Печать на сетевой принтер и IP-спуфинг

версия для печати

Я очень далек от администрирования сетей и информационной безопасности. Но иногда и мне перепадают задачи, в которых приходится быть "спецом". История: сеть моей организации является подсетью некой значительно большей компании. Весь траффик контролируется файерволом Cisco. Этот фаер пришет общий лог активности, на основании которого админы выявляют вирусную активность в сети. Как все это происходит, я не без понятия, но в результате иногда мне приходит письмо от админов "устранить вирусную активность по адресу ...". Понял, исполняю :)

Первая трабла: есть сетевой адрес, где лежит общий лог фаервола (txt-файл). Можно в нем посмотреть, что именно в сети у меня шевелится. Несмотря на то, что этот лог каждый день переписывается, он все равно к обеду весит больше гигабайта! Т.о. искать в нем информацию можно оооочень медленно. В итоге я накатал прогу, которая шерстит файл лога прямо на сервере и налету фильтром находит нужные мне записи. Ничего особо хитрого она не делает, но для начала вполне достаточно.

Вижу запись в логе типа "%PIX-1-106021: Deny [tcp/udp] reverse path check from [source_address] to [dest_address] on interface [interface_name]". Поиск в инете практически сразу привел к справке на сайте Cisco. В вольном переводе там сказано следующее:

Объяснение: некто пытается подменить IP-адрес входящего соединения. Индивидуальная переадресация по обратному пути (Unicast Reverse Path Forwarding, сокращенно Unicast RPF), так же известная как поиск обратного маршрута, обнаружила пакет, который не имеет исходного адреса представленного маршрутом. Предположительно это часть атаки на ваш брандмауэр (фаервол).

Рекомендуемые действия: это сообщение появляется, когда вы включаете Unicast RPF вместе с коммандой "ip verify reverse-path" (оставил без перевода, дабы совсем не исказить смысл). Эта фича работает со входящими в интерфейс пакетами; если она настроена наружу, тогда фаер проверяет пакеты, приходящие из внешней сети. Фаервол ищет маршрут, основанный на адресе источника. Если запись не найдена и маршрут не определен, то в лог идет сообщение PIX-1-106021 и соединение разрывается...

Вобщем-то дальше уже не суть дела. Описанная помена ip-адреса (ip-spoof) на ломаном русском называется IP-спуфинг. За пару часов я нахватался много всяких умных слов, но к решению так и не приблизился. Без дальшейших прелюдий скажу: все дело было в задании на печать! На компе установлен сетевой принтер. IP-адрес принтера сменился вместе с подсетью, а на компе я забыл его переписать. Надо заметить, что это не просто комп, а терминальный сервер.

Я понял происходящее так: пользователи по-старинке отправляли на печать задания, но ничего не происходило. Тогда они просто переключались на другой принтер, а задание-то оставалось. Заботливый сервер продолжал долбиться в сеть с поиском нужного адреса, все это регистрировал фаервол, но не находя нужный маршрут (конечно, даже подсети нет), отмечал попытку спуфинга. Всего делов-то оказалось удалить задания печати вместе с "мертвым" tcp-портом принтера.

[1oo%, EoF]

Понравилась статья? Расскажите о ней друзьям:


Комментарии
Для работы модуля комментариев включите javaScript


Показать/скрыть правила
Имя
[i] [b] [u] [s] [url]
:-) ;-) :D *lol* 8-) :-* :-| :-( *cry* :o :-? *unsure* *oops* :-x *shocked* *zzz* :P *evil*

Осталось 1000 символов.
Код защиты от спама Обновить код
Каждый комментарий проходит ручную модерацию. 100% фильтрация спама.
Продвижение
Время
Метки