[Достаточно ли контроля по Mac?]

Статья про ARP-spoofing на

 

http://xgu.ru/wiki/ARP-spoofing

 

дописана.

 

Милости просим с критикой, замечаниями и пожеланиями

[Достаточно ли контроля по Mac?]

Хотя даже если mim удастся, а на серваке стоит защита, то просто не установится TCP сессия с удалённым хостом (ведь шлюз не будет форвардить пакеты от злоумышленника).

Шлюз в этом процессе вообще не принимает участия.

ARP-spoofing возможен только в пределах одного широковещательного домена!

 

Шлюз может принимать участие в ARP-spoofing'е только при условии, что он - это одна из жертв (ну или нападающий

 

Что касается брандмауэра на локальной станции, да это правда.

[Достаточно ли контроля по Mac?]

Дело в том что

1) Статический ARP на шлюзе не защищает от односторонней атаки против клиентов; он спасает только шлюз

2) ARP-ответы ettercap'ом и dsfniff'ом отправляются не на запросы, а всё время; каждые несколько секунд в цикле

 

Что касается анонса чужих адресов шлюзом,

да это он это делает, но не всегда,

а только в том случае, если вы ставите напротив адреса

флаг pub (в FreeBSD).

[Достаточно ли контроля по Mac?]

Ещё раз возвращаясь к теме ARP-spoofinga и опасностей, которые за ним стоят.

 

В статье http://xgu.ru/wiki/ARP-spoofing это всё написано, только как-то незаметно. Хочу ещё раз остановиться и подчеркнуть ключевые моменты.

 

ARP-spoofing позволят за счёт уязвимостей, а точнее, отсутствия всякой безопасности в протоколе ARP добиться того чтобы трафик между двумя компьютерами в пределах одного широковещательного домена коммутируеммоей сети передавался через третий компьютер, причём практически незаметно для жертв.

 

Это называется - выполнить MITM-атаку - Man In The Middle - человек посредине. Её ещё иногда называют Monkey In The Middle.

 

Трафик проходит через этого человека и он может

1) Просматривать его

2) Модифицировать его

 

Я думаю, что уже всё и так понятно, но приведу примеры.

 

Ловить все cleartext пароли. Например, POP3, Telnet, BASIC-аутентификация в HTTP и множество других

 

Ловить почту и IM-сообщения (нешифрованные). Тот же POP3 и SMTP

 

С шифрованным трафиком всё не так гладко, но тоже весело.

 

Во-первых, некоторые алгоритмы шифрования достаточно примитивные.

И поддаются очень простому взлому.

Например, NTLM (не NTLMv2 а именно NTLM) - один из ярчайших примеров.

Вроде бы и шифрованный, а всё ломается на раз.

То есть вы перехватываете хэш, а потом восстанавливаете из него пароль с помощью таких средств как John the Ripper и тд

 

Ещё один яркий пример - RDP (без TLS).

Некоторые думают, что он шифрованный и безопасный, а как его поломать уже давно известно и описано.

То есть, бери делай ARP-spoofing и смотри что тчувак делает через RDP на удалённой машинке.

 

Во-вторых, даже если алгоритм шифрования хорош, не обязательно его ломать. Достаточно просто прикинуться что вы и есть сервер. Вы ведь по средине! То есть вы расшифровываете трафик, а потом зашифровываете и отправялете его на сервер. Вот для чего нужна аутентификация сервера во всяких SSH и SSL. В браузере при первом соединении вам показывается сертификат SSL, а в SSH вам показывается fingerprint открытого ключа сервера. Это для того чтобы вы были уверены, что соединяетесь не с мужиком по средине, а с реальным сервером (естественно, у вас должны быть механизмы для проверки подлинности открытого ключа или сертификата).

 

 

Так.

 

теперь о том как с ним бороться.

 

Как его заметить для начала.

Заметить очень легко - если ни с того ни с сего поменялся MAC-адрес какой-то машины в сети, не исключено, что между вам и той машиной

появился злоумышленник.

 

Кто он?

Неизвестно.

Но он сейчас пользуется мак-адресом, который у вас в кэше ARP.

Вот для чего и нужны управляемые коммутаторы.

Вы обращаетесь к нему и спрашиваете, а на каком порту сидит тот кент вот с таким адресом? Он вам говорит - на таком-то

 

Вы же знаете, что MAC-адреса на сетевые карты можно ставить какие-угодно.

То есть, парень мог поставить себе какой-то левый адрес и начать ARP-spoofing. То что у вас был записан где-то его настоящий адрес, это классно но вам ничем не поможет, потому что свой текущий MAC-адрес он придумал только что.

 

Поэтому нужно сразу же лезть на управляемый свитч

и узнавать с какого порта идёт зло.

Против этого он ничего сделать не сможет.

Вы просто будете знать номер порта злого юзера и кердык.

 

Это всё, конечно же, делается не ручками, а скриптами в автоматическом режиме.

 

Для того чтобы зафиксировать смену MAC-адреса

используются разнообразные программы.

В частности, под Unix/Linux программа arpwatch.

 

Для того чтобы узнать на свиче порт, полно всяких скриптов.

Главное чтобы скрипт поддерживал SNMP

 

Это делают все более-менее нормальные свичи.

Даже из дешёвых.

 

Ещё одна хорошая фишка свичей, которые могут помочь в борьбе со злыми дядьками ARP-spoofer'ами это VLANы.

В идеальном случае когда каждый живёт в своём VLAN'е ARP-spoofing даже в принципе невозможен.

Но это жирно и не каждому дано.

 

Чаще просто изолируют наиболее активных/наиболее чувствительных в отдельных VLAN'ах. И всё.

 

 

Что касается навороченных switch'ей и их функций по борьбе с ARP-spoofing'ом, то такие тоже есть, но это совсем другая история. И нужны реально продвинутые свитчи.

 

 

Уфффф.

Вроде всё

 

Будут вопросы - пишите!