una dritta per rendere + sicura questa rete???

[Nativoz]

La rete è composta di 3 domini senza alcuna relazione di trust.
non vi sono sottoreti e sono tutti collegati tramite hub in cascata. Agli hub è connesso anche il router che immette nella intranet aziendale.
In pratica è bastato mettermi a sniffare la rete per captare dati e password.

non dovrebbe essere così

quello che devo proteggere essenzialmente è il dominio 1 sia dagli altri 2 domini interni e sia dalla rete oltre il router che è connessa senza alcuna protezione.

Io avevo pensato di agire in questo modo:

Divido la lan (classe D) in sottoreti:
255.255.255.128 e utilizzo gli indirizzi che vanno da .1 a .126 per il dominio 1 (126 host)

255.255.255.192 e utilizzo gli indirizzi che vanno da .129 a .190 per il dominio 2 (62 host)

255.255.255.224 e utilizzo da .193 a .222 (32 host) per il dominio 3.

il router ha ip x.x.x.250 per cui mi creo anche una subnet 255.255.255.252 con 2 host che saranno il .249 ed il .250

Poi se li lascio tutti collegati allo stesso hub non risolvo nulla perchè basta che uno mi cambi subnet e sono punto e a capo, quindi

1) compro uno swich.
2) assemblo un pc che mi faccia da gateway tra le reti e ci ficco dentro 3 schede di rete.

ad una scheda collego direttamente il router, all'altra collego lo swich al quale avrò connesso tutto il dominio1 ed alla terza collego l'hub al quale ho connesso i rimanenti 2 domini.

installo un firewall tipo zone alarm e mi filtro le varie connessioni.

oppure installo direttamente winroute personal firewall.

Ora ho bisogno di dritte e suggerimenti prima di infognarmi in casini vari.

grazie.

[gohan]

ma scusa, perchè se hai 3 domini in trust vuoi separare le reti?
sicuramente mettend uno sniffer risolvi in parte il problema dello sniffing (ma c'è veramente qualcuno che sarebbe in grado d'installare uno sniffer sulla rete?)

[Nativoz]

io lo ho fatto. e se lo ho fatto io do per scontato che potrebbe farlo qualcun'altro.

Comunque nel mio primo post ho scritto che i domini non hanno alcuna relazione di trust.

[gohan]

ops! avevo letto male!
Cmq, bel pc con winroute e relative sk di rete configurato come si deve e sei a posto!

[Solero]

Togliere gli hub e mettere degli switch come hai detto tu sarebbe una bella cosa!
almeno sniffano meno!

[exploit]

Che sniff...hai usato? se posso essere indiscreto

[exploit]

Comunque anche con lo swit...gli user e pass nei pop mail te li vede lo stesso. Occhio

[Solero]

Quote:

Originally posted by "exploit"

Che sniff...hai usato? se posso essere indiscreto

Credo basti LC4 per sniffare qualche password in una rete di quel tipo!

[Solero]

Quote:

Originally posted by "exploit"

Comunque anche con lo swit...gli user e pass nei pop mail te li vede lo stesso. Occhio

Per quello basta impostare nel dominio una chiave di crittazione o una firma digitale!

[exploit]

Quote:

Originally posted by "Solero"


Per quello basta impostare nel dominio una chiave di crittazione o una firma digitale!

fai l'admin??

[Solero]

Quote:

Originally posted by "exploit"

fai l'admin??

Ho finito da 2 settimane 2 corsi di Certificazione Microsoft sul design di rete e ISA server!

[Nativoz]

chiaramente avrei poi configurato IPSEC ma non bastava perchè gestisco solo il dominio1 ed i rimanenti 2 sarebbero rimasti in chiaro (in effetti perà dei rimanenti 2 mi frega poco)

Gli snif che ho usato sono ethereal e lc4.

Quote:

Comunque anche con lo swit...gli user e pass nei pop mail te li vede lo stesso. Occhio

Questa procedura la sconosco. Non puoi inserirti nel segmento di rete... bo, mi aggiornerò comunque con ipsec risolvo.

[Nativoz]

Fino ad ora nessuno ha smentito, per cui presumo che la strada sia quella giusta...

[Nativoz]

Da bravo sistemista lavoro di domenica quando gli altri se la spassano (questo non c'entra nulla con il problema ma era per palesare il mio stato d'animo)

Le reti ora confluiscono in 4 schede di rete diverse e grazie a winroute
tutti vedono la intranet esterna ma nessuna sottorete può accedere alle altre.

Il problema lo incontro quando invece di accedere alla intranet devo accedere ad internet.

Per accedere ad internet viene utilizzato un proxy che risiede nella intranet. il proxy necessita di autenticazione ed ogni utente ha una sua user e la sua pass.

se io imposto il proxy intranet in ogni client, ISA SERVER mi risponde con errore 502 e non riesco a navigare.

se inserisco il proxy in winroute riesco a navigare da tutti i client ma con la user e la pass che imposto in winroute, invece le direttive sono che ogni utente deve navigare con la propria user e la propria pass.

sapete come posso configurare winroute personal firewall per fare in modi che ogni client navighi con il proxy che si trova nella intranet richiedendo all'utente di digitare utente e pass del proxy intranet?

Per completezza ho notato che nemmeno dalla postazione di winroute riesco ad utilizzare intrernet ma solo intranet. deve essere il firewall che blocca la connessione al proxy

[gohan]

Quote:

Originally posted by "Solero"


Credo basti LC4 per sniffare qualche password in una rete di quel tipo!

per evitare questo, sarebbe bene abilitare la versione 2 del NTLM.

[Nativoz]

alla fine ho risolto con un gateway tra le reti e zone alarm.
Con questa soluzione di fortuna mi sono ritrovato con tutti gli ip nattati ( e questo proprio non me lo spiego). Teoricamente i pacchetti dovevano solo essere instradati dalla scheda 1 alla scheda 2


Peccato per winroute, era veramente completo e se non avessi avuto il problema del proxy sarebbe stato il SW ideale, sopratutto per i log.

[gohan]

ma che gateway hai usato?

[Nativoz]

Scusa gohan se rispondo così in ritardo, ma ultimamente mi collego poco.

Non ho usato nessun gateway. ho semplicemente condiviso la scheda 1 con la scheda 2 (in pratica mi sono limitato ad isolare il dominio più importante). Zone alarm invece mi filtra i pacchetti e protegge l'intera rete.

[gohan]

la condivisione di windows usa il NAT, per fare quello che vuoi fare tu devi usare il routing di windows ma è compreso solo in win 2000 server

[Nativoz]

però funziona, perchè dall'esterno non riescono nemmeno a pingarmi. I pacchetti in uscita invece sono liberi.