Сниферы в сети

[CronAcronis 0]

Вообщем с помощью любого более или менее нормально сниффера человек, у которого есть доступ в магистральный switch, сканит все проходящие пакеты, вытаскивая отттуда пароли для http, ftp, icq, вообщем все незакодированые пароли, и логины в том числе, как с этим бороться?

[zulu_gluk 23]

В принципе, можно шифровать весь трафик от клиента до сервера.

[XoRe 0]

Если он может это делать, то это уже не switch, а hub.

Свич на то и свич, что шлет пакеты только на тот порт, на который надо слать.

Неважно, магистральный или оконечный.

[CronAcronis 0]

Нет, это именно свитч.

[zulu_gluk 23]

Если он может это делать, то это уже не switch, а hub.

Свич на то и свич, что шлет пакеты только на тот порт, на который надо слать.

Неважно, магистральный или оконечный.

 

http://nag.ru/2003/0405/0405.shtml

[Zep 0]

Подними MPPE шифрование в VPN`e ..... И фиг кто разшифрует. И пусть парятся со снифером сколько угодно

[CronAcronis 0]

IPSec, кто-нить реализовывал?

[XoRe 0]

http://nag.ru/2003/0405/0405.shtml

Ого. Круто. Не знал.

Тогда вот что можно сделать для сервера на *nix:

1. Настроить сетевую карту на статическую таблицу arp адресов. Или сделать привязку IP+MAC. Это не даст подменить mac адрес клиента на сервере.

 

2. Запустить программу arpwatch. Это сразу покажет сниффера.

 

3. Поднять IPsec/VPN. IPsec не юзал. VPN достаточно просто поднимается пакетом mpd. В инете есть статьи, как это сделать. Это защитит от прослушивания.

[CronAcronis 0]

1. Каким образом ? можно по подробнее? сейчас DHCPD раздает айпишники в соответствии с маком.

 

2. Не сидеть же вечно около это гадости =)

 

3. Вот интересно как IpSec работает.

[XoRe 0]

1. делать ifconfig сетевухи с параметром -arp. Это сделает "Disable the use of the Address Resolution Protocol (arp(4))". Примеров привязки IP+MAC несколько даже на этом форуме. Можно даже сделать привязку, основываясь на конфиге dhcpd. Как? Скриптами! =)) Не знаешь? Учи какой-нить скриптовый язык (любой) или попроси знающих людей. Мне писать это для тебя лень.

 

2. arpwatch можно настроить так, чтобы он выслылал алерты (при смене mac адреса у какого-то айпишника) на указанное тобой мыло. Алерты довольно подробные. Как это сделать? man arpwatch, если уже установил.

 

3. Мне тоже интересно. Как узнать? man ipsec. Мне лень читать, так как мне ipsec не нужен. Тебе нужен - читай.

[CronAcronis 0]

1. Спасибо и на том, что подсказали где искать.

2. алерты алертами, но это постоянный глаз да глаз, удобнее шифрование сделать

3. Нету у меня ipsec мана =) буду искать.

[Константин 0]

Если он может это делать, то это уже не switch, а hub.

Свич на то и свич, что шлет пакеты только на тот порт, на который надо слать.

Неважно, магистральный или оконечный.

Вот тут ты немного отстал от технологий. Вот ARP-spoofing ловит пароли сквозь два свича. Сам по такой технологии писал снифер. Так что в безопасности один ответ - VPN (пока что ).

[CronAcronis 0]

Вот почитал opennet, решил делать каналы связи IpSec от клиента до роутера.

[XoRe 0]

Если он может это делать, то это уже не switch, а hub.

Свич на то и свич, что шлет пакеты только на тот порт, на который надо слать.

Неважно, магистральный или оконечный.

Вот тут ты немного отстал от технологий. Вот ARP-spoofing ловит пароли сквозь два свича. Сам по такой технологии писал снифер. Так что в безопасности один ответ - VPN (пока что ).

См последующие мои сообщения.

Активный ARP-spoofing ловит не только через два свича.

По такой технологии сниффер, как пассивное устройство, не напишешь.

Если только активный сниффер.

Причем это обрубается, если на роутере у сетевого интерфейса отключить arp протокол.

Согласен, что VPN решит эту проблему лучше всего.

[tera 0]

Народ есть такая штука Iris так вот пофиг хаб свич все вывтаскивает

я как админ сети читаю все

поверьте прикольно читать что посылают и куда

да правда сет немного ложить ся но не беда

[Константин 0]

http://www.ufasoft.com/icqsnif/ А вот такую штучку попробуйте, ну полный отпад. Много нового узнаете

[CD-ROMa 6]

Вот еще ссылочка для размышления:

http://www.ticom.net/index.phtml?link=news&news=559

[XoRe 0]

Хуз, поставил Iris, не ловит он нихрена.

Я думаю, что если на шлюзе стоит жесткая привязка мак адресов к айпишникам, ARP-спуфинг хакеру даст только первый пакет от клиентского компьютера. Почему?

Насчет некоторого подобия DoS атаки на свичи. Я знаю, что у современных свичей 1килобайт памяти под мак адреса. При заполнении памяти удаляются более старые записи. Если свичу пришел пакет с неизвестным mac-адресом, т оон рассылает его на все порты. Если приходит ответ, то он запоминает с какого порта пришел этот ответ и следующие пакеты шлет именно на этот порт. Кроме того, он запоминает mac-адрес источника. И, соответственно, шлет пакеты, предназначенные для источника только на нужный порт. Т.е. сниффер хакера будет выдавать только первые пакеты сессий в первые минуты работы пользователей в сети. Такие пакеты не несут данных.

 

Следовательно, если в сети на свичах сниффер показывает пакеты от других сессий, нужно ставить свичи лучше, имхо.

[Dimension 39]

Арп поисонинг (или арп спуфинг) - это просто ужас для админов!!!! Если в сети скажем запущено на 2х - 3х компах прога использующая этот тип атаки - сети конец, ее не будет!!!! ПРОВЕРЕНО!!! А если при этом юзвери сменили ИП и МАК, то все, только бегать по свичам!!!! Хотя впринципе есть пара хитростей как вычислить падлеца....

[Foster 0]

ну так поделись с окружающими :=

[XoRe 0]

Можете рассказать, как будет работать arp-спуфинг, если на роутере работает жесткая привязка маков к ипишникам?

Я могу рассказать - он работать не будет.

[Den_LocalNet 1,474]

правильно - сервак даж слушать не будет тех у кого не совпадает мак\ип

[Guest Guest_knowhow]

Можете рассказать, как будет работать arp-спуфинг, если на роутере работает жесткая привязка маков к ипишникам?

Я могу рассказать - он работать не будет.

Можете рассказать, как будет работать arp-спуфинг, если на роутере работает жесткая привязка маков к ипишникам?

Я могу рассказать - он работать не будет.

 

смотря что и смотря как.. но вообщем возможности имеются.. тоетсь меняется мак вместе с ip и все ok (а собираются эти пары довольно просто вы "послушайте" сегмент там все есть)

Потом таки даже если есть привязка то клиента то ее нету и клиенту на arp who has забивается что мол я гейтвей.. клиент ведется и начинает идти через меня вот собственно и еще такой вариант снифания.. что собственно и хочу исключить через vpn..

[Guest Guest_knowhow]

Вот почитал opennet, решил делать каналы связи IpSec от клиента до роутера.

Очень правильно и очень верно.. IPsec рулит тестировалось очень серьезно при грамотной настройке MIM исключается вообще и unbreakable почти (DoS разве что и то там тоже над этим подумано немного но подумано)

 

Единственное но ресурсоемкая вещь.. но вещь!

Ответом на первоначальный пост будет VPN-IPsec

[XoRe 0]

Детский сад.

Почитали статью "как я, супа-пупа-мега-кул-хацкер, чиста паимел саседа" и кричат, что все, ethernet-провайдингу пришел ахтунг.

Подобный разговор уже был в теме http://local.com.ua/forum/index.php?showtopic=1207

 

Ликбез:

1. Можно поменять mac-адрес средставами windows.

2. Можно поменять ip-адрес средставами windows.

3. Можно даже оба их поменять одновременно =))

4. Можно заняться арп-спуфингом.

 

Рассмотрим все четыре варианта, при условии что на шлюзе стоит жесткая привязка мака к ip-адресу:

1. Ты, как клиент, у себя поменял mac-адрес. Первое, что может случиться - вылетит окно с текстом "такой ip уже используется". Насрем на неё, т.е. закроем =))

И так, что мы имеем?

До шлюза, а следовательно, до инета не достучаться в любом случае - шлюз шлет пакеты вам на ваш старый mac-адрес.

До остальных компов достучаться - это как повезет.

Шлюз может рассылать ваш старый mac на запросы других компов.

Следовательно, вы не сможете пообщаться с некоторыми машинами в сети.

Т.е. смена mac-адреса вам ничего не даст.

 

2. Меняем ip-ишник. Тут уже лучше.

Если меняем на занятый, то все будет как в п.1.

Если на свободный, то можно будет поюзать местный веб/фтп сервер и пообщаться с другими машинами в сети.

Т.е. можно работать в сети без выхода в инет.

 

3. Меняем ip и mac.

Рассмотрим 2 варианта:

а) Меняем на ip и mac клиента.

Зашибись! Мы другой клиент! =))

Главное - чтобы клиент, под кого мы косим, в это время был отключен.

Если зарубить у себя netbios, то однозначно определить, что это другой пользователь, нельзя.

Если в сети авторизация по ip+mac, можете спокойно выходить в инет.

Если клиент, которым вы претворяетесь, включит комп, то у вас начнет глючить сеть.

Значит пора менять все это дело обратно.

Если в сети авторизация по vpn или стоит что-то типа stargazer, смена ip и mac-адреса доступа в интернет вам не даст.

 

б) Меняем на ip и mac-адрес шлюза.

Поменяли? Молодцы! Орлы, так сказать! =))

Если не хотите, чтобы вас отрубили от сети и ещё наваляли люлей в добавок, советую поменять обратно.

Потому что сейчас (точнее когда поменяете), вся локалка (кроме шлюза) лишилась инета.

Или имеет инет, но очень глючный и медленный.

Имхо, в таком случае, даже если у вас будет уже настроен на машине переделанный нужным образом vpn-сервер или stg-сервер, своровать логины и пароли пользователей у вас не получится.

Авторизация шифруется по паролю.

Если у вас, как у сервера, не будет пароля, вы не сможете расшифровать запрос клиента.

Такая подмена засекается сразу, админы встают на уши и ищут того, кто это делает.

Как найдут, навсекают и отрубят от инета.

Так что даже такая мега-подмена вам ничего полезного не даст.

 

4. Арп-спуфинг.

Что это такое:

- какая-то машина говорит клиенту, чтобы он обращался к серверу по mac-адресу этой машины.

- эта-же машина говорит серверу, чтобы он обращался к клиенту по mac-адресу это машины.

Т.е. становится посредником между клиентом и сервером.

Это вполне рабочая схема, если на сервере(шлюзе то есть) нету железного забития ip-адресов по mac-адресам.

Если забитие есть, то сервер, со своей стороны, скажет "Хрен тебе. Я буду обращаться к клиенту по тому mac-адресу, который написан у меня".

И будет слать пакеты клиенту на тот mac-адрес, который в ней забит.

Для клиента будет такая ситуация: отправляет он пакеты на один mac-адрес, а ответы приходят с другого.

Как винда будет себя вести в такой ситуации, я не знаю.

Могу предположить, что поменяет запись об mac-адресе на правильную.

Значит первый-же пакет от сервера поломает весь arp-спуфинг.

А в первых пакетах нету паролей.

там только запрос на соединение.

Вот и весь arp-спуфинг.

 

Вывод: делайте железную привязку ip-адресов к mac-адресам и ставьте какую-нибудь авторизацию для выхода в инет.

 

P.S. Во всех четырех случаях "хакера" можно поймать, если запустить на шлюзе программу arpwatch.

Что это за программа - ищите в инете, инфы там навалом.