem zabezpieczenie przed podszywaniem (dodawaniem nowych kart sieciowych, zmianom mac)

1) w pliku hosts zrobiłem statyczne wpisy :

127.0.0.1  localhost localhost.localdomain
::1 localhost6.localdomain6 localhost6
10.10.10.1 serwer.domena.pl serwer
10.10.10.140 cpg405n
10.10.10.141 hp5000n
10.10.10.142 komp1
itd

W pliku /etc/etheres mam wpisy typu:

 

nazwa_komputera   adres_mac np:
SERWER.DOMENA.PL.PL mac_adress w postaci 00:01:02:03:04:05
komp1 00:1f:d0:27:d1:be

 

do /etc/rc.d/rc.local dodałem wpis aby tablice mac adresów były na sztywno przypisane do adresów aby uniemożliwić przydzielenie IP nowym kartom sieciowym

sbin/arp -i eth0 -f /etc/ethers

 

Mój konfig dhcpd.conf

option ntp-servers 10.10.10.1;                                                                                               
dhcpd_interfaces="eth0";                                                                                                     
authoritative;                                                                                                               
ddns-update-style interim;                                                                                                   
deny unknown-clients;                                                                                                        
                                                                                                                             
                                                                                                                             
shared-networkznani_klienci                                                                                                 
        default-lease-time 2880;                                                                                             
        max-lease-time 2890;                                                                                                 
        option netbios-name-servers 10.10.10.1;                                                                              
        option netbios-node-type 8;                                                                                          
        option ntp-servers 10.10.10.1;                                                                                       
        authoritative;                                                                                                       
                                                                                                                             
subnet 10.10.10.0 netmask 255.255.255.0 {                                                                                    
        range 10.10.10.140 10.10.10.171;                                                                                     
        deny unknown-clients;                                                                                            
}                                                                                                                            
                                                                                                                             
        host serwer {                                                                                                        
             hardware ethernet xx:xx:xx:xx:xx;                                                                            
             fixed-address 10.10.10.1;                                                                                       
             }                                                                                                               
        host Rnpe31e23 {                                                                                                     
             hardware ethernet 00:1c:c0:7f:7a:89;                                                                            
             fixed-address 10.10.10.143;  
            }
           }

[b]shared-network intruzi {   [/b]                                                                                                 
           option routers 10.10.0.1;                                                                                        
           default-lease-time 360;                                                                                          
           max-lease-time 360;                                                                                              
           allow unknown-clients;                                                                                           
subnet 10.10.0.0 netmask 255.255.0.0 {                                                                                      
           range 10.10.0.200 10.10.0.220;                                                                                   
           }                                                                                                                
}

I teraz mam takie pytania:

- jakkolwiek nie zadeklarowałbym hostów które mają na sztywno przypisany IP po MAC dostaję w logach błąd

"WARNING: Host declarations are global. They are not limited to the scope you declared them in."

1) Jak zadeklarować aby hosty które otrzymują IP statycznie (shared-network znani_klienci) nie były w sekcji global i odpowiednie ustawienia dhcp odnosiły się tylko do nich??

2) Jak zrobić aby nieznani klienci (intruzi) dostawali inne ip , maskę itp tak aby nie widzieli sieci 10.10.10.0 ??

3) czy istnieje sposób aby nieznany host został przekierowany i automatycznie odpalił mu się tekst (poprzez przeglądarkę lub skrypt który mapuje dysk (samba) na którym jest plik tekstowy) z informacją dlaczego nie widzi sieci ??

 

Przy powyższym configu znane hosty otrzymują maskę oraz ip routera(bramy) z wpisów dla hostów nie znanych (shared-network intruzi)! Oczywiście IP dhcpd przyznaje klientom prawidłowe ale inne wartości - brama, maska itp są złe i pochodzą z sekcji intruzi . Zaremowanie shared-network intruzi i wszystkiego poniżej rozwiązuje problem.

JAk zrobić aby intruzi dostali celowo zły adres IP bramy maskę itp a klienci znani normalnie łykali ustawienia ??

 

5) przy włączonym skrypcie etheres zauważyłem że nie działa rozwiazywanie nazw tj.

tracert wp.pl

pokazuje

cannot handle "host" cmdline arg wp.pl on position 1 (argc 1)

 

Jak rozwiązać ten problem ??

 

Mózg mi paruje od wymyślania co może być nie tak

Odnośnik do komentarza
Udostępnij na innych stronach

Może ktoś pomóc ? Może znacie jakieś programy bądź lepsze zabezpieczenie przed zmianą adresów mac ?? arpwatch działa biernie tj. wysyła tylko maile że dany IP zmienił MAC natomiast chciałbym aktywnego narzędzia które nie pozwoli na zmianę mac lub zareaguje blokadą IP lub komputera.

 

 

Odnośnik do komentarza
Udostępnij na innych stronach

Witam

 

Może to pomoże ci dojść gdzie jest babol :

 

 

subnet 10.10.10.0 netmask 255.255.255.0 {     <------ Zwróć uwagę na nawias :>    Początek deklaracji subnet                                                                           
        range 10.10.10.1 10.10.10.120;

#Tu deklaracje hostów
   host serwer {                                                                                                        
             hardware ethernet xx:xx:xx:xx:xx;                                                                            
             fixed-address 10.10.10.2;                                                                                       
             }           
    host serwer {                                                                                                        
             hardware ethernet xx:xx:xx:xx:xx;                                                                            
             fixed-address 10.10.10.3;                                                                                       
             } 
deny unknown-clients   
}

Daj znać jak poszło GL

Odnośnik do komentarza
Udostępnij na innych stronach

Zrobiłem tak :

shared-network znaniklienci {

        subnet 10.10.10.0 netmask 255.255.255.0 {
        range 10.10.10.140 10.10.10.171;
        default-lease-time 2880;
        max-lease-time 2890;
        option netbios-name-servers 10.10.10.1;
        option netbios-node-type 8;
        option ntp-servers 10.10.10.1;
        authoritative;

deklaracje hostów

  deny unknown-clients;
            }
            }

Czyli usunąłem nawias "}" pod deny unknown-clients; a dodałem drugi na końcu konfigu oraz przesunąłem linijkę deny unknown-clients na dół configu.

 

W /var/log/messages dostaję WARNING aczkolwiek dhcpd podnosi się

WARNING: Host declarations are global.  They are not limited to the scope you declared them in.
Sep  9 14:43:07 serwer dhcpd: Wrote 0 deleted host decls to leases file.
Sep  9 14:43:07 serwer dhcpd: Wrote 0 new dynamic host decls to leases file.
Sep  9 14:43:07 serwer dhcpd: Wrote 0 leases to leases file.

 

Tak więc jak ustawić dhcp by deklaracje na szytwno znanych hostów nie były globalne tylko dla sieci znany klienci a dla sieci intruzi- klienci tej sieci mają dostawać błędną maskę oraz IP tak aby nie widzieć sieci 10.10.10.1/24 ??

 

Ciekawi mnie też jakie ustawienia dhcp mają operatorzy dużych sieci np WIFI gdzie nie znani klienci łącząc się są przekierowani do strony z informacją ?

Odnośnik do komentarza
Udostępnij na innych stronach

dhcpd.conf #
ddns-update-style none;

### PODSIEC 1 #######################################

shared-network my_shared_net {

subnet 192.168.104.0 netmask 255.255.255.0 {
authoritative;
option domain-name "domena.pl";
option domain-name-servers 192.168.104.1;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.104.255;
option routers 192.168.104.1;
option netbios-name-servers 192.168.104.1;
default-lease-time 86400;
max-lease-time 172800;

host PRZYKLADOWY {
hardware ethernet 00:00:00:00:00:00;
fixed-address 192.168.104.2;
}
}
################## PODSIEC 2 ######################
subnet 192.168.105.0 netmask 255.255.255.0 {
authoritative;
option domain-name "domena.pl";
option domain-name-servers 192.168.105.1;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.105.255;
option routers 192.168.105.1;
option netbios-name-servers 192.168.105.1;
default-lease-time 86400;
max-lease-time 172800;

host PRZYKALDOWY2 {
hardware ethernet 00:10:E0:11:C0:00;
fixed-address 192.168.105.2;
}
}
############### PODSIEC 3 ################
subnet 192.168.106.0 netmask 255.255.255.0 {
authoritative;
option domain-name "domena.pl";
option domain-name-servers 192.168.106.1;

option subnet-mask 255.255.255.0;
option broadcast-address 192.168.106.255;
option routers 192.168.106.1;
option netbios-name-servers 192.168.106.1;
default-lease-time 86400;
max-lease-time 172800;

host PRZYKLADOWY3 {
hardware ethernet 00:1D:7D:A9:39:DC;
fixed-address 192.168.106.2;
}
}
}

 

 

Tak na szybko znalezione Powinno byc ok po dodaniu deny unknow clients.Tylko to jest wersja dla kilku podsieci

Nie proście by było zdefiniowac jeden range dla tych co maja sie dostac a całą reszte w deny. Mniej pisania i tylko byś dodawał użytkowników uprawnionych. I chyba lepiej by się tym zarządzało

 

 

pzdr

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...