Достаточно ли контроля по Mac?

[Creator 0]

Новый проект, посоветуйте.

Достаточно ли контроля по MAC или раскашеливаться на MAC+IP или вообще взять неуправляемы свитчи?

[devchaos 1]

Однозначно управляемое железо даже если сеть небольшая это избавит от проблем в будущем.

[-=Dem[ON!]=- 0]

Достаточно ли контроля по MAC или раскашеливаться на MAC+IP или вообще взять неуправляемы свитчи?

Во-первых, смотря для каких целей. Мало информации.

Во-вторых, контроль по ИП+МАК в связке с контролем смены МАКов/АйПи сторонней утилитой (такой как, например, ipsentinel).

[Creator 0]

Для районной сети, пока это проект, потому и информации мало.

 

Я просто думаю что просто по макам контроль дешевле ведь, стоит ли доплачивать за MAC+IP?

Кто в своей сети контролирует только по макам?

[Creator 0]

Кто вообще использует умные свитчи? Много таких?

[Neelix 33]

использую с 2 десятка Compex на магистралях, а так простые D-Link + arpwatch на роутере и нормально все.

[Creator 0]

использую с 2 десятка Compex на магистралях, а так простые D-Link + arpwatch на роутере и нормально все.

А какие есть нарекания при работе с неуправляемым свитчом, чего больше всего не хватает?

[Neelix 33]

да все устраивает, когда стояли сурикомы, раз в пару месяцев зависали, только и всего!

[denz 0]

Есть неплохая статья по работе арп-протокола, курим тут: ARP-spoofing

[Creator 0]

Есть неплохая статья по работе арп-протокола, курим тут: ARP-spoofing

Судя по этой статье, любую сеть на не управляемых свитчах пионеры могут ламать как им угодно и применять все те проги которые в статье упомянуты.

[Neelix 33]

да, так оно и есть.

[Creator 0]

Так я не пойму, проблема вроде бы такая актуальная и тем не менее все юзают неуправляемые свитчи. Эта проблема никого не волнует или на практике такие случаи случаются редко? Почему бы не использовать управляемые коробки или в них тоже не все нужное есть?

[Neelix 33]

просто цель не оправдывает средства, проще (вроде бы) найти засранца и вкачать ....здюлей, хотя на практике редко встречаются случаи с arp-spoofing'ом. Это ничего не дает, кроме парализации станции или сегмента сети.

[Creator 0]

А какие вообще случаи хакерства случаются на практике?

[Neelix 33]

флуд сервера, хотя с сервером ничего не могут сделать. Чаще всего kaht2 ломают виндовые тачки, реже сниффером собирают пароли.

[Neelix 33]

еще брутфорсят ssh и ftp

[XoRe 0]

Обычно запускают брутфорсеры и icqsniff.

Ну или идут по пути script-kiddy'сов или как там они называются.

Спецов мало.

*nix обычно ставят поиграццо или для понту.

[Creator 0]

И какие из вышеназванных проблем как можно решить с помощью коммутаторов?

[Neelix 33]

никакие, максимум это обрезать скорость

[XoRe 0]

Управляемыми свичами можно контролировать МАК адрес на порту.

Или не давать вылазить с других МАК-адресов или сигнализировать, если с этого порта засветится чужой МАК.

Обои случаи очень помогут во время работы icqsniff.

В первом случае сразу будет видно с какого МАК-адреса идет поток АРП-флуда.

Во втором случае можно будет видеть, с какого порта идет подмена МАК-адресов.

И так и так получаем возможность точно определить источник.

Жесткая привязка порта к МАК-адресу ещё резко снижает возможность хулиганства в сети.

[Creator 0]

Управляемыми свичами можно контролировать МАК адрес на порту.

Или не давать вылазить с других МАК-адресов или сигнализировать, если с этого порта засветится чужой МАК.

Обои случаи очень помогут во время работы icqsniff.

В первом случае сразу будет видно с какого МАК-адреса идет поток АРП-флуда.

Во втором случае можно будет видеть, с какого порта идет подмена МАК-адресов.

И так и так получаем возможность точно определить источник.

Жесткая привязка порта к МАК-адресу ещё резко снижает возможность хулиганства в сети.

Спасибо за новую точку зрения.

 

А вот теперь вопрос, существуют ведь свитчи L2+, которые помимо MAC контроля, могут просматривать IP адреса и TCP порты в пакетах и обрабатывать все это в соответствии с таблицой ACL. Такие свитчи существенно дороже. Для чего может быть полезно плюс к макам использование контроля по IP и TCP и оправданно ли это по соотношению "цена/возможности"?

[Queeq 0]

Cisco Catalyst 2950 именно такой. Но что-то я сомневаюсь, что имеет смысел...

[Creator 0]

Cisco Catalyst 2950 именно такой. Но что-то я сомневаюсь, что имеет смысел...

Сомниваюсь, что в Cisco для маленьких ISP есть вобще какой-то смысл.

 

Я имел в виду аналогичные D-Link или Planet.

[masters 126]

Я имел в виду аналогичные D-Link или Planet.

Мне кажется для небольших сетей - это не нужно. А тем более не окупится! Вот если у тебя пару тысяч машин в сети, то можешь попробовать!

Обычных управляемых свичей, которые с MACами работают, будет вполне достаточно!

 

Единственный минус управляемых свичей - при большом напоре широковещательного флуда (от тех-же броадкаст-чатов) они намного чаще вешаются, а если включить флуд-контроль, вешаются еще чаще :-(=)

Так что лучше все управляемые свичи ставить и включать флуд-контроль. А то если половина свичей - обычные, а на район - управляемый, он будет вешаться все время.

[xguru 0]

Ещё раз возвращаясь к теме ARP-spoofinga и опасностей, которые за ним стоят.

 

В статье http://xgu.ru/wiki/ARP-spoofing это всё написано, только как-то незаметно. Хочу ещё раз остановиться и подчеркнуть ключевые моменты.

 

ARP-spoofing позволят за счёт уязвимостей, а точнее, отсутствия всякой безопасности в протоколе ARP добиться того чтобы трафик между двумя компьютерами в пределах одного широковещательного домена коммутируеммоей сети передавался через третий компьютер, причём практически незаметно для жертв.

 

Это называется - выполнить MITM-атаку - Man In The Middle - человек посредине. Её ещё иногда называют Monkey In The Middle.

 

Трафик проходит через этого человека и он может

1) Просматривать его

2) Модифицировать его

 

Я думаю, что уже всё и так понятно, но приведу примеры.

 

Ловить все cleartext пароли. Например, POP3, Telnet, BASIC-аутентификация в HTTP и множество других

 

Ловить почту и IM-сообщения (нешифрованные). Тот же POP3 и SMTP

 

С шифрованным трафиком всё не так гладко, но тоже весело.

 

Во-первых, некоторые алгоритмы шифрования достаточно примитивные.

И поддаются очень простому взлому.

Например, NTLM (не NTLMv2 а именно NTLM) - один из ярчайших примеров.

Вроде бы и шифрованный, а всё ломается на раз.

То есть вы перехватываете хэш, а потом восстанавливаете из него пароль с помощью таких средств как John the Ripper и тд

 

Ещё один яркий пример - RDP (без TLS).

Некоторые думают, что он шифрованный и безопасный, а как его поломать уже давно известно и описано.

То есть, бери делай ARP-spoofing и смотри что тчувак делает через RDP на удалённой машинке.

 

Во-вторых, даже если алгоритм шифрования хорош, не обязательно его ломать. Достаточно просто прикинуться что вы и есть сервер. Вы ведь по средине! То есть вы расшифровываете трафик, а потом зашифровываете и отправялете его на сервер. Вот для чего нужна аутентификация сервера во всяких SSH и SSL. В браузере при первом соединении вам показывается сертификат SSL, а в SSH вам показывается fingerprint открытого ключа сервера. Это для того чтобы вы были уверены, что соединяетесь не с мужиком по средине, а с реальным сервером (естественно, у вас должны быть механизмы для проверки подлинности открытого ключа или сертификата).

 

 

Так.

 

теперь о том как с ним бороться.

 

Как его заметить для начала.

Заметить очень легко - если ни с того ни с сего поменялся MAC-адрес какой-то машины в сети, не исключено, что между вам и той машиной

появился злоумышленник.

 

Кто он?

Неизвестно.

Но он сейчас пользуется мак-адресом, который у вас в кэше ARP.

Вот для чего и нужны управляемые коммутаторы.

Вы обращаетесь к нему и спрашиваете, а на каком порту сидит тот кент вот с таким адресом? Он вам говорит - на таком-то

 

Вы же знаете, что MAC-адреса на сетевые карты можно ставить какие-угодно.

То есть, парень мог поставить себе какой-то левый адрес и начать ARP-spoofing. То что у вас был записан где-то его настоящий адрес, это классно но вам ничем не поможет, потому что свой текущий MAC-адрес он придумал только что.

 

Поэтому нужно сразу же лезть на управляемый свитч

и узнавать с какого порта идёт зло.

Против этого он ничего сделать не сможет.

Вы просто будете знать номер порта злого юзера и кердык.

 

Это всё, конечно же, делается не ручками, а скриптами в автоматическом режиме.

 

Для того чтобы зафиксировать смену MAC-адреса

используются разнообразные программы.

В частности, под Unix/Linux программа arpwatch.

 

Для того чтобы узнать на свиче порт, полно всяких скриптов.

Главное чтобы скрипт поддерживал SNMP

 

Это делают все более-менее нормальные свичи.

Даже из дешёвых.

 

Ещё одна хорошая фишка свичей, которые могут помочь в борьбе со злыми дядьками ARP-spoofer'ами это VLANы.

В идеальном случае когда каждый живёт в своём VLAN'е ARP-spoofing даже в принципе невозможен.

Но это жирно и не каждому дано.

 

Чаще просто изолируют наиболее активных/наиболее чувствительных в отдельных VLAN'ах. И всё.

 

 

Что касается навороченных switch'ей и их функций по борьбе с ARP-spoofing'ом, то такие тоже есть, но это совсем другая история. И нужны реально продвинутые свитчи.

 

 

Уфффф.

Вроде всё

 

Будут вопросы - пишите!