作者 主題: 請教 跑到別人辦公室 帶notebook 可否 以 假 ip 入侵 ?  (閱讀 16854 次)

0 會員 與 1 訪客 正在閱讀本文。

emomeorg

  • 可愛的小學生
  • *
  • 文章數: 26
    • 檢視個人資料
假設  別人 辦公室 的 網頁主機 的ip  是 10.1.1.1 (MASK 255.255.255.0)

辦公室 內 採用 固定ip 設定 ( 沒有DHCP裝置 且僅用 hub 互相連網 )

而我 帶的 notebook   IP 若設成 10.10.10.10  (mask 255.0.0.0)

我可以 去 插上 hub 後 正常連入LAN 網 並且 登入 該台 主機 嗎 ?

讓 該主機的 入侵log 顯示出  10.10.10.10 特定ip 的 入侵紀錄嗎 ?

ps. 請各位高手幫忙 , 這很重要..  可以幫助 我追蹤一些 奇怪的 入侵紀錄 ?

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
如果, 你的電腦網域設計成別人隨便拿一台電腦接上網路就能碰觸, 我會認為是MIS你的失職.......



我是說真的, 因為你怎麼會犯下這麼大的錯誤, 讓沒經過你允許的電腦連接到你的網路上來?

---
以我公司的規劃, 加上現在終於有能用的交換器骨幹之後. 每個地方都鎖MAC與IP; 客戶或廠商來, 規劃一區讓他們取得DHCP, 並且必須掛上我有防毒的proxy才能出去. 誰知道這些天才們會不會帶著病毒跟炸彈到你公司?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

emomeorg

  • 可愛的小學生
  • *
  • 文章數: 26
    • 檢視個人資料
對不起 .. 您誤會了 問題的重點了..

辦公室的 機制 (1)DHCP比對MAC 及 (2)FIREWALL杜絕內部IP直接連外, (3)強制PROXY 才可連網 (4)重要的機房 把HUB換成 高價位的SWITCH 也都鎖了PORT  , 而且還不能相信MAC , 還要 對資產管理 預防 假MAC 騙取真IP , 都已設置的..

但我必須  " 假設 "  有別人的辦公室 沒有這麼多財力或人力 做這些事時 , 會不會有 一種  假設的資安情況 ..

在原本 只是 C級IP網段 LAN 裏頭  , 讓 a 或 b 級IP 存在於內部 ??   即 :

SERVER (10.1.1.1) 能讓  HUB 相連的  PC (10.10.10.10) 正常連上 嗎 ?

SERVER (10.1.1.1)  <-> HUB <-> PC (10.10.10.10) /mask 255.0.0.0

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
引述: "emomeorg"
對不起 .. 您誤會了 問題的重點了..

辦公室的 機制 (1)DHCP比對MAC 及 (2)FIREWALL杜絕內部IP直接連外, (3)強制PROXY 才可連網 (4)重要的機房 把HUB換成 高價位的SWITCH 也都鎖了PORT  , 而且還不能相信MAC , 還要 對資產管理 預防 假MAC 騙取真IP , 都已設置的..

但我必須  " 假設 "  有別人的辦公室 沒有這麼多財力或人力 做這些事時 , 會不會有 一種  假設的資安情況 ..

在原本 只是 C級IP網段 LAN 裏頭  , 讓 a 或 b 級IP 存在於內部 ??   即 :

SERVER (10.1.1.1) 能讓  HUB 相連的  PC (10.10.10.10) 正常連上 嗎 ?

SERVER (10.1.1.1)  <-> HUB <-> PC (10.10.10.10) /mask 255.0.0.0


在替別人做假設?...

如果沒有做法安全防護,各種可能都可以...
對於在辦公室內的外人,
1.為什麼可以進來?..(沒有訪客登記?沒有換證?,還是說是老闆的朋友?廠商?)
2.近來後為什麼會可以上網?..(允許他上網?.允許他用妳的有線網路?.允許他直接進入無線網路?)
3.可以上網為什麼又可以登入系統主機?..(主機登入不需要驗證?主機存取不用權限管理?)

這都是MIS資訊安全防護要考量的...
而這次你的假設,當然可能...
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
引述: "emomeorg"
SERVER (10.1.1.1) 能讓  HUB 相連的  PC (10.10.10.10) 正常連上 嗎 ?

若您 10.1.1.1 這是一台 proxy 或 nat
10.10.10.10 能不能上網還須看您這 service 如何設定 , 要提供誰上網
因產生佇列 , 故  若設定檔不夠嚴謹 , 還需防火牆協助

但若這是一台其他 service 如 web , 且無防火牆 (有 web F/W 設這麼嚴謹的嗎)
那這時 10.10.10.10 的要求連線 , 10.1.1.1 會給予回覆 , 儘管 broadcast
但 10.1.1.1 回覆時走的路徑是交給他的 default gateway
此時 , 就看 10.10.10.10 是否能在這 rouing 路徑過程中再偷到封包

emomeorg

  • 可愛的小學生
  • *
  • 文章數: 26
    • 檢視個人資料
先前 問題並沒有聚焦...  很感謝 大家 耐心 又 熱心回答 !

答案 我快瞭了.. default dateway的參數設定上的問題..

10.10.10.10  default gateway 可否 不要設  10.10.10.254 (相同網段)
而設在 10.1.1.254 有沒有錯誤之處 ? (當然 submask 255.0.0.0 是重點 )

以下是同接在一起的 內網 三台電腦 的參數設定

1.  pc   (不正常的參數設定 或運用特殊技巧)
  (1) ip: 10.10.10.10
  (2) gateway 10.1.1.254    (問題出在 這台pc的參數有沒有錯 ? )
  (3) submask 255.0.0.0
 
2. web server
   (1) ip: 10.1.1.1
   (2) gateway 10.1.1.254
   (3) submask 255.255.255.0
 
3. gateway (可能是router) ip: 10.1.1.254 向wan端 路由 10.x.x.x  

-----------------------------------------------------------------------
【假設情況的一種 行為 】(臨時架設的 簡易環境 之資安比較脆弱..)

=>當 pc 登入 web server 為非做歹   正常的 webserver 的管理者 查閱

log 入侵ip資訊時, 是否會 誤以為 這個 賊  來自 於 【遠方的駭客】 ,

 而不知是【近端的內賊】 ;  我若是這個webserver 管理者,當我三不

五時發現 異常 IP (10.10.10.10)出現,,直覺判定它來自於遠方, 卻始終

 不曾懷疑內部人士為之..


選擇題 : (下列何者為是 )  (多重選擇 也可能 以上皆是 或 以上皆非 )

(1) PC 參數 不正常  真有可能這樣 設定 ?  可能 入侵 WEB SERVER ?

     => 所以 我該 開始 提防 內賊 . (內外 一起兼篢)

(2) PC所設的參數 嚴重的錯誤  ?  根本不可能 入侵WEB SERVER

    =>  繼續 將有限的經驗 投注在 加強防護 外來 駭客

(3) 單純的 依 上述三台電腦的參數設定  訊號 是不能相連的..
     必須經過 什麼 機制 或 指令  才能 讓 非正常參數設定的PC  入侵 SERVER
     => 所以  對於 內賊的 資訊程度 較高者  仍要提防 , 一般人 就不必防了..

(1) 、 (2) 、(3)何者 較對 ? 或還有其他答案 ?

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
引述: "emomeorg"
10.10.10.10  default gateway 可否 不要設  10.10.10.254 (相同網段)
而設在 10.1.1.254 有沒有錯誤之處 ? (當然 submask 255.0.0.0 是重點 )


若 submask 包含了 10.1.1.* 網段  , 10.10.10.10 的 gw 則非必要
若 10.10.10.10 有 gw , 那網路規劃恐怕有錯 ... 或有共犯

小弟舉上面 web 例子 , 網路可以是 , 例如:
     |
     f/w
     |
     nat
     |
|---------hub----------|
|      |     |
gw 10.10.10.10 web


引述: "emomeorg"
當 pc 登入 web server 為非做歹   正常的 webserver 的管理者 查閱
log 入侵ip資訊時, 是否會 誤以為 這個 賊  來自 於 【遠方的駭客】 ,
 而不知是【近端的內賊】 ;  我若是這個webserver 管理者,當我三不
五時發現 異常 IP (10.10.10.10)出現,,直覺判定它來自於遠方, 卻始終
 不曾懷疑內部人士為之..


若從 internet 用私用 IP 完成三向交握 ... 就算有
超出小弟目前所知範圍 , 擔心無義
所以小弟會先懷疑內部 , 但還尚不歸究於內賊
依您資料可看出 , DMZ 區並未規劃
內部使用者 ... 也是使用者
例如上圖網路 , hub 之存在 , 使用者中個木馬+sniffit
遠比訪客帶 notebook 嚴重吧

引述: "emomeorg"
投注在 加強防護 外來 駭客

不該專注於 "crack來不來" 吧 ... 何來內外之分

當然啦 ... 以前公司連光碟片進出門口都管制 , 何況 notebook
只是包包裡背個抽取式硬碟 ... 誰看的出來

andyj

  • 鑽研的研究生
  • *****
  • 文章數: 957
    • 檢視個人資料
引述: "日京三子"
以我公司的規劃, 加上現在終於有能用的交換器骨幹之後. 每個地方都鎖MAC與IP; 客戶或廠商來, 規劃一區讓他們取得DHCP, 並且必須掛上我有防毒的proxy才能出去. 誰知道這些天才們會不會帶著病毒跟炸彈到你公司?


三子大....
請問...如以此種說法
那只針對Internet部分
但對Lan呢?
如何避免碰觸?
跨網段?

emomeorg

  • 可愛的小學生
  • *
  • 文章數: 26
    • 檢視個人資料
謝謝大家 .. 我找到了 原先擴大 submask  不通 的 一組解答 :

10.10.10.10 (pc)  與  10.1.1.1 (server) 要在同樣是 LAN 網段內 能 互連..

原先的參數設錯  不是在 pc , 而是在 server 的submask 也要設成255.0.0.0

但是  這樣一來 內賊 要 突破 進入 server 變得 有點 難 (至少要取得 server的更改 submask的 權限 )   => 若能這樣更改 , 那麼 直接進入server 去改 要改的資料 大大方方去偷 ,  就不必大費周章 暗中進行了....

如果 有一個途徑.. 不必更動 10.1.1.1 server的任何設定 ,  內賊只改 自已能改的權限 ( 直接在 自已電腦 設一個 虛擬路由  )  能夠 大大方方  用 10.1.2.1的 ip 去 存取 server    誰又能提供 這方面的 經驗與知識呢 ?

ps . 對不起 老是把大家 誤導至  wan 與lan的 資安防護 那段..

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
引述: "andyj"
引述: "日京三子"
以我公司的規劃, 加上現在終於有能用的交換器骨幹之後. 每個地方都鎖MAC與IP; 客戶或廠商來, 規劃一區讓他們取得DHCP, 並且必須掛上我有防毒的proxy才能出去. 誰知道這些天才們會不會帶著病毒跟炸彈到你公司?


三子大....
請問...如以此種說法
那只針對Internet部分
但對Lan呢?
如何避免碰觸?
跨網段?

如果你在交換器上鎖MAC + IP, 你這個"訪客"要怎麼連線? 交換器那關都過不去了, 要怎麼碰觸你的網路?  :roll:
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

andyj

  • 鑽研的研究生
  • *****
  • 文章數: 957
    • 檢視個人資料
引述: "日京三子"

如果你在交換器上鎖MAC + IP, 你這個"訪客"要怎麼連線? 交換器那關都過不去了, 要怎麼碰觸你的網路?  :roll:

對吼.....我真是豬頭....

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
以3com 交換器來舉例

4226 建議用鎖MAC來限制

3226 建議用鎖MAC+IP來限制

4400 建議用IEEE802.1x+RADIUS來限制
業務輸入帳號密碼認證後 該埠會自動變成業務的VLAN以及業務的QOS政策
訪客輸入帳號密碼認證後 該埠會自動變成訪客的VLAN以及訪客的QOS政策
佈線深似海!
網路高如天!

erwin

  • 懷疑的國中生
  • **
  • 文章數: 45
    • 檢視個人資料
cool...想請問ZMAN,不知cisco 3750 搭 2950 可否有4400 這種功能呢?

huckly

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3420
    • 檢視個人資料
    • http://blog.huckly.net
今天花了兩個小時設定8250+windows 2k3 RADIUS失敗
改天再來試試看
IT doesn't matter

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
引述: "huckly"
今天花了兩個小時設定8250+windows 2k3 RADIUS失敗
改天再來試試看


哈克 你變心了嗎 你不再愛我了嗎
我明明只賣過你7250
說 你跟誰買的8250.....

到微軟網站按搜尋打IAS即可
佈線深似海!
網路高如天!

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
引述: "erwin"
cool...想請問ZMAN,不知cisco 3750 搭 2950 可否有4400 這種功能呢?


3750+2950已經是很完美的組合
不要太貪心


3COM 4400是一台極為怪胎的機器
特異功能很多
可惜懂得欣賞的人很少
知道怎麼用在公司環境的人更少
願意花較多錢買的起的人更稀少
酷學園裡的哈克是"巷子內的人"
公司每一台新採購交換器都是指定買4400
逼他換3226他都不肯
之前趁我沒上班整天玩樂時居然還偷偷拉光纖(只有60米的距離)....=.=
佈線深似海!
網路高如天!

huckly

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3420
    • 檢視個人資料
    • http://blog.huckly.net
可能我用nokia8250兩年,所以深深記在心中
我找過了,應該還沒找到,今天是靠w2k3德說明檔再做
沒空了,明天要弄RFID的計畫的
等去韓國回來再說
IT doesn't matter

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
引述: "huckly"
沒空了,明天要弄RFID的計畫的


一定來不及啦不要拼啦
可以求你不要弄嗎
拜託拜託
年紀大了經不起刺激


引述: "huckly"
等去韓國回來再說


愈來愈爽了喔
大陸妹換成泡菜妞
佈線深似海!
網路高如天!

huckly

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3420
    • 檢視個人資料
    • http://blog.huckly.net
審查委員說範圍縮小
老闆覺得有廣告效果
我呢,拿人薪水能說什
哀 所以先去韓國度假散心
回來再說
離題了
IT doesn't matter

erwin

  • 懷疑的國中生
  • **
  • 文章數: 45
    • 檢視個人資料
引述: "ZMAN"
引述: "erwin"
cool...想請問ZMAN,不知cisco 3750 搭 2950 可否有4400 這種功能呢?


3750+2950已經是很完美的組合
不要太貪心


3COM 4400是一台極為怪胎的機器
特異功能很多
可惜懂得欣賞的人很少
知道怎麼用在公司環境的人更少
願意花較多錢買的起的人更稀少
酷學園裡的哈克是"巷子內的人"
公司每一台新採購交換器都是指定買4400
逼他換3226他都不肯
之前趁我沒上班整天玩樂時居然還偷偷拉光纖(只有60米的距離)....=.=


找了些資料,3750 & 2950 似乎都可以搭配 802.1x + radius 達到前述功能,改天有空再來試試看。

4400...價格比 2950還高... :o

3226 沒用過...4226倒是有一台, :lol:

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
引述: "erwin"

找了些資料,3750 & 2950 似乎都可以搭配 802.1x + radius 達到前述功能,改天有空再來試試看。


CISCO其實是功能最完整的品牌
我知道CISCO可以搭802.1x+RADIUS玩DYNAMIC VLAN
但我不確定可不可以順便玩DYNAMIC QOS

如果再考慮 網管 保固 價格....
我還是高階客戶配CISCO 中階客戶配3COM 低階客戶不接
佈線深似海!
網路高如天!