vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Управляем неуправляемым 12

Дата публикации: 09.12.2009
Количество просмотров: 19302

Автор: Сергей Клязник, системный администратор ООО "КСИТ"

Статья публикуется в рамках конкурса "Формула связи"

Большинство маленьких провайдеров начинают с неуправляемого оборудования, как правило разношерстных "мыльниц". И каждый админ такой сети мечтает навести в
ней порядок: запретить паразитный трафик, несанкционированные подключения,сделать привязки IP адресов пользователей к MAC адресам, иметь возможность отключать абонентов от услуги не бегая по чердакам в поисках нужного провода. Об одном из способов выжать все возможное из неуправляемой сети пойдет речь в
статье. Сразу оговорюсь, что 100% управляемости достигнуть не получится, ибо толковые люди есть везде, однако мне известно о двух достаточно крупных сетях
(более 5000 абонентов), успешно использующих данную технологию.

Основная идея основана на технологии ARP spoofing (http://ru.wikipedia.org/wiki/ARP-spoofing). Необходим сервер (далее guard) с установленным Linux, на который нужно "загнать" все подконтрольные сегменты (например, с помощью vlan). На сервер устанавливается ip-sentinel (http://www.nongnu.org/ip-sentinel/), который с помощью ARP spoofing-а блокирует нежелательные компьютеры.

Теперь более подробно о реализации. В каждом VLAN-e запускается свой экземпляр ip-sentinel-а, который управляется отдельным конфигурационным файлом, например
таким:
==========================
# разрешаем использование IP адреса 192.168.0.123 только компьютеру с МАС-адресом 00:12:79:93:19:58

192.168.0.123@!00:12:79:93:19:58

# блокируем полностью компьютер с MAC адресом 00:02:44:11:a4:6f

*@00:02:44:11:a4:6f

# разрешаем использовать IP адрес 192.168.0.20 любым компьютерам

!192.168.0.20

# полностью блокируем работу IP адресов из сети 10.0.0.0/8

10.0.0.0/8

# полностью блокируем работу всех IP адресов, кроме прописанных выше!

0.0.0.0/0
=============================
Особенно интересна последняя строка, она позволяет блокировать любую нежелательную активность в IP сети, оставляя возможность работать только
разрешенным выше адресам.

Но это еще не все. При блокировании ip-sentinel позволяет запускать внешнюю программу. Эту функцию можно использовать для автоматического создания привязок IP адресов к MAC адресам новых абонентов. Остается только автоматизировать создание конфигурационных файлов и привязать ip-sentinel к биллингу. Для этого в БД биллинга для каждого пользователя обязательно должны быть определены id (уникальный идентификатор), IP, MAC, login, segment (номер сегмента). Также нужно создать таблицу mac_log, куда будет помещаться информация о нарушителях:

CREATE TABLE `mac_log` (
 `user_id` int(11) NOT NULL default '0',
 `tstamp` int(11) NOT NULL default '0',
 `mac` char(17) default NULL
) ENGINE=MyISAM;

На локальной машине: редактируем скрипт ip_sentinel_maker.pl: прописываем реквизиты для доступа к биллинговой БД, описываем серверы с запущенными ip-
sentinel. Создаем каталог, указанный в cfg_local_path, генерируем ssh ключи для доступа на guard-ы ("ssh-keygen -t dsa"). Создаем задание cron для запуска
ip_sentine_maker.pl каждую минуту:

1 * * * * /ваш_путь_до/ip_sentinel_maker.pl

На guard-ах создаем каталог cfg_remote_path/intruders, копируем в /root/.ssh/authorized_keys содержимое файла /root/.ssh/id_dsa.pub с локальной
машины.  Устанавливаем ip-sentinel (из исходных текстов либо с помощью пакетного менеджера). Компилируем logger.c (gcc -o cfg_remote_path/logger
logger.c). Создаем скрипт запуска /etc/init.d/ip-sentinel, который будет запускать свою копию программы на каждом интерфейсе (во вложении примеры для
gentoo и redhat). Не забываем добавить /etc/init.d/ip-sentinel в автозагрузку.

Иногда, по неизвестным мне причинам, ip-sentinel аварийно завершается, поэтому на guard-ах делаем задание cron для рестарта процессов каждый час:

1 * * * * /etc/init.d/ip-sentinel restart >/dev/null

В /var/log будут создаваться логи работы каждой копии ip-sentinel, желательно настроить logrotate для ротации этих логов. Пример /etc/logrotate.d/ip-
sentinel:

/var/log/ip-sentinel.* {
       compress
       rotate 4
       weekly
       sharedscripts
       postrotate
           /etc/init.d/ip-sentinel restart >/dev/null
       endscript
}

В логах дата хранится в машинном виде, можно использовать tai64nlocal из пакета daemontools для преобразования ("cat log | tai64nlocal").

Теперь рассмотрим ситуацию, когда нужно узнать какие MAC адреса использовал известный IP адрес, либо наоборот какие IP адреса занимал определенный MAC.
Для этого можно запустить на guard-ах замечательную утилиту arpwatch (http://en.wikipedia.org/wiki/Arpwatch). Она ведет базу данных, в которой
хранится информация о том, какие MAC и IP адреса были видны в определенный момент времени. В приложенных файлах примеры /etc/init.d/arpwatch для запуска
arpwatch на каждом интерфейсе, а также скрипт arpsearch.pl, который позволяет вытаскивать из базы информацию в удобочитаемом виде (не забываем
подредактировать в нем path в зависимости от дистрибутива). Примеры запуска скрипта:

1. Узнать какие MAC адреса и когда использовали адрес 192.168.0.14:

guard ~ # arpsearch.pl 192.168.0.14
00:1E:58:4C:36:3F        192.168.0.14    Thu Oct 29 19:42:55 2009
00:11:95:86:74:CC        192.168.0.14    Thu Jan   1 20:24:06 2009

2. Узнать какие IP адреса использовал MAC 00:11:95:86:74:CC:

guard ~ # arpsearch.pl 00:11:95:86:74:CC
00:11:95:86:74:CC        192.168.0.71    Thu Oct 15 12:56:40 2009
00:11:95:86:74:CC        192.168.0.14    Thu Jan   1 20:24:06 2009

Подводя итог, упомяну, что ip-sentinel и arpwatch можно откомпилировать и установить на роутере с прошивкой openwrt, что делает данное решение
относительно дешевым и легко масштабируемым. А вообще, используйте управляемое оборудование, не создавайте себе лишних проблем :)

arpwatch.init.gentoo

arpwatch.init.redhat

arpsearch.pl

ip-sentinel.init.redhat

ip-sentinel_maker.pl

ip-sentinel.init.gentoo

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/articles/article/16988/upravlyaem-neupravlyaemyim.html

Комментарии:(12) комментировать

9 декабря 2009 - 20:59
Navu:
#1

Большинство маленьких провайдеров начинают с неуправляемого оборудования, как правило разношерстных "мыльниц". И каждый админ такой сети мечтает навести в ней порядок: запретить паразитный трафик, несанкционированные подключения, сделать привязки IP адресов пользователей к MAC адресам и т.д.

Полный текст новости


9 декабря 2009 - 20:59
MiB:
#2

>используйте управляемое оборудование, не создавайте себе лишних проблем :)
с этого надо было начать....:)
помоему я это уже видел на opennet.ru, %70 идентичного.


10 декабря 2009 - 18:57
hyrod:
#3

Использовали ip-sentinel в некоммерческой сети на 300 пользователей, года два как отказались. Новые брандмауэры научились определять arp-spoofing и успешно с ним борются. Уже тогда примерно треть или четверть компьютеров была нечувствительна к ip-sentinel.


11 декабря 2009 - 1:19
Гость_barabashka_yury_:
#4

В сети 200 абонентов, радиолинки в основном, ip-sentinel частенько спасает, но есть ньюансы... Например если стоит клиентская точка и за ней на свитче несколько абонентов, тогда они все маскируются за одним маком точки, и все, тут не получится блокировать по маку. А вообще идея очень хорошая и спасает по сей день )) Особенно от юнных и сильно продвинутых "кульхацькерофф" ))


11 декабря 2009 - 14:05
Гость_WyCraSH_:
#5

Использовали почти 5 лет! В сетях где абонентов больше 300 использовать не советую начинаются просто ацкие глюки. Это решение помогло нам перейти с мылниц на управление.


12 декабря 2009 - 15:25
Ilya Evseev:
#6

для arpwatch рекомендую свой костыль (sql-база и веб-интерфейс):
http://sources.homelink.ru/arpwatch/ :))


12 декабря 2009 - 16:19
boykov:
#7

так статьи не пишут.
читатель, сходи, пожалуйста, вон туда, прочитай, тогда поймешь (может быть).
посему -- низачет, ибо малобукаф и неткартинкаф


13 декабря 2009 - 0:45
Ferdin:
#8

Как говориться "если вы не любите кошку значит вы не умеете её готовить", используем DHCP в неуправляемой сети с привязкой по макам. Возможно использование управляемых для контроля над узлами (пропало питание или обрыв линии, подъезд/дом).
Статья правильная.


13 декабря 2009 - 19:54
Alexandr Ovcharenko:
#9

DHCP в неуправляемой сети? Вы мазохист?
Во-первых, стоит какому-нибудь чайнику перепутать на домашнем soho-роутере порты и засветить в сеть на мыльницах своим dhcp - все, провайдерский dhcp отдыхает. Во-вторых, кто мешает умнику статикой прописать себе любой свободный ip из сети провайдера? Великий и могучий dhcp провайдера с крутейшей привязкой к МАС ему полностью фиолетовый.
Ничего кроме аналогов ip-sentinel в неуправляемой сети провайдеру не поможет.


17 декабря 2009 - 17:05
Гость_var_:
#10

staticarp + ipguard гораздо проще описанного выше


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться