[ Безопасность Internet в LAN ]

Мы живем в новой эре компьютеризации, когда люди объединяются между собой в сети. Порой они достигают несколько тысяч, 
миллионов человек. Но лидерство безусловно держит Интернет - огромная паутина и "свалка" данных, к которому и 
подключаются тысячи людей ежедневно. Это естественно - самый большой источник информации. Это и общение, и обмен 
файлами, и знакомства, и работа - все в одном. Но именно сейчас остро стоит вопрос "безопасности". По опыту знаю: 
даже самые внимательные администраторы сетей, которые круглые сутки что и дело следят за работой сети, зачастую 
"безопасность" оставляют на второй план. Многие локальные сети подключаются к Интернету через сетевые роутеры, т.е. 
выходя в интернет по несколько человек одновременно через один сервер (под одним IP адрессом). Внимательные 
администраторы ставят различные firewalle для ограничения доступа к Интернету через локальную сеть, при этом 
пропуская компьютеры только по IP адрессу (в лучшем случае IP+MAC). Но что стоит злоумышленнику подменять свои данные 
под пользователя, подключенному к интернету через роутер, не много "покапаться" в "Настройках сети"? Ведь там порой 
даже не требуется вводить не то что пароль, даже логина пользователя!!! На данный момент имеется не большое количество 
программ, которые следят за изменениями в локальной сети (кто меняет IP, МАС адресса, имя компьютера и т.д). Поэтому 
давольно сложно найти злоумышленника, особенно по холодным следам!! 
В данной теме хочу описать несколько программ, которые помогут сетевым администраторам следить за состоянием локальной 
сети и доступом по ней в интернет.
1. Как я уже говорил, первым делом следует поставить firewall - программа для ограничения доступа к какому либо порту, 
программе. Firewall также обнаруживает программы-сниферы в сети, все возможные ddos атаки, блокируя их. Не буду 
расхваливать какую либо из них, здесь выбор будет за администратором. Единствнное что от них нужно - ограничить доступ к 
порту 53/TCP (DNS сервер) по Ip и МАС адрессу, блокируя все IP,МАС кроме тех, кто должен иметь доступ к Интернету.
2. При установке самого DNS сервера/роутера следует изменить стандартные пароли (обычно-admin:admin, admin:1234) на свой 
(лучше пароли, сочитающие  буквы,цифры, спец.символы в хаотичном порядке). Далее следует убрать доступ к админ-панели для 
настроек роутера (при установке открывается 80 (http) порт со страницей для ввода логина и пароля администратора. При 
этом лучше полностью ее убрать, т.к. даже при смене пароля, злоумышленник может применить метод brutforce.
3. Скачать снифер (например SnifferPro4.5, PRTG Graphik Trafic, NetSniffer-110) и прослушивать 53 порт, записывая 
результат в log файл.
4. Так же желательно для более понятной картины поставить "мониторы" сети, наблюдая за обменом пакетов между вашим 
сервером и другими компьютерами сети в оnline режиме (например программы Net Activity Diagram, IPCheck Server Monitor, 
BWMeter, Bandwidth Monitor Extreme,Traffic Inspector,Billion NetWatcher).
5. Установить программы для подсчета интернет трафика (пример:Ethernet Internet traffic Statistic, Internet Access Monitor).
6. В этом пункте хочу обратить внимание на две программы, следящие за сменой IP,MAC адрессов в сети, сменой Имени 
компьютера и т.д.


<NetCP>
Из описания программы разработчиков:

"Контроль Сети" создавался для того, чтобы видеть что происходит в большой локальной сети: изменения IP адресов 
компьютерами, смена NetBIOS имен, конфликты IP и попытки подмены MAC адресов все это видно пользователю программы, и 
заодно записывается в журнал.

Наблюдение:

    * показывает появление всех новых сетевых адаптеров в локальной сети;
    * может предупреждать при включении/выключении определенного компьютера в сети;
    * проводит пассивное опознание версии операционной системы;
    * показывает изменения NetBIOS имен компьютеров;
    * отслеживает работу удаленных компьютеров с DHCP серверами;
    * обнаруживает ARP сканирование сети.

Диагностика:

    * показывает конфликты IP адресов между компьютерами в локальной сети;
    * показывает изменения IP адресов компьютерами;
    * ведет журнал вышеперечисленных событий в текстовом формате.

Особенности:

    * корректно работает совместно с межсетевыми экранами;
    * работает под правами обычного пользователя;
    * легко справляется со своими задачами даже при высокой загрузке сети.
______________________________________________________________________
Если у вас не установлен .NET Framework 2.0, то его можно загрузить 
http://www.microsoft.com/downloads/details.aspx?FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5&displaylang=en

По всем вопросам: [email protected]
______________________________________________________________________

Можно подумать, зачем нам устанавливать столько программ, если можно обойтись одной NetCP и firewall, ведь из-за них 
столько тормазов? Ответ: Да, все программы будут потреблять много Оперативы, но все это ради безопасности ваших данных. 
Из этой статьи вы должны вынести только методы защиты и ограничения доступа к Интернету по локальной сети. Никто не 
заставляет использовать все сразу, вы сами должны решить, что вам дороже: безопасность либо "утечка" ваших денег и 
интернет трафика. Можно использовать оптимальный набор: firewall,NetCP, Layer-2 Network Guard. Но для этих условий 
нужен постоянный контроль администратора за происходящим в сети. Тем более не известно, на что способен злоумышленник, 
ради "халявы". Я привожу пример автоматизированной работы "всей системы безопасности в целом" без особого контроля 
администратора сети. Конечно, для этого нужен не плохой сервер с хорошей производительностью, но опять же - все ради 
безопасности. 

И ещё две программы, не менее важных:
<Layer-2 Network management Tools>

Из описания программы разработчиков:

Layer-2 Network Guard

    * Контроль и запрет смены MAC/IP адресов в сети

    * Защита от несанкционированного доступа/подключения

    * Программное отключение от сети

    * Контроль и запрет использования PPPoE сервисов

    * Запрет использования broadcast/multicast сервисов (чаты, netbios и т.д.)

    * Защита сети от ARP атак


-------------------------------------------------------
 PPPoE Monitor

    * Непрерывный мониторинг доступных концентраторов

    * Построение графиков времени отклика концентраторов

    * Обнаружение нелегитимных концентраторов

    * Контроль целостности кабеля до ближайшего коммутатора (сетевого узла)

    * Звуковая сигнализация при форсмажорных обстоятельствах

    * Быстрое создание PPPoE подключений на указанный концентратор


http://l2nt.info/download.htm
http://l2nt.info/l2ng.htm
http://l2nt.info/faq.htm
________________________________________________________

В данной статье я постарался привести максимально эффективные программные стредства для контроля доступа из локальной 
сети в интернет. Большую часть приведенных в примере программ можно найти на securitylab.ru. 
На пометку: Даже самые лучшие средства защиты не гарантируют полный контроль над сетями. На данный момент не существует 
полностью автоматизированных систем, не требующие участия человека. За всем происходящим должны следить мы сами !!!
Также в статье я не упомянул уязвимые порты (21,23,80,135,445 и др.), по которым злоумышленник может достать пароли ко 
всему, в том числе и к интернету. Более подробную информацию про уязвимые порты и их безопасность можно поискать в 
интернете на различных сайтах и форумах. Продолжение смотрите в следующих журналах по сетевой безопасности на сайте 
22h.by.ru 

Специально для журнала 22h (с) BackTrack