Защита от подмены IP и MAC

[melco 0]

Люди, подскажите, как защиьтиться от подмены IP и MAC дресов с целью тырения траффика. В линухах и Юнихах MAC меняется без проблем... Так у соседа траффика ночью можна порядочно натырить....

Как от этого защититься не имея "умных" свичей??

 

Зарание благодарен.

[Quarcel 0]

Ну от подмены ип защититься порсто - статичные арп таблицы, а вот от смены ип+мак уже без "умных" свитчей никак - против лома как говорится.....

для того наверное в стг и сделаны логин и пароль - надо только сказать клиентам чтоб никому пароль свой не говорили - иначе их проблемы, а засранцев меняющих ип/мак отлавливать и устраивать показательные наказания

[zulu_gluk 23]

man arpwatch

[Валера 0]

а засранцев меняющих ип/мак отлавливать и устраивать показательные наказания

А оце вже правильно. Найдієвіший спосіб, як на мене. Наряди видавати можна. Наприклад: "поставити з мітлою біля радіоантени щоб хвилі розганяв цілу ніч" і щоб у нормальних чесних пацанів радіоінет класно працював (якщо це не радіоінет - можна інше щось придумати).

А якщо серйозно - то просто спостерігати статистику кожен тиждень хоча б. Аналізатори логів і все таке. Таким чином можна довести, що хтось використовував чужий АйПі і скачав те-то і те-то. Принаймні, я собі це так уявляю.

[Валера 0]

Я поясніть хтось як взагалі можливо підмінити MAC-адресу. Наскільки я знаю, на лінухах та FreeBSD створюються ARP-тайбл де записуються усі маки з прив'язкою до IP. Програми підміни Мак-адреси (наскільки я знаю) не спрацьовують в цьому випадку. Чи спрацьовують все-таки? Чи фішка якраз в тому, що підмінити МАКу можна лише в лінуху?

[alp 0]

Пожаулй в винде подменить МАК ещё легче, чем в Линухе.

[Mainstas 0]

Значит так:

авторизация по МАС+АйПи всеми сетевиками признана как ненадежная и взламывающаяся за 5 секунд.

 

Убеждение что поменять МАС сложно под Окнами ошибочно.

Это под силу даже ребенку.

После 5 минут поиска в гугле я нашел программку SMAC которая успешно подменила МАС у сетевой Realtek 8139 (думаю не стоит говорить как они распространены) под 2000 Окнами.

 

Теперь зная айпи и МАС жертвы (выясняется обычным сканером ресурсов типа LnetScan-a) злоумышленник может спокойно пользоватся ее реквизитами во время отсутствия жертвы в сети.

Если злоумышленник не дурак он не будет наглеть и использовать реквизиты жертвы когда ее комп включен, а также будет менять айпи+МАС предварительно отключаясь от сети (чтобы смену айпи МАСа нельзя было запротоколировать)

 

Так что в биллинговой системе типа Stargazer остается надеятся на пароль пользователя, хотя честно и на него надежды не очень большие. Кому нужно отснифит.

[Quarcel 0]

а пароль шифруется - так чт отснифать пароль просто так не получиться

 

кстати вот придумал способ как отслеживать хулиганства: собирать фингерпринты

то есть мысль такая написать сканер который отсканит сеть и составит базу, в базе он для каждого запишет например такие данные как ip,mac,hostname и расшаренные ресурсы(это можно получить по netbios/smb), хар-ные особенности(например какие-то нестандартные порты), ОС(это определить сложно хотя отличить винду ,линукс и freebsd по tcp стеку можно - я видел это в nmap) и прочее на сколько хватит фантазии и что можно определить удаленно. И потом когда нужно сверять эти данные.(Например запускать "валидатор" из скрипта onConnect старгейзера)

Такого я нигде не встречал нигде , но думаю кто захочет тот сможет это сделать - дарю идею

Способ довльно действенный на мой взгляд. Потому что "злодей" ограничится сменой тока ип/мак и уже по хостнэйму выдаст себя.

[Hash 0]

Потому что "злодей" ограничится сменой тока ип/мак и уже по хостнэйму выдаст себя.

А если кто-нить просто поменяет себе hostname, и его не пустит в инет, хотя он имеет на это полное право.

 

А вообще, посмотрите вот эту ссылку: http://www.securitylab.ru/?ID=33493

[Quarcel 0]

А почему его не пустит в инет если он хостнэйм(под этим я имею ввиду имя которое ставиться в винде и под которым эта машина видна в локальной сети - может ещё какое-то понятие о hostname есть?)

 

арп_антидот тут ни причем - не думаю что кто-то будет ухищряться и проводить мен ин миддл скорее уж подождут когда цель выключит машину и займет его ип и мак, а статичная арп таблица эффиктивней арп_антидота - хотя конечно у этого способа есть свои минусы(например если кто-то поменяет себе сетевуху, то будет долго возмущаться почему инет у него не работает)

[Doozer 0]

Хмммм... да, есть такая проблемка.

 

А кто подскажет, как таки выдать насильно IP по MAC?

Например - юзеру с MAC XX:XX:XX:XX:XX:XX разрешен только IP 192.168.0.XX

 

А остальные лочить по типу DHCP или IP Alias.

 

(в плане того, что DHCP поднят и раздаёт IP по MAC клиента, но кто запрещает отключить DHCP на клиентской стороне и поставить IP руками.)

 

Вот в чём вопрос: как избежать самовольной смены IP клиентом?

[Mainstas 0]

Вот в чём вопрос: как избежать самовольной смены IP клиентом?

 

Отрубить клиенту руки

 

А вобще запретить смену айпи ты сможешь только забрав у пользователя права администратора на его собственой машине. Другое дело что можно сделать так, чтобы пользователь сам не был заинтересован в смене ай пи..

Вобще игры с статическими привязками эт хорошо, только по-моему нужно идти по принципу кнута и пряника.

Лично я в договор с клиентов включил пункт Сетевые настройки.. там указан его ай пи и указано что смена айпи это наказуемый поступок.

А играть с пользователями "кто кого перехитрит" по-моему утомительно....1-2 показательных "расстрела" "нарушителей гос границы" остудят пыл других "хацкеров".

[DeadOff 0]

А в чём, вообще, вопрос?

СТГ ведь ходит по паролю!

Или это про тех, кто не юзает СТГ?

Обьсните непонимающему.

[Quarcel 0]

Ну просто кто-то может узнать чужой пароль - и воспользоваться этим поменяв себе ип адрес

 

Вот в чём вопрос: как избежать самовольной смены IP клиентом?

как говорил zulu_gluk arpwatch - то есть избежать нельзя, но можно отследить(в принципе против винды есть средство от смены ип - но это не стандартно и криво(тк опирается на кривость самой винды и её работы с сетью), а никсы вообще наплюют на этот способ)

[Mainstas 0]

А в чём, вообще, вопрос?

СТГ ведь ходит по паролю!

Или это про тех, кто не юзает СТГ?

Обьсните непонимающему.

 

Так то оно так...только вот юзеры бывают неразумными например используют 1 пароль для всего подряд... или ловят троянов и кейлогеров.

Вобщем ясное дело что ты будешь понимать что юзер виноват в том, что его пароль выудили и "накрутили" ему трафик. но юзер то конечно во всем будет винить тебя..(иногда доходит до утверждений типа "этовы сами накрутили" я не качал)

вот потом и разбирайся то ли правда пользователь жертва злоумышленников то ли просто даун который считает, что трафик кушает только качание МП3, а серфинг по сайтам трафик не кушает...... иногда хочется сделать скин для ИЕ где для перехода на сайт нужно будет нажать кнопку СКАЧАТЬ

[Гость Guest]

Самый нормальный способ отслеживать "умнико" - проводить авторизацию по паролю и фиксировать попытки его подбора или использования отслеживая ИП и МАК! Думаю используя чужой пароль такой умник максимум что сделает - поменяет себе ИП, а с МАКом возится не станет... Тут-то ему руки можно и пооткручивать! Сам так делаю, но пока ничего криминального не выявил... А пароль снифить можно, если только сеть на хабах, а при использовании свичей это практически не реально! Так-что если юзер сам не выдаст свой пароль, то ничего и не произойдет!

[Quarcel 0]

можно надеятся что ограничатся сменой тока ип, а вдруг нет? Ведь поменять мак ниче не стоит - даже под виндой - и даже проще чем описывают выше - использовать smac нужно только в 98-й винде а в 2к и ХР в настройках есть пункт апаратный адрес(хотя вообщем зависит от дров - но какие видел - везде было), а в никсах и того проще.

 

то что отснифать со свитчами ниче нельзя - это ошибка - MiM атаки против винды никто не отменял(а вот против линукса его отменяет arp_antidote упомянутый выше ), но повторюсь - это злоумышленику не поможет - трафик авторизатора шифруется.

[melco 0]

Ню ню... почитал...

По моему, выход - это VPN

Кто скажет - гемор его настраивать под никсы (Fedora Core 1 например)????

Я даже не настраивал ни разу... Кто-то пробовал??

 

 

Думаю это могло бы решить проблему всяких методов воровства...

А логеры и трояны... ну тут уж извините... эт проблемы юзеров...

Не так ли?

[Гость Батон]

Так !

Только можно завернуть еще круче

Т.е. раздавать IP по DHCP (под MAC-адрес - выдается IP), а интернет сделать по VPN - и в VPN кроме проверки логина/пароля сделать еще проверку МAC адреса (совпадает ли МАС юзера с паролем юзера)

[melco 0]

А зачем?

А если юзер захочет под своим от соседа зайти???

Я ему сгенерю пасс и пусчай с ним что угодно делает...

К нему привяжу его статистику и всё.

ПроЦрет пароль - его проблемы... Новый дам, если захочет.

 

А VPN настраивается достаточно просто...

Это решит все проблемы..

[Quarcel 0]

интересно а что же может решить VPN - кто заъочет также сопрет чужой пароль поменяет себе мак и ип и войдет в сеть.

 

Мое мнение: 100% избежать воровства трафика можно лишь поставив везде "умные" свитчи - то есть привязать мак адрес к порту.

[melco 0]

Ну.... Кто-то спер пароль - проблема и вина не админа.

Юзер всегда может менять паоль...

А то что у него стырили пароль, или в квартире золото пропало - єто его личные проблемы.

А вот если подмена мак и айпи адреса имела место, то в этом юзер никак не виноват.

 

Ко всему VPN помогает решить проблему всяких червей, вирусов, наганяющих траффик и Windows Update, который включается, когда ему только взбредет...

 

Вот так вот.

[ЛисычЪ 0]

Ээээ.. Я как-то грогу себе наварил и придя в очень душевное состояние от воссоединения с ним в одно целое, вот это написал: http://www.homenetworks.ru/forums/viewtopic.php?t=3136

там всякие мелкие полезности...

[Гость Батон]

А зачем?

А если юзер захочет под своим от соседа зайти???

Я ему сгенерю пасс и пусчай с ним что угодно делает...

К нему привяжу его статистику и всё.

ПроЦрет пароль - его проблемы... Новый дам, если захочет.

 

А VPN настраивается достаточно просто...

Это решит все проблемы..

Да затем ! Затем, чтобы максимально ЗАЩИТИТЬ юзера, (а еще глубже - затем, чтоб СЕБЯ избавить от разборок и "разруливания непоняток" с юзерами, у которых тырят инет). Представь, что юзер зашел к соседу, подконектился своим пассвордом... А вдруг у соседа стоит клавиатурный шпион в бэкграунде?

Все, пароль у соседа - дальше додумай сам результаты. А если юзера еще кроме пароля привязать к МАСу (что и так уже сделано у большинства) - то такой хак провести труднее. До него еще додуматься надо ! А выловить юзера, который пробует зайти чужим паролем - проще. По-моему, это "золотая середина" между безопасносью и удобством для юзера. Лично я бы, например, никогда на чужой тачке своим паролем не заходил никуда.

[zulu_gluk 23]

ЛисычЪ, респект!