[linux] server beveiligen

Mag ik vragen wat dit in Windows Operated Systems doet?

[ Voor 6% gewijzigd door wildhagen op 30-08-2003 10:38 ]

Irri mannetje == huisgenoot? Op z'n muil r*mmen

Als niet via wifi: kabel doorknippen.

Voor de rest: als 'ie z'n MAC-adres naar een lokaal bekend adres spoofed, valt er weinig tegen te doen. Eventueel kan je denken aan uitsluitend netwerken over VPN oid (en hem geen password geven, duh ) alleen heb je dan wel een aanzienlijk zwaardere server nodig; en je clients krijgen dan ook een degelijke performance hit.

Eventueel de andere 16 (?) PC's een nieuw MAC-adres geven (wat hij kan, kan jij ook ) en alle oude macs blokken. De vraag is dan of hij opnieuw de bekende range van MAC-adressen kan accessen, want dan is het water naar de zee dragen. Heeft 'ie verder toegang tot de server? Moeten we al aan een door hem geinstalleerde rootkit gaan denken?

[ Voor 3% gewijzigd door Rataplan op 30-08-2003 10:45 ]

Linux != een Windows Operating System... dus gooi ik hem over de schutting bij de buren, Non-Windows Operating Systems

Ik nam aan dat je op basis van MAC IP's uitdeelt via DHCP.

Als je naar static IP's wisselt zou dat kunnen helpen, maar als hij bekende MAC's kan spoofen, weet hij vast ook wel aan de IP's te komen. Anders gezegd: hij doet alsof hij iemand anders z'n PC gebruikt, als je dat wil voorkomen zal je moeten zorgen dat hij zowel macs als ips niet kan achterhalen. Dat kan hij nu blijkbaar wel: hoe?

En: is het een huisgenoot of (bvb) een wardriver?

[ Voor 5% gewijzigd door Rataplan op 30-08-2003 10:55 ]

zijn machine op een apparte utp poort zetten op de server ?
(of zit hij op wifi?)

17 client, 3 printers, 1 server... kom op 21 poortjes... 24 poorts switch gebruikt? Heel misschien een managable switch genomen? In dat geval: op zijn poort op de switch z'n MAC-address instellen. Kan hij z'n MAC-address ook niet meer veranderen, want dan accepteert de switch het niet

Anders iets installeren waarbij eerst moet worden ingelogd voordat je netwerkverbinding hebt (was PPoP niet zoiets?)

Het wordt iig wel op prijs gesteld als je ff meldt of je huisgenoot wifi gebruikt. Verder had ik twee vragen gesteld, ik wil nog steeds weten hoe je huisgenoot achter mac-adressen kan komen. Is dat publieke info?

[ Voor 175% gewijzigd door Rataplan op 30-08-2003 11:55 ]

elgringo schreef op 30 August 2003 @ 13:21:
als iemand zijn kamer open heeft hem je hem zo, dus...

Ik heb nieuws voor je: dit is niet te beveiligen. Zelfs als je weet-ik-veel-wat-voor-een-beveiliging installeert: als hij toegang heeft tot een PC die het netwerk op kan (en dat heeft 'ie dus) kan hij IP's, mac-adressen, passwords, en wat je verder aan security aan elkaar bouwt zo ophalen - en vervolgens als iemand anders inloggen.

Ik zou de huisbaas op de hoogte stellen van onaangepast gedrag, "insluiping" op de agenda van de volgende huisvergadering plaatsen, dit topic naar SG laten moven en generally proberen om deze eikel zo snel mogelijk uit huis te krijgen. Wèèèèèèèèèèkkel!

Rataplan schreef op 30 August 2003 @ 13:28:
Ik zou de huisbaas op de hoogte stellen van onaangepast gedrag, "insluiping" op de agenda van de volgende huisvergadering plaatsen, dit topic naar SG laten moven en generally proberen om deze eikel zo snel mogelijk uit huis te krijgen. Wèèèèèèèèèèkkel!

We have a winner!!

Als dit een huisgenoot is, en hij probeert gewoon expres jullie afrekeningssysteem te saboteren, waarom tolereer je zo iemand in je huis?

Hij doet dit neem ik aan om op andermans kosten te internetten? Of gewoon om te zieken? Hoe dan ook, spreek hem er gewoon op aan, zeg dat dit absoluut niet gewaardeerd wordt, en als hij zich daar niets van aan wenst te trekken werk 'm dan het huis uit!

Misschien niet helemaal een oplossing, maar zou je niet een trasparante squid proxy op kunnen zetten waar iedereen zich bij moet authenticeren

Leon schreef op 30 augustus 2003 @ 13:50:
Misschien niet helemaal een oplossing, maar zou je niet een trasparante squid proxy op kunnen zetten waar iedereen zich bij moet authenticeren

"Wilt u dit wachtwoord opslaan?" vraagt XP dan aan de argeloze gebruiker. Ja hoor, ik zit toch thuis.

Zie hierboven: beveiliging gekraakt. Werkt dus niet.

_{* Rataplan gaat snel zoeken wat een squid proxy is}

Thx Wilke Het moet me van het hart dat ik (veronderstellende dat die l*l idd geen WiFi gebruikt) in mijn eerste reaktie al een werkende beveiliging heb gegeven...

Rataplan schreef op 30 August 2003 @ 10:45:
Op z'n muil r*mmen (...) kabel doorknippen.

[ Voor 35% gewijzigd door Rataplan op 30-08-2003 14:06 ]

Wilke schreef op 30 augustus 2003 @ 13:42:
[...]


We have a winner!!

Als dit een huisgenoot is, en hij probeert gewoon expres jullie afrekeningssysteem te saboteren, waarom tolereer je zo iemand in je huis?

Hij doet dit neem ik aan om op andermans kosten te internetten? Of gewoon om te zieken? Hoe dan ook, spreek hem er gewoon op aan, zeg dat dit absoluut niet gewaardeerd wordt, en als hij zich daar niets van aan wenst te trekken werk 'm dan het huis uit!

Precies. Echt weer typisch iets voor een tweaker om het op deze manier proberen op te lossen. Ik neem aan dat de verbinding naargelang gebruik betaald word. Ga es niet zo zielig achter je pctje het oplossen maar stap na em toe en zeg em waar het op staat.
opties:
Hij betaald de geschatte schade terug. Iedereen gaat vanaf nu evenveel betalen:? Etc.
Iig, ga er over praten en ga niet de 1337 security dude uithangen.

elgringo schreef op 30 augustus 2003 @ 16:57:
[...]


das ook niet de bedoeling. Ik ben iemand die zijn zaakjes goed en overzichtelijk regelt. Dus heb dat betalingssysteem opgezet om ervoor te zorgen dat ik niet elke maand tegen iedereen moet zeggen hoever hij nog achterstaat etc.

En als ik nog steeds bij hem langs moet gaan voor het gewenste resultaat heb ik mijn doel niet bereikt. Zodoende....

Ik heb een slot op mijn deur. Als iemand dan inbreekt, ga ik niet in eerste instantie overwegen om meer sloten te monteren. In eerste instantie zal ik overwegen om die inbreker op z'n smoel te slaan - slechts als dat niet mogelijk is kijk ik naar alternatieve beveiligingsmethoden

Maar zoals gezegd: doordat betreffende klier toegang heeft tot PC's die op het netwerk zijn aangesloten, is het inherent onmogelijk om een oplossing te bouwen waar hij niet omheen komt.

Bovendien overtreed hij, zoals hij nu bezig is, de wet.

Als je dat acceptabel vindt, meldt dat even: dan bemoei ik me er niet meer tegenaan. Sorry.

Het komt erop neer dat je zijn netwerksnoertje eruit trekt. Ik neem aan dat jullie allemaal op een switch zetten, waar je waarschijnlijk ook poorten van kan uitschakelen.

Waarschijnlijk is hij dan ook weer zo dat hij een ander poortje gebruikt, dan wordt het tijd een vergadering te beleggen en hem overwegen er uit te trappen.

-Rob- schreef op 30 August 2003 @ 17:29:
Het komt erop neer dat je zijn netwerksnoertje eruit trekt. Ik neem aan dat jullie allemaal op een switch zetten, waar je waarschijnlijk ook poorten van kan uitschakelen.

Zoals hierboven is gemeld is het een non-managable switch.

Eventueel zou je nog over kunnen gaan naar een systeem waarbij de user eerst moet inloggen op de firewall (via een webform oid) waarna er netfilter rules worden gemaakt voor een bepaalde ip/mac combo. Hiermee zou je iig het spoofing probleem kunnen omzeilen.

Sorry, maar ik snap echt niet waar je hier mee bezig bent. Het regelen van deze beveiliging kost je bakken met tijd om de enige reden dat iemand zo ontzettend lam en lui is om netjes geld te betalen. Als je gewoon was gaan werken in die tijd dat je hier mee kwijt ben, dan had je nog een leuk zakcentje kunnen verdienen.

Op het moment dat jij steeds een oplossing probeert te bedenken voor dit probleem, zal hij hoe dan ook proberen jouw oplossing te kraken. Dan wordt het voor diegene gewoon een soort sport om jouw te zieken. Wat het allerbeste werkt is een stopppenkast met sleutels. Elke kamer heeft zijn eigen stop met sleutel, je meld de huisbaas dat persoon X niet betaald. Huisbaas schakkeld stroom uit persoon X betaald binnen 1 dag de rekening. Volgende keer dat zoiets gebeurt laat je persoon even wat langer wachten, want de Huisbaas is zogenaamd niet meer te bereiken..... Dit syteem heb ik al meerdere malen goed werkend gezien.

Ik kan me eerlijk waar niet bedenken dat een normale student niet het verstand heeft om gewoon geld over te maken. Anders mag zo iemand zich imo echt niet geschoold noemen, maar is die geen studie waardig. Misschien reageer ik een beetje hard en bot, maar als je al niet met je huisgenoten hierover afspraken kunt maken is het einde zoek..

Als ik mijn huishuur niet op tijd betaal, en de huisbaas mij steeds achter mijn gat moet zitten omdat ik "lax" ben,
dan denk ik toch dat ik redelijk snel "lax" op straat sta.
Zulke dingen kunnen gebeuren, oops effe vergeten,
maar elke maand??

Ok OT maar, hoe heb je dat betaal systeem opgelost? opgezet?
heb je dat zelf gemaakt of is er iets van blam klaar?

Zit namelijk hier ook met een thuisnetwerk met wel maar 6 gebruikers (meer pc's) maar wil ook dat het automagisch geregeld wordt idd met betaling, ik heb geen zin meer om de hele tijd achter de mensen aan te lopen en te bedelen voor geld.

elgringo schreef op 31 August 2003 @ 10:58:
Zoals ik zal al zei, hij doet dit niet om mij te irriteren, hij is gewoon erg lax. En als je geen internet hebt wil je wel telebankieren om het geld over te maken. Hier gaat dan een week overheen dat hij illegaal bezig, en tot zijn geld 'op' is gaat het goed.

dan sluit je hem toch gewoon af oip het moment dattie niet betaald en dan gaatie maar met zijn luie reet naar een uni/school pc om daar te internet bankieren. Onverantwoordelijk mannetje zeg.

Misschien dat je nog een beveiliging kunt inbouwen van hostname en/of OS.
Dus dat hij het MAC + IP bijhoudt en vrijgeeft mbv DHCP. En als de computer dan gebruik maakt van de verbinding hij dan het OS en hostname logt.
Als hij dan z'n mac + ip veranderd dan zal hij waarschijnlijk de hostname vergeten. Als je die dan controleert met de gelogde gegevens kun je nakijken of hij wel mag internetten.
En dan wel of geen verbinding geven. En niet de melding geven dat het hostname niet klopt, anders gaat hij die ook veranderen en is de ontzichtbare beveiliging wel.

cybermans schreef op 31 August 2003 @ 14:42:
dan sluit je hem toch gewoon af oip het moment dattie niet betaald en dan gaatie maar met zijn luie reet naar een uni/school pc om daar te internet bankieren. Onverantwoordelijk mannetje zeg.

Inderdaad, wie zijn billen brandt, moet op de blaren zitten. Misschien betaalt hij de volgende keer wel op tijd/eerder als hij merkt hoe vervelend het is om geen internet te hebben. Dat telebankieren verhaal vind ik echt een lulsmoes. Trouwens, als hij zo'n notoire wanbetaler is, dan stel je gewoon in dat er vooruit betaald moet worden bij huisgenoten met twijfelachtige financiele reputatie. Als je hem dan steeds voor zes maanden vooruit laat betalen hoef je nog maar twee keer per jaar zijn kabel uit de switch te trekken

Als je nou als subnet 255.255.255.224 neemt, dan kan je maximaal 30 geldige ip adressen uitdelen.
Als je dan aan je server netwerk kaart alle niet gebruikte ipadressen hangt (30-17-3=10 stuks) ben je ook klaar toch? Is natuurlijk wel een bootleg oplossing maar ja.