RESOLU // administration réseau

Support Debian
#1

j’ai un utilisateur, au sein de mon domaine qui me pourris la bande passante.
y a t’il quelqu’un ici de calé en sécurité réseau? moi y en avoir besoin conseils.

cet utilisateur utilise une vingtaine de ports (alors que j’ai limité l’accès à l’input à 8 connexion/minute. tous ne sont pas actif (time-wait) mais il dépasse tres largement des 15 connexions simultanées. il a changé d’IP pour échappé à une règle plus restrictive.

toutes sont dirigées vers un seul IP 195.68.90.100:80
avez vous moyen de me dire quelle type de service se cache derrière cet ip ?
le who-is renvoie à un revendeur d’IP. est ce un tunnel ?

des connexions netstat vers un site: anne.nfrance.com:www ne sont pas enregistrés par squid, il ne s’agit donc pas de connexions HTTP via port 80.

merci de me permettre de comprendre quelle méthode il utilise pour bouffer toute la bande passante 56Ko que l’on a pour 50 postes, et la méthode pour le coincer avec preuve … merci …

#2

Ben première chose… Il est sous quel O.S. ? Si c’est du linux tu as une accès root ? Si c’est du windows y a t’il un domaine controler et à tu un accès Admin sur la machine ?

Comment se fait’il qu’un utilisateur puisse changer d’ip ?

#3

Tout à fait d’accord, il ne faut pas qu’il est accès au compte administrateur. Le changement de l’adresse IP peut constituer en lui même une faute professionnel (une forme de sabotage).

Première chose lui interdire l’accès au compte administrateur. Si tu ne peux pas faire ça tu es très embêté.

Il y a la solution que si tu as un switch administrable, tu peux dédier le port de son swicth à une seule adresse IP.

Au niveau du routeur tu peux autoriser l’accès qu’à une plage d’adresses. Cela t’oblige à avoir des adresses contigues. Surtout pas de trou il est malin ton collègue.

#4

Si tu veux voir ce qu’il fait, installe un sniffer (Wireshark par exemple) et regarde ce qu’il se passe sur le réseau.
Tu peux également mettre en place de la QoS pour mieux gérer la bande passante de ta connexion.

Et 195.68.90.100, ça correspond au site sport4fun.com/

#5

Avoir 8)
Bon, c’est vrai, j’aurais pu me retenir.

#6

Il va voir des paris sportifs:

$ host www.sport4fun.com www.sport4fun.com CNAME sport4fun.com sport4fun.com A 195.68.90.100 francois@bling:~$
Trace les connexions vers ce site et identifies l’adresse MAC de la machine (mais ça dépend de ton réseau). Une fois que tu as l’adresse MAC, tu as la machine, il te suffit de regarder à un instant donné où est la machine et son IP (via la commande arp).

Tu peux aussi scanner la machine et regarder son nom Netbios…

#7

moui, il est sous windoze.

et il s’est débrouillé avec l’ancien patron pour me faire passé pour un clown, il a trafiquer des services windows alors qu’il est sous un domaine, alors sur pas mal de chose sa foirait complètement. Et sans surprise il ma tout mis sur le dos… Le patron n’y connaissant rien et ne voulant pas de ptite gueguerre avec un de ses amis ma demandé (tenez vous bien) de lui laisser les droits d’administration sur son poste. (j’ai refusé les droits domaines et réglages réseau quand même).

ma passerelle debian n’a pas X11, et n’en aurrat jammais, wireshark est t’il en mode graphique ?

Pour l’arp, oui c’est comme ça que j’ai su que c’était lui…

malheureusement pour ma pomme pas de matériel d’interconnexion niveau 3…

puis je utiliser l’adresse mac au lieu de L’iP sous iptables ? je v tester ca:
iptables -A INPUT -i -p TCP eth0 -m mac --mac-source MAC_DU_PENIBLE -m state --state NEW -m recent --set
iptables -A INPUT -i -p TCP eth0 -m mac --mac-source MAC_DU_PENIBLE -m state --state NEW -m recent --update --seconds 30 --hitcount 6 - DROP

mais j’ai peur qu’il faille déclarer un protocole vu que je souhaite lui réduire le nombre de connexion pas le nombre de paquets sans distinctions…

#8

[quote=“megs”]ma passerelle debian n’a pas X11, et n’en aurrat jammais, wireshark est t’il en mode graphique ?
[/quote]
A ce que je sache, y a pas d’interface console, mais tcpdump fait un boulot similaire.

[quote]
puis je utiliser l’adresse mac au lieu de L’iP sous iptables ?[/quote]

Mais si le type a des droits d’admin, alors il peut changer sa MAC de toute manière, ce qui te conduit donc à recenser toutes les autres et à fonctionner par whitelist -et encore- suffit qu’un des postes en whitelist soit pas connecté pour qu’il utilise une MAC autorisée. L’enfer en quelque sorte…

Ca serait tellement plus simple s’il avait pas eu de droits admin :wink:

#9

oué si le monde était parfait on le saurait…

#10

[quote=“Knucky”][quote=“megs”]ma passerelle debian n’a pas X11, et n’en aurrat jammais, wireshark est t’il en mode graphique ?
[/quote]
A ce que je sache, y a pas d’interface console, mais tcpdump fait un boulot similaire[/quote]wireshark en mode texte: tshark… :wink:

Bon courage à tous et toutes… :smt006