
xml version="1.0" encoding="windows-1251"?>
.:SecurityTeam Forum:. |
![]() ![]() ![]() ![]() ![]() ![]() |
Здравствуйте Гость ( Вход | Регистрация ) | Выслать повторно письмо для активации |
![]() ![]() ![]() |
vic |
Дата 19.04.2007 - 12:00
|
Offline![]() Activist ![]() ![]() Профиль Группа: -users- Сообщений: 53 Пользователь №: 27 Регистрация: 21.02.2005 Рейтинг: (0%) ![]() ![]() |
Срочно нужно решить проблему по защите локальной сети от снифера.
Сеть одноранговая, ~ 100 машин в сети. есть сервер шлюз и контролер домена. Запустил для пробы примитивный ICQSniff, отснифал все, icq сообщения, пароли на мыло, ftp и прочее. Сейчас остро встал вопрос о защите локальных машин от снифера. Прошу совета у всех. |
Boffin |
Дата 19.04.2007 - 12:18
|
Offline![]() [> absolvitur <] ![]() ![]() ![]() ![]() ![]() ![]() Профиль Группа: -root- Сообщений: 3204 Пользователь №: 2 Регистрация: 17.02.2005 Рейтинг: (0%) ![]() ![]() |
От меня вот такая вот статейка:
------------------------------------- 0x00 . Ethernet Пакетные сниферы - частое явление РІ локальных сетях Рё если ты заботишься Рѕ безопасности передаваемых данных - эта статья для тебя.РЇ попытаюсь расмотреть РІСЃРµ возможные СЃРїРѕСЃРѕР±С‹ отлова нюхачей,включая софт Рё РґСЂСѓРіРёРµ методы шифрации трафика. Самый распространенная технология построения локальных сетей лежит РЅР° протоколе Ethernet.Снифинг становится возможным РёР·-Р·Р° отсутсвующей маршрутизации РЅР° протокольном СѓСЂРѕРІРЅРµ,те пакеты доставляются РґРѕ всех компьютеров сети.Р’ заголовке ethernet-пакета содежится mac-address карточки,которая должна обработать пакет,РЅРѕ это РІРѕРІСЃРµ РЅРµ значит что РґСЂСѓРіРѕР№ компьютер РЅРµ сможет обработать эти данные.РќР° РѕСЃРЅРѕРІРµ протоколе Ethernet РјС‹ Рё будем обнаружать сниферы РІ сети. 0x01 . Активные Рё пассивные сниферы Как известно,сети бывают РґРІСѓС… РІРёРґРѕРІ - РЅР° свитчах Рё хабах.Последнии РІРёРґС‹ сетей СѓР¶Рµ РЅРµ так распространены,однако являются самым лакомым РєСѓСЃРєРѕРј для "сетевых рыбаков".Самым простым СЃРїРѕСЃРѕР±РѕРј отлова данных РІ сетях такого типа - перевод сетевой карточки РІ "promisc mode".После этого карта начинает принимать абсолютно РІСЃРµ пакеты РІ локальном сегменте без разбора адресата ( promisc mode РјРѕР¶РЅРѕ перевести как неразборчивый режим,интересно еще Рё второе толкование этого слова - промискуальный,что подразумевает человека,занимающегося проституцией ) .РќРѕ РІ настоящий момент таких сетей СѓР¶Рµ РІСЃРµ меньше - сетевые администраторы ставят свитчи.Р’ этом случае пакеты Р±СѓРґСѓС‚ доставлять только РґРѕ адресатов. Первый СЃРїРѕСЃРѕР± снифа является пассивным,те РЅРµ предпринимает никаких усилий для ловли пакетов,РІСЃРµ РїСЂРѕРёСЃС…РѕРґРёС‚ РЅР° СѓСЂРѕРІРЅРµ протокола.Второй метод снифа называется Man-In-The-Middle ( человек посередине ) .РћРЅ является активным,тк для ловли пакетов надо нужным образом "засорить" ARP-таблицы.РџСЂРё этом РїСЂРѕРёСЃС…РѕРґРёС‚ спуфинг arp-таблиц Рё пакеты РїСЂРѕС…РѕРґСЏС‚ через третье лицо ( буквально forwarding ) . 0x02 . Man-In-The-Middle sanitize_url('<img src', 'https://img213.imageshack.us/img213/6681/untitled2xz4.jpg') alt="" border="0"> Атака,как СЏ СѓР¶Рµ сказал, возникает РїСЂРё отравлене ARP-таблиц таким образом,чтобы заставить трафик идти через посредника,который может делать РІСЃРµ что СѓРіРѕРґРЅРѕ СЃ пакетами,РІ том числе Рё изменять РёС….Допустим,компьютер #1 отправляет широковещательный (broadcast) ARP-запрос РЅР° РїРѕРёСЃРє РІ сети компьютера #2 те его ip-адреса.Р’ этот момент хакер,сидящий Р·Р° машиной #3 выдает себя Р·Р° нужный компьютер,его IP записывается РІ кеше Рё пакеты РґРѕ номера 2 Р±СѓРґСѓС‚ идти через него..Углу***ться РІ суть РЅРµ надо,наша задача обнаружить снифер,Р° РЅРµ самим провести эту атаку ( если неймется можешь посмотреть релиз sn0w - https://forum.antichat.ru/thread21282.html ) Обнаружить такой снифер представляется маловозможным Рё самый действенный СЃРїРѕСЃРѕР± - использование более защищенных протоколов, либо утилит РІСЂРѕРґРµ IPsec,которая поддерживает проверку целостности данных,используя MD5,SHA-1 Рё AES.Если передаваемая информация имеет РЅРµ такую секретность,вполне РјРѕР¶РЅРѕ обойтись утилитой ARPwatch.Работает РїРѕ схеме С…СѓРєРёРЅРіР° всех ARP запросом Рё разборов первых 6 байт ( mac адреса ).Если такой мак СѓР¶Рµ был РІ системе,программа.Пакеты логируются Рё РІ дальнейшем отправляются администратору сети.Р’ договорах,заключаемых между абонентом Рё провайдером часто присутствует запись Рѕ снифинге сетей Рё его последствиях,рекомендую ознакомиться тем,кто захотел украсть чужую информацию. Существует Рё РґСЂСѓРіРѕР№ метод обнаружение нюхача - после получения пакета РЅР° обновление мак адреса отправляется широковещательный пакет СЃ целью подтвердить,что пакет РЅРµ является ложным.Ртот СЃРїРѕСЃРѕР± является универсальным,РЅРѕ утилит,реализующих это еще нет. 0x03 . Ударь РїРѕ пассивам Обнаружение пассивного снифера является более легким Рё существует несколько вариантов вылова нюхача Самым распространенным является метод РїРёРЅРіР°.Вспоминаем - РІ режиме promisc сетевуха принимает абсолютно РІСЃРµ запросы,даже некорректные.Попробуем пингануть подозреваемую машину Рё РІ случае ответа РјС‹ получим ECHO_REPLY,что обозначает присутствие снифера.Р’ РёРЅРѕРј случае после сравнение мака РїРѕ ARP-таблицам система РЅРµ найдет СЃРІСЏР·РєСѓ ip-mac Рё РЅРµ ответит РЅР° этот запрос.Недостаток метода РІ том,что РІСЃРµ чаще Рё чаще встречаются сниферы СЃ возможность фильтарции Mac адресов.Как вариант послать широковещательный пакет ( 255.255.255.255 ).Машины РЅРµ должны РЅР° него ответить,ответит только снифер. Еще РѕРґРёРЅ метод заключается РІ логировании DNS запросов.Снифер после получения пакеты пытается перегнать РёР· ip РІ hostname,используя для этого DNS запросы.Отследить снифер РјРѕР¶РЅРѕ включим перехват пакетов РЅР° своем компьютере Рё РїРѕРёСЃРє DNS запросов.Если ты увидишь запросы РЅР° резолв РЅРµ СЃРѕ своего ip,значит РІ сети есть снифер.РњРёРЅСѓСЃ этого СЃРїРѕСЃРѕР±Р° - резолв ip2host РјРѕР¶РЅРѕ отключить РІРѕ всех популярных сниферах. 0x04 . Снифер РЅР° локальном компьютере Часто СЃ целью получения нужных данных снифера ставятся после взлома целевого оборудования.Обнаружение таких сниферов становится возможным после выполнение команды ifconfig СЃ флагом a.РћРЅР° выдаст тебе информацию Рѕ сетевой карте СЃРѕ всеми выставленными флагами через запятую.Обнаружить снифер РјРѕР¶РЅРѕ РїРѕ флагу PROMISC. Пример выполненной команды ifconfig -a без присутствующего снифера eth0 Link encap:Ethernet HWaddr 00:0D:61:04:98:3D inet addr:70.86.67.170 Bcast:70.86.67.175 Mask:255.255.255.248 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4241006186 errors:0 dropped:0 overruns:0 frame:0 TX packets:3176290000 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:2580012615 (2460.4 Mb) TX bytes:4191294474 (3997.1 Mb) Interrupt:11 Base address:0xf000 Однако утилиту ifconfig РјРѕР¶РЅРѕ подменить Рё лучше воспользоваться сторонними средствами. 0x05 . Защищаем СЃРІРѕР№ трафик Если информация представляет немалую ценность стоит взглянуть РЅР° РґСЂСѓРіРёРµ методы антиснифа,такие как шифрация трафика. Лучше всего СЃ этим всправляется VPN ( Virtual Private Network ) Рё позволяет скрыть РЅРµ только трафик,РЅРѕ Рё ip.Стоит РѕРЅ относительно недорого Рё РїРѕ карману любой компании. Если VPN РЅРµ устраивает РїРѕ каким - либо причинам, РјРѕР¶РЅРѕ использовать более защищенные протоколы - РІСЃРµ знаменитые протоколы РІСЂРѕРґРµ SMTP\POP\IRC имеют СЃРІРѕРё более защищенные аналоги.Для IM-клиентов РјРѕР¶РЅРѕ использовать плагины шифрации сообщений или юзать более секуьюрые аналоги РІСЂРѕРґРµ SST Messenger.Просто,Р° главное бесплатно. РЎРЅРёС„ РІ таких условиях возможен только если РЅР° локальной машине стоит нюхач. 0x06 . РћР±Р·РѕСЂ боевого софта L0pht's antisniff [ https://packetstormsecurity.nl/sniffers/antisniff/ ] Самая распространенная Рё функциональная програма,работающая как РёР· командной строки,так Рё имеющая GUI версию.РЎ легкостью обнаруживает пассивные сниферы всеми возможными методами ( DNS test, ARP test, Ping Test, ICMP Time Delta Test, Echo Test, PingDrop test ). sanitize_url('<img src', 'https://img206.imageshack.us/img206/3175/antisniffhr8.png') alt="" border="0"> arp_antidote [ https://www.securitylab.ru/_tools/antidote.diff.gz ] Представляет РёР· себя патч для ARP протокола РІ NIX-системах,который мониторит arp-запросы Рё отбрасывает фейковые.Работает только РЅР° ядрах 2.4 Neped [ https://kalug.lug.net/coding/nettools...-libnet.tar.gz ] Unix - утилита,поддерживает множество РІРёРґРѕРІ обнаружений РІСЂРѕРґРµ arp method Рё ping method sentinel [ https://www.packetfactory.net/Projects/sentinel/ ] Р�спользование програмы крайне просто sentinel [options] [methods] [-c <x.x.x>] [-f <filename>] [host] methods: -a arp test -d dns test -e icmp etherping test options: -c <x.x.x> class c to scan -f <file> file of ip addresses -i <device> network interface -n <number> number of packets to send Example usage: # ./sentinel -aed -c 10.2.2 источник статьи: https://mini-rinok.ru/showthread.php?t=67 -------------------- [Da tua dum tua sunt, post mortem tunc tua non sunt] - отдай твое, РїРѕРєР° РѕРЅРѕ твое, после смерти РѕРЅРѕ РЅРµ твое (лат.) |
elf |
Дата 19.04.2007 - 13:35
|
Offline![]() .:Вечный:. ![]() ![]() ![]() ![]() Профиль Группа: -experts- Сообщений: 733 Пользователь №: 37 Регистрация: 25.02.2005 Рейтинг: (60%) ![]() ![]() |
ставиш себе управляемый свитч с привязками мак+порт+ип (дорогой вариант - цисковская каталиста) и как минимум значительнейше усложниш снифакам жизнь... естевственна при правильной настройке...
![]() ну а дальше играешся с шифрацией... -------------------- наша работа во тьме... (с) Лукьяненко
"Слово - не воробей. Вылетит неосторожное... вернется трехэтажное..." @ народная примета |
elf |
Дата 20.04.2007 - 01:59
|
||
Offline![]() .:Вечный:. ![]() ![]() ![]() ![]() Профиль Группа: -experts- Сообщений: 733 Пользователь №: 37 Регистрация: 25.02.2005 Рейтинг: (60%) ![]() ![]() |
посоветовали AT-8524M неплохая игрушка... ![]() -------------------- наша работа во тьме... (с) Лукьяненко
"Слово - не воробей. Вылетит неосторожное... вернется трехэтажное..." @ народная примета |
||
mulder |
Дата 20.04.2007 - 09:56
|
Offline![]() .:in root we trust:. ![]() ![]() ![]() ![]() ![]() Профиль Группа: -experts- Сообщений: 1174 Пользователь №: 1151 Регистрация: 9.08.2005 Рейтинг: (70%) ![]() ![]() |
elf
Согласен и главное в ней все реализовано !! |
![]() |
![]() ![]() ![]() |
![]() Powered by Invision Power Board(U) v1.3 Final © 2003 IPS, Inc. Р СѓСЃСЃРєРёР№ Модифицированный IPB v1.3 Final © 2003 BesTFileZ.Net & IBR Team |