MAC adresa, HITNO

[jozza]

Imam problem u firmi u kojoj radim, admin koji je dobio otkaz mi nije ostavio Pass za switch pa ne mogu da vidim ko shta radi na netu, a ne bih da rushim celu mrezu ako ima drugog reshenja. Problem je shto neko skida pola interneta na svoj komp za vreme radnog vremena, ali ne mogu da ga ulovim. Kako da saznam MAC adresu ove shtetochine, samo da mogu da ga opomenem. Problem je shto je shef vec optuzio koleginicu koja nema veze sa tim. Vec znam ko bi mogao da bude, snimio sam WD 1TB na stolu od jednog "struchnjaka" u firmi.

 

[zeleni_zub]

Podigneš neki proksi i propustiš samo njega na internet. Tako ćeš imati uvid u aktivnosti korisnika na internetu.

To što niko u firmi nema pristup mrežnoj opremi je, blago rečeno, katastrofa... Koji switch je u pitanju? Ako je Cisco oprema, probaj da pristupiš preko konzole. Ako je i tu postavljena šifra, postoji password recovery procedura (ali moraš da uradiš restart uređaja). Ako je isključen password-recovery servis, onda se nadam da imaš konfiguraciju sačuvanu negde. Ili da umeš da napišeš novu.


Mada za to šta tebi treba (ako nemaš puno računara) najjednostavnije je da lepo pogledaš browser history, proveriš ko ima instaliran neki P2P software i skineš pstools (http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx) pa povremeno proveravaš ko šta ima od procesa aktivno na računaru.

Sve to uradiš sa svog računara ako si domenski admin ili ako imaš admin šifre od računara.


edit: A možeš i svima da instaliraš neki VNC i da ih nadgledaš.

 

[mad_max0204]

PROXY POWAH

 

[Yellow Pinky]

@jozza

Cak i da dobijes pass za switch kako mislis preko njega da nadgledas korisnike ? Moze kratko objasnjenje ?

Ukoliko je u pitanju Cisco switch moze se odraditi password recovery ali samo putem konzolnog kabla (i restarta switcha).

edit : Hmm .. U slucaju da je Cisco switch i dobijes pristup mozes da iskljucis interfejs switcha na kome je prikljucen onaj u koga sumnjas Najednostavnija metoda. Ukoliko se ispostavi da to nije ta osoba onda gasis jedan po jedan dok ne nahvatas "prekrsioca" .

 

[zeleni_zub]

Cak i da dobijes pass za switch kako mislis preko njega da nadgledas korisnike ? Moze kratko objasnjenje ?

1. show interface pokazuje input i output rate za poslednjih 5 minuta. Ako je jedan korisnik po portu može da vidi čiji protok odskače od proseka (jeste da nije samo internet, ali može da provali ko je).

2. može da uradi mirror porta, pusti wireshark i lepo snima sav saobraćaj sa te radne stanice neko vreme. I tu lepo pogleda koje konekcije ima.

Sigurno može još nekako na samom switch-u, samo ja se ne razumem baš puno u mrežnu opremu pa ne bih znao.

 

[Yellow Pinky]

@zeleni zub

Prva metoda je mozda i najbolje resenje bez mnogo petljanja ali to treba objasniti sefu koji se vec nameracio na neduznu osobu.
Jos samo jozza da se pojavi i da nam kaze da li je nesto postigao ili ne.

Sigurno može još nekako na samom switch-u, samo ja se ne razumem baš puno u mrežnu opremu pa ne bih znao.

Razumes se ti samo se pravis da ne .
Navodjenjem onih dveju metoda si se nacisto odao .

 

[zeleni_zub]

Jos samo jozza da se pojavi i da nam kaze da li je nesto postigao ili ne.

Možda je počeo password recovery na switchu, pa će mu trebati neko vreme dok opet dođe do interneta. Ili je provalio ko to zloupotrebljava internet, pa sada imaju prijateljski razgovor u četiri oka.


Ozbiljno - slabo se ja razumem u mreže. Mislim, znam koliko moram da znam kao sys. admin, ali nemam neku želju da postanem net. admin.

 

[jozza]

Evo i mene. Spasio sam koleginicu tako shto sam dao shefu odshtampan print-screen sa wireshark-om sa mog laptopa, a ovaj poverovao da je to koleginicin "uhvacen" saobracaj. Necu proxy, jer mora sve da bude transparentno za korisnike, bez da im chachkam po lapovima. Odradicu za vikend mirror portova, pa wireshark, pa kad sledeci put vidim da neko divlja, eto crno na belo. Sad su se svi primirili. Inache u firmi je haos, DC i AD ne postoje, "server" je jedan desktop koji sluzi za bekap, i stoji pored vrata. Al' uskoro zavodim red, dislocirani data centar je zakupljen, Dell PowerEdge server naruchen, pa ce se znati ko vozi traktor, a ko otvara kapiju. Zna li neko kako da im limitiram download, brzinom ili kolichinom, a da opet sve bude transparentno?

 

[zeleni_zub]

Proxy može da bude transparentan - samo se podesi ip forwarding na toj mašini i obavestiš korisnike da im se default gateway promenio. Možeš i da mu dodeliš IP default gateway-a a def. gw. da prebaciš na neku drugu adresu ako već nemaš ni jedan server. Proguglaj malo "transparent proxy" i "ip_forward" - postoji gomila tutorijala.


Ne znam kako si zamislio da uradiš mirror svih portova na kojima su korisnici - na svim tim mirrorovanim portovima treba da imaš po jednu mašinu sa wireshark-om??? Za time stvarno nema potrebe. Dovoljno ti je da ostaviš jedan port prazan i da na njega mirroruješ port po potrebi. Na tom portu držiš mašinu sa wiresharkom.
U principu to nije baš efikasan metod nadgledanja korisnika. Možeš da analiziraš aktivnosti jednog korisnika u kratkog periodu, ali je praktično neizvodljivo da konstantno pratiš aktivnosti više korisnika. To sam ti predložio čisto kao najlakši način da jednokratno utvrdiš ko pravi problem u mreži.

Za kontrolu pristupa internetu najefikasnije je da podigneš proxy.

 

[Yellow Pinky]

Jozza nisi naveo koje uredjaje koristite.
Znam iz teorije (nisam probao prakticno) da ukoliko koristite Cisco switcheve u zavisnosti od modela mozes sve portove na switchu mirrorovati. Port mirroring se moze izvesti za odredjene portove, sve portove ili ceo VLAN na tom switchu ukoliko switch podrzava tu funkciju.
Funkcija mirrorovanja na cisco uredjajima se zove SPAN (Switched Port Analyzer).
Ukoliko koristite cisco uredjaje a ne znas kako mirrorovati javi se ovde pa cu ti napisati kako bi trebalo konfigurisati switch.

 

[jozza]

Switch je Allied Telesis, a samo 2 porta su mi simnjiva, tako da mirroring ne bi bio problem, jedan po jedan. Evo sad analiziram dokumentaciju switcha. Switch ima COM port, ali mi ne da da pristupim bez shifre. Pashce reset. A posle :smackbum:
Najveci mi je problem shto mi niko ne da svoj laptop, chak i kad imaju neki problem, jer nisam zvanichno administrator, josh sam na probi. Nije mi problem da neko neshto skida sa neta, ali ne volim spletkarenja, hocu da se obezbedim unapred.

 

[Yellow Pinky]

COM port na AT switchu je najverovatnije konzolni port. Mozda ces morati password recovery da odradis ali ja ne znam kako se to radi na AT opremi.
Nista nakon sto nadjes leechera ostaje ti da permanentno resis taj problem i mozda ne bi bilo lose da poslusas zelenog i odradis to putem transparentnog proxija.
Ja se ne razumem najbolje u sistemsku administraciju te ti ne mogu dalje pomoci (odmoci ).

 

[jozza]

Sva sreca pa nisam sam u ovome, imam saveznika iznutra koji je spreman da mi pomogne (upravo je pao dogovor). Hvala svima na savetima, smislicemo vec najbolju varijantu. PozZ :wave:

 

[pdetlic]

Nisi napisao koji ruter i firewall koristiš (nadam se da imaš neki). Sav saobraćaj prema internetu mora kroz njih tako da i nemoraš da imaš fizički pristup računarima. Ja koristim mikrotik. Uređaj sa 5 Gigabitnih portova + jača licenca na 3 godine cca 200 €. Podignut DHCP server, IP adresa računara linkovana sa MAC adresama (da znam ko je ko), podignut transparentni proxy, ograničenje i prioritet vezani za IP adresu, a kroz proxy blokirani sajtovi po želji (koji ti jedu protok).
Na WAN dozvoliš samo poznatim adresama. Ko neće da ti da svoju IP adresu ili je unese ručno - disebluješ mu izlaz na internet. Dozvoliš samo poznate portove (80, 25, 110, ...) i uživaš.

 

[Serveto]

Nisi napisao koji ruter i firewall koristiš (nadam se da imaš neki). Sav saobraćaj prema internetu mora kroz njih tako da i nemoraš da imaš fizički pristup računarima. Ja koristim mikrotik. Uređaj sa 5 Gigabitnih portova + jača licenca na 3 godine cca 200 €. Podignut DHCP server, IP adresa računara linkovana sa MAC adresama (da znam ko je ko), podignut transparentni proxy, ograničenje i prioritet vezani za IP adresu, a kroz proxy blokirani sajtovi po želji (koji ti jedu protok).
Na WAN dozvoliš samo poznatim adresama. Ko neće da ti da svoju IP adresu ili je unese ručno - disebluješ mu izlaz na internet. Dozvoliš samo poznate portove (80, 25, 110, ...) i uživaš.

Meni ovo deluje kao najopustenije resenje.
Kad se neko pozali "da ne moze da pristupi ni jednoj stranici", pitaj samo sta je radio.. :d

 

[salac]

Malo kasnim ali da pomenem da port mirroring koji imaju svi noviji modeli switcheva dopusta da se mirroruje i sav saobracaj sa definisanog VLAN-a (prakticno celog switcha ako postoji samo jedan vlan).

Najbolje resenje za otkrivanje problema ove vrste.

 

[velja_bg]

ne znam da li je ovo reseno na kraju, ali po opisu deluje da je svic upravljiv, pa verovatno podrzava SNMP (koji obicno nije ni blokiran ni zasticen sifrom za read-only u LAN-u). onda samo raspali MRTG-om (Linux) ili PRTG-om (Windows) ili drugim SNMP alatkama po zelji posle nekoliko minuta mozes lepo da vidis koji UTP port odskace po saobracaju