Maskarada a jeji viditelnost

[Mikulas Patocka]

>dobry den,
>
>>     Muj pritel tvrdi, ze kdyz zhruba pred 1 rokem zkouseli markaradovat na
>> jednech kolejich v Brne vice pocitacu na jednu sitovou pripojku, ze to
>> spravce poznal.  Jedine co musel pro pripojeni uvest je MAC adresu a zadane
>> jmeno, obratem ziskaval IP adresu.
>>
>>     Me by zajimalo, jakym zpusobem, pripadne jakymi nastroji je klasicka
>> maskarada pres ipchains viditelna zvenku.
>
>no na nasich kolejich se to taky stalo, ale uz netusim jake za to
>byly/nebyly postihy. Kazdopadne to ale nebylo pred rokem, ale pred par
>mesici :-) Problem byl v tom, ze maskaradovany pocitac se
>pripojoval na fakultni ftp a chtel po nem, aby se snazil navazat
>spojeni na 10.0.0.x, tj. ocividne chyba v nenahratem modulu masq_ftp.o
>(ci jak se jmenuje).
>
>O jinych zpusobech (nez chyba v konfiguraci) nevim.

Jedna moznost: DNS requesty. Obcas se proste posilaji
pokusy o najiti jmena pocitace 10.x.x.x. Obejiti: rozjet
vlastni DNS server.

Dalsi moznost je, ze spravce vytvori pocitac s adresou 10.0.0.1
a pokusi se o spojeni na podezrely pocitac. Pokud je
packet zahozen nebo se vrati zamasqueradovany, pozna to.
Obejiti: nepouzivat 10.x.x.x ani 192.168.x.x, ale nejake
jine vymyslene adresy. Projet 2^32 adres neni snadne.

Dalsi moznost je finger, ident ci podobne sluzby.

Taky HTTP je podezrele. Pokud jsou po sobe posilany
requesty majici user-agent Mozilla/Linux a MSIE/W95 v
kratsich casovych intervalech, nez trva nabootovani
jednotlivych systemu, dokazuje to maskaradu. Obejiti:
proxy cache; nastavit fake_user_agent a neposilat
X-forwarded-for.

Mikulas Patocka