Re: stiznost na nezadouci aktivity ...

[Jan Houstek <jan bod houstek zavinac mff bod cuni bod cz>]

On Tue, 8 Feb 2005, Jiří Červenka wrote:

> Chtel bych se proto zeptat, kam bych se mel podivat, abych zjistil
> jestli pokusy o pripojeni odesly opravdu z naseho stroje. Problem je, ze
> za timhle strojem je schovana cela skolni sit (200 pocitacu). Dal bych
> se chtel zeptat jestli je nekde mozne najit jaky pocitac z me vnitrni
> site se pokusil pripojit pres ssh na nejaky jiny pocitac v internetu.

Tohle je presne temna stranka NATu, spolehlive to zjistit nejde. Pokud
nevedete nejake podrobnejsi logy firewallu a lokalnich aktivit, nezbyde
vam nic nez prohledat .bash_history lokalnich uzivatel se shellem a pokud
nic nenajdete, predpokladat, ze za to muze nekdo z vnitrni site (ciste
proto, ze to je mnohem pravdepodobnejsi, ze k takove aktivine nekdo
pouzije jeden z 200 relativne malo hlidanych pocitacu nez ten router).

Pokud byste s tim pocital dopredu, muzete co se NATovanych stroju tyka

* logovat vsechna spojeni, co se objevi v conntrack tabulce
* sem tam pomoci iptables zalokovat nejake pakety lezouci retezcem FORWARD
  (omezit to napr. na TCP SYN pakety)

Neni to ale dokonale, protoze i kdyz budete mit uplnou informaci o vasem
routeru, pokud dva lide soucasne budou pristupovat ke stejne sluzbe a do
stiznosti nebude uveden zdrojovy port (jako ze v drtive vetsine pripadu
nebude), tak mezi nimi nerozlisite.

Pokud jde o lokalni procesy, mate taktez nekolik moznosti

* pravidelne monitorovat a logovat vystup netstat --inet
* logovat sem tam neco lezouci retezcem OUTPUT a k jednotlivim uzivatelum
  to vazat pomoci owner match

Take byva rozumne, pokud router generuje nejake vyznamne mnozstvi
lokalniho trafficu (napr. proto, ze potrebuje nekam pritupovat nebo na nem
naopak bezi nejake sluzby) dat mu dve verejne adresy, jednu vyhradit
lokalu a druhou na NAT.

Jo, uz aby tu bylo ipv6 ...

-- Honza Houstek