[HACK] Control IPs: Inventario

Martin H Hoz-Salvador mhoz at gama.fime.uanl.mx
Tue Oct 9 03:46:08 CEST 2001


> Quiero controlar que nadie instale maquinas (servidores,
> particularmente en redes DMZ o interna) en mi instalacion sin "mi
> permiso" previo, a fin de enterarme yo previamente de que se va a
> instalar y ponerle parametros de seguridad desde el principio.

Por que no asignas solamente direcciones IP "invalidas" (del RFC1918)
y sacas las maquinas a internet por NAT, mediante tu router o tu
firewall? Aparte,si tienes firewall, solo permites salir lo que deba
salir. :-) Con eso evitas que alguien ponga algo "riesgoso" a publicarse
al mundo, y evitas que de afuera puedan pasar a tu red como quien
entra a su casa. (Vamos, ya no es tan facil).

> Normativa aparte, ¿Como puedo "bloquear" el funcionamiento y evitar
> esto?.  La idea conceptual es bloquear el rango de IP que tengo
> concedidas, de tal forma que una IP no funcione si yo no hago algo
> antes para dejarla funcionar.  Ideas:
>
> 2. En el firewall bloqueo todas esas IPs, una a una. Problema: si no
> puedo englobar con rangos, tendre muchas entradas.

Bueno, busca uno que pueda usar rangos. :-)

>
> 3. La que parece más viable: Hago PING cada minuto a cada una de esas
> IP libres. Si alguna me responde la desbordo con SYNs o similar. Pero
> podría tener elimnado el servicio de respuesta PING.  ¿Y si lo hago con
> ARP?

El problema aqui es que si alguien filtra los pings, podria tener
una IP y tu programa no se daria por enterado.

Hay una idea que lei en una edicion SysAdmin ya anterior, y que me parece
interesante. (Si quieren buscar por www.samag.com Podrian encontrarlo,
aunque confieso que no recuerdo el titulo del articulo).

La idea consiste en tener un servidor de DHCP que emite IP's
"restringidas" y con tiempo de vida muy corto. Cuando te conectas,
obtienes una IP que solo te sirve para autenticarte en algun
servidor (Una aplicacoin web por ejemplo). Si te autenticas, entonces
el servidor te retira la IP que te dio, y teda una que si puede
salir a hacer mascosas, tasles como navegar en Internet, o acceder
otros recursos de tu red interna. Si no te autenticas pasado ese
tiempo, entras a una lista de "banned mac addressd" y listo.
Lo bonito es que en el articulo venian scripts en perl y todo
para poner en  marcha el concepto, aunque partiendo de la idea no
es dificil tener en n par de fines de semana algo similar funcionando.

Si quieres algo mas complejo, interaccion automatica con
Aplicaciones, con tu servidor NDS o Active directory, y similares,
los productos comerciales UserAuthority y Meta IP de la casa
Check pOINT pudieran interesarte.


Espero te sirva. Saludos.

- Martin.





More information about the hacking mailing list