Monitoraggio rete

[miglioman]

Un saluto a tutti, non se e' il forum giusto per porre questa domanda ma ci provo. Ho un problema di monitoraggio sulla rete, sono in una struttura onlus (senza fini di lucro) e ho sotto controllo una ventina di pc. Mi sono accorto che i ragazzi che vengono a navigare scaricano di tutto e vanno un po anche su sti strani (porno ecc...). Vorrei poter monitorare la rete in modo che possa avere dei report giornalieri e soprattutto che i ragazzi non possano aggiungere o sostituire i pc come gia' e' successo quando sono soli. Ho provato a creare un pc di controllo con ipcop e smoothwall che sono due distribuzioni free, ma sono stati aggirati comunque. Volevo sapere se qualcuno ha esperienza in merito per poter creare un server o qualcosa del genere con programmi free in modo da tener sotto controllo tutto quello che avviene nella rete e che non possano navigare con computer non autorizzati espressamente dato che tutta la struttura e' cablata e ci sono postazioni non controllabili visivamente e quindi con un pc portatile non possano accedere ad internet.

[Devil!]

per interdire la navigazione a livello di content filtering puoi installare su un server Linux un transparent proxy ad esempio con Squid
http://www.google.com/search?q=transparent+proxy+squid in modo da direzionare le richieste http in uscita dalla LAN verso il proxy server dove eventualmente puoi filtrarle con appositi programmi (ad es. SquidGuard)

inoltre un comodo analizzatore dei log di Squid è ad esempio Sarg

per interdire la navigazione a livello di dispositivi hardware puoi ad esempio porre un filtro con Iptables (è il firewall integrato nel kernel di Linux) a livello di MAC address (l'indirizzo fisico di una scheda di rete) tramite il modulo MAC, dato che ogni scheda di rete ha un proprio MAC address univoco.
permettendo solo quelle della tua LAN e droppando le richieste provenienti da tutti gli altri MAC address sconosciuti puoi ovviare al tuo problema

per altri genere di filtri (programmi p2p, streaming video etc..) puoi sempre agire a livello di firewall chiudendo le porte o sempre attuando politiche di content filtering

[miglioman]

Grazie della risposta ma quello che tu hai suggerito l'ho gia' fatto con ipcop e smootwall ma e' stato aggirato. Ti spiego meglio, il mac address e' sostituibile con delle utility che girano su internet quindi basta sostituirlo con uno abilitato e il gioco e' fatto. Quello che e' difficile da aggirare e' uno scambio di certificati tipo captive portal o meglio ancora kerberos, ma non ho trovato cose abbastanza semplici da utilizzare considerando che non sono un esperto su linux. La realta' e che opero con dei ragazzini abbastanza esperti e che la mia e' una sfida a rendere impossibile la navigazione ai non autorizzati e comunque ad avere una tracciatura dei siti visitati. Sono riuscito comunque a tracciare la navigazione ma come dicevo sopra vorrei poter rendere impossibile la sostituzione di un pc o quanto meno il "cloning" dei suoi parametri (ip e macaddress) pero ovvie ragioni dui sicurezza e tracciabilita'.

[tutmosi3]

Al centro parrocchiale del mio paese abbiamo avuto lo stesso problema, solo che non c'era un amministratore di rete esperto come te, in grado di mettere in piedi una macchina IP Cop con Squid.
Molti ragazzi sono abili ad eludere protezioni perciò, invece di perdere tempo abbiamo scelto la via diplomatica.
Se ne è parlato ed imposto una navighazione sicura.
Chi sgarra è out.
Chi usa i PC ha una tessera, è la tessera d'iscrizione al Circolo NOI, il loro utente è Nome_Cognome e la password il numero di tessera.
Il server che fa da proxy restituisce il log delle connessioni e risalendo dall'ora si vede chi aveva fatto login.
Inizialmente il lavoro è stato piuttosto grande perchè si sono dovuti creare molti utenti ma ora non ci sono problemi.

Ciao

[miglioman]

Tutmosi3 ho fatto come tu hai descritto con le password ma il problema di sicurezza si e' comunque riproposto perche con un programmino dal sito www.oxid.it che si chiama cain&abel (spero di aver scritto bene i nomi) hanno "sniffato" la rete e hanno preso tutte le password e i nomi utenti. Le gestione a scambio di certificati evita questo problema e soprattutto puo' evitare attacchi che possono avvenire sostituendo un pc "preparato" ad hoc. Come dicevo in precedenza essendo la struttura disposta in modo particolare e non potendo tenere sotto controllo tutti i punti di rete devo assolutamente evitare che possano portare un proprio computer (tipo portatile) e cercare di navigare o peggio. In windows c'e la possibilita' con active directory di evitare questo problema, ma non c'e disponibilita' economica per poter spendere tanto e quindi sto cercando il sistema per emulare una cosa simile.

[Devil!]

Quote:

Originariamente inviato da miglioman

Grazie della risposta ma quello che tu hai suggerito l'ho gia' fatto con ipcop e smootwall ma e' stato aggirato. Ti spiego meglio, il mac address e' sostituibile con delle utility che girano su internet quindi basta sostituirlo con uno abilitato e il gioco e' fatto.

Non pensavo avessi a che fare con "ragazzini" così agguerriti...

Per beccare gli utenti più smaliziati esiste un demone (arpwatch) che avverte nel caso avvenga un cambiamento di Mac Address nella propria rete, notificando l'evento via email all'amministratore di rete.
Risulta utile anche per prevenire attacchi di tipo Man in the Middle in caso di Arp Poisoning

[w-shark]

forse gli utenti dovrebbero usare un account utente e non amministratore (questo protetto da password)?

[tutmosi3]

Quote:

Originariamente inviato da miglioman

Tutmosi3 ho fatto come tu hai descritto con le password ma il problema di sicurezza si e' comunque riproposto perche con un programmino dal sito www.oxid.it che si chiama cain&abel (spero di aver scritto bene i nomi) hanno "sniffato" la rete e hanno preso tutte le password e i nomi utenti. Le gestione a scambio di certificati evita questo problema e soprattutto puo' evitare attacchi che possono avvenire sostituendo un pc "preparato" ad hoc. Come dicevo in precedenza essendo la struttura disposta in modo particolare e non potendo tenere sotto controllo tutti i punti di rete devo assolutamente evitare che possano portare un proprio computer (tipo portatile) e cercare di navigare o peggio. In windows c'e la possibilita' con active directory di evitare questo problema, ma non c'e disponibilita' economica per poter spendere tanto e quindi sto cercando il sistema per emulare una cosa simile.

Quote:

Originariamente inviato da Devil!

Non pensavo avessi a che fare con "ragazzini" così agguerriti
...

Giusto per sentirci un po' vecchi, ci potesti dire l'età media di questi ragazzi?
Ciao

[miglioman]

Allora l'eta' media di questi ragazzi e' di 13 anni, per quel che riguarda l'account amministratore ho fatto anche questo ma gli attacchi sono stati fatti con pc esterni che si sono portati da casa (portatile). Per quanto riguarda la risposta di Devil! hanno clonato i parametri di un pc della rete (ip e macaddress) hanno spento la macchina "clonata" e sono andati su internet e non so se il demone si accorge del cambio di pc. La cosa che mi indispettisce e che lo stanno facendo di proposito e non per navigare a scrocco, infatti la maggior parte degli attacchi andati a buon fine me lo hanno comunicato proprio per farmi prendere provvedimenti e comunque devo ammettere che sono molto bravi. Ho trovato molte distribuzione free e la piu' interessante e' pfsense (http://www.pfsense.com/) ma e' abbastanza complessa da utilizzare e da configurare soprattutto per la parte relativa ai certificati, resto fiducioso di trovare qualcosa di piu semplice per poterlo utilizzare.

[w-shark]

Allora è una sfida, ascolta sai fare tutto a loro, magari riescono a configurare il tutto meglio di te.

[miglioman]

Si forse e' una sfida ma e' un discorso un disfattistico w-shark, comunque i ragazzi non sono in grado di configurare la rete penso che molte cose le abbiano lette da internet.

[Pardo]

Ma va la` dai.. ti basta ssh col suo tunnelling, o tutt'al piu` openvpn toh.



Su ogni client dev'esserci una connessione ssh verso il proxy, con tunnel verso lo squid. I browser puntano quindi come proxy alla porta locale del tunnel. Questo ssh lo devi aprire tu a mano all'accensione delle macchine (magari in una sessione di desktop remoto), l'accesso al proxy e` dipendente dall'esistenza di questo processo x cui nn possono fare niente, clonarlo e` impossibile xke` le password x ssh le sai solo tu (cmq permette anche autenticazione a doppia chiave rsa volendo), sempre che non ti fai fregare da qualche keylogger che lasciano li` ma a questo punto mi pare scontato ke ti devi sbattere x bene anke x rendere sicure le macchine x lo meno fintanto ke non si mettono a smontarle(e cmq nulla vieta di usare un sistema su cdrom..).
Per il resto accedere a internet in altri modi e` impossibile se il router A e` ben configurato(non deve far passare niente di niente tranne connessioni per la 22 del proxy e tutt'al piu` un accesso remoto x te verso i pc dentro).
Chiaramente le shell ssh sul proxy vanno eliminate, ci va messo un mini prog che resta appeso x tener su la connessione e basta, e x ulteriore paranoia e` meglio abilitare quell'opzione di ssh che permette tunnel solo verso porte locali e in generale firewallare x bene il proxy.

Riguardo active directory o roba posso solo dirti d nn sopravvalutare xke` il vero problema qui e` la totale mancanza di sicurezza fisica.
Difatti anche questo giochetto di ssh si potrebbe automatizzare, basta usare chiavi rsa senza passphrase e mettere un .bat che lancia ssh al logon, ma il problema e` ke se lasci le credenziali sulle macchine questi te le r00tano e se le fregano, e questo vale indipendentemente dal software usato.
Anche per risolvere questi problemi stanno sviluppando il trusted computing del resto -_-"

[miglioman]

Allora in una delle configurazioni provate ho usato questa configurazione ipcop+advproxy+urlfilter+calamaris+blockoutraffic e ho provato ad installare zerina che e' un gestore vpn per ipcop solo che non ho fatto tutte le prove comunque devo capire bene il funzionamento prima di renderlo definitivo. Vi terro' informati sugli sviluppi e faro' qualche prova con pfsense.