Pokaż wyniki 1 do 9 z 9

Temat: Obrona przed arpspoofingiem.

  1. #1
    Zarejestrowany
    Oct 2008
    Postów
    4

    Domyślnie Obrona przed arpspoofingiem.

    Witam,

    Sprawa wyglada nastepujaco:
    Jestem w sieci akademickiej (~500komputerow), testowalem arp spoofing (podszywanie się pod bramę) i musze powiedziec ze wyniki mnie zaskoczyly...

    Postanowilem się przed tym zabezpieczyć, dodałem wpis statyczny do tablicy arp (arp -s ip-bramy mac-bramy), jednak sniffer odpalony na kompie obok, wszystko bez problemu przechwytuje :|

    Być może jest to wina tego że oba komputery są na jednym switchu, ale do końca nie jestem pewien...

    Macie jakies rady jak sie przed tym ustrzec?

    EDIT. Dokładnie jest to arp poisoning, wiec wpis statyczny nie bardzo cos da.
    Ostatnio edytowane przez master614 : 10-05-2008 - 18:10

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Mylisz pojecia - ARP spoofing ok, mozna przekierowac ruch i zrobic MitM... ale to nie ma zupelnie nic wspolnego ze sniffowaniem. Jesli masz ludkow w jednym segmencie sieci to najczesciej beda mogli sie wzajemnie podsluchiwac i zadnym ustawianiem statycznie adresow MAC nic nie zrobisz.

    Ustawienie recznie MAC'ow klientow (na serwerze) i serwera/bramy (na kliencie) zapobiega tylko przekierowaniu pakietow. Dalej wiele bedzie zalezne od tego jak masz zbudowana siec. Jesli masz HUB'a to nie zrobisz nic, kazdy slyszy wszystko. Jak masz switch'e to nieco lepiej bo na pewno mniej kolizji ale nadal nie zawsze masz filtrowanie ruchu. Jesli to siec akademicka to polecam switche zarzadzalne np firmy Cisco - sa drogie, to fakt... ale nie bez powodu.

    Lukasz Boromisrki ladnie pokazywal nie raz jak ustawic port-security aby ludki jeden drugiemu MACa nie podbierali, jak ograniczyc ilosc kompow do 1 na port switcha oraz jak zezwolic na wiecej... ale tylko jesli adres przydzielono z Twojego serwera DHCP. Wtedy np gdy ktos zacznie wysylac pakiety z falszowanym adresem MAC to po pierwsze switch nie zapisze tego w swojej pamieci CAM (tam gdzie zpaisuje adresy MAC i to na ktorym porcie wisi dany MAC), porzuci pakiet albo wylaczy calkiem port odcinajac sprawce... i jako admin tylko czekasz az typo przyjdzie i przeprosi (tj czesciej bedzie blagal - wiem z wlasnego doswiadczenia, tez bylem adminem sieci akademickiej) ze mu net padl i wtedy wiesz dlaczego

    Jesli nie masz szans na takie switche zarzadzalne to bedziesz mial problem... nie mowie ze to musi byc Cisco ale jakby nie bylo to pewien standard jest. Na pewno sa tez tansze firmy ktore daja te same funkcje.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Avatar elceef
    elceef jest offline Proces bezczynności
    Zarejestrowany
    Apr 2008
    Postów
    200

    Domyślnie

    Na pewno sa tez tansze firmy ktore daja te same funkcje.
    3com/Huawei - dwie firmy, jedna fabryka. Przełączniki tych firm z powodzeniem zastępują droższe rozwiązania Cisco. Mają także niemal identyczny CLI.

    Port-security to skuteczne rozwiązanie, ale bardzo uciążliwe (ręczne dopisywanie adresów). Najlepszym jednocześnie najwygodniejszym mechanizmem jest połączenie arp inspection z dhcp snooping. Natomiast port-security wykorzystać do ograniczania ilości adresów na poszczególnych portach, aby nie dopuścić do zapełnienia tablicy CAM.

  4. #4
    Zarejestrowany
    Oct 2008
    Postów
    4

    Domyślnie

    Dzięki za wyjaśnienie tematu, tylko małe sprostowanie, jestem użytkownikiem tej sieci a nie adminem. Jako takie rozwiązanie napisałeś (przed man in the middle) - Ustawienie recznie MAC'ow klientow (na serwerze) i serwera/bramy (na kliencie) zapobiega tylko przekierowaniu pakietow. - jednak będzie to wiązało się z przebudową sieci. Przypisanie Mac'a poszczególnemu userowi, miesiące roboty (mieszkam w akademiku, a kolejnych pięć, jest za rogiem, tysiace hostów).

    Chyba jedynym sposobem dla mnie, bedzie korzystanie z rdp-serwera wydziałowego, i z niego logować się na ważniejsze stronki.

    W każdym pokoju jest najtanszy switch, nawet po zamianie na router to mi nic nie daje (warstwa 3).

    Dzięki jeszcze raz za odpowiedzi.

  5. #5
    Zarejestrowany
    Jun 2008
    Postów
    47

    Domyślnie

    Jak chcesz logować się na ważniejsze stronki to używaj szyfrowania ssl (https). I nie używaj tych samych haseł na ważniejszych i mniej ważnych stronach, gdzie nie używasz ssla.

    Pozdrawiam

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    RDP wcale bezpieczne nie jest... SSL lub SSH - inaczej nic nie zrobisz... ewentualnie wykup sobie gdzies tunel VPN i caly ruch puszczaj via VPN. Zalatwi to sprawe podsluchu polaczen przez Twoich kolegow.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Oct 2008
    Postów
    4

    Domyślnie

    Man in the Middle

    A hacker can exploit ARP Cache Poisoning to intercept network traffic between two devices in your network. For instance, let's say the hacker wants to see all the traffic between your computer, 192.168.0.12, and your Internet router, 192.168.0.1. The hacker begins by sending a malicious ARP "reply" (for which there was no previous request) to your router, associating his computer's MAC address with 192.168.0.12 (see Diagram 3).

    Now your router thinks the hacker's computer is your computer.

    Next, the hacker sends a malicious ARP reply to your computer, associating his MAC Address with 192.168.0.1 (see Diagram 4).

    Now your machine thinks the hacker's computer is your router.

    Finally, the hacker turns on an operating system feature called IP forwarding. This feature enables the hacker's machine to forward any network traffic it receives from your computer to the router (shown in Diagram 5).

    Now, whenever you try to go to the Internet, your computer sends the network traffic to the hacker's machine, which it then forwards to the real router. Since the hacker is still forwarding your traffic to the Internet router, you remain unaware that he is intercepting all your network traffic and perhaps also sniffing your clear text passwords or hijacking your secured Internet sessions.
    Dlaczego statyczny wpis w tablicy arp z ip i mac'iem bramy nie obroni mnie przed hackerem? W końcu on podmienia mac swój za mac bramy...
    Jedynym możliwym rozwiązaniem jest to że switch zmuszony jest (po przepełnieniu) do wysyłania informacji na Brodecast (hub).
    Dobrze główkuję?

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Tak - dobrze myslisz. Sprawa rozbija sie o 2 punkty gdzie atakujacy moze dokonac manipulacji.

    1. U klienta - gdy klient pyta o MAC bramy, szybciej odpowie mu (prawdopodobnie) komputer w tym samym segmencie co on, niz sama brama, ktora dosc czesto jest pare urzadzen dalej. To zwykly race-condition - pierwsza odpowiedz zostanie przyjeta przez klienta i zapamietana. To tez zalezy od konfiguracji klienta i systemu operacyjnego. Niektore systemy np nie uznaja pakietow graturious-arp - np solaris tak robi. Co wejdzie do tablicy adresow MAC juz tam zostaje i koniec - przynajmniej do czasu resetu tablicy (recznego), wywalenia wpisu przez admina lub wygasniecia jesli wpis byl dynamiczny. Z zewnatrz nie zrobisz nic.

    2. Na switchu - zabawy z tablica CAM Co sie stanie zalezy od switcha i jego konfiguracji - niektore zaczna rozglaszac wszystko na wszystkich portach (stana sie glupimi switchami), inne sie zresetuja i zaczna od nowa... jeszcze inne ubija port bo stiwerdza ze cos jest nie tak i po sprawie.

    Wpisanie statycznych arp na kompach zabezpiecza jedynie przed #1.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    Oct 2008
    Postów
    4

    Domyślnie

    Dzięki za podzielenie się wiedzą. Pozdrawiam.

Podobne wątki

  1. obrona przed atakami DDoS
    By Maro400 in forum Domeny/Serwery
    Odpowiedzi: 7
    Autor: 03-09-2008, 20:51
  2. DNS Hacking a obrona
    By todziu in forum Security
    Odpowiedzi: 4
    Autor: 02-26-2008, 08:49
  3. Ukryj status przed...
    By Fokus in forum Komunikatory
    Odpowiedzi: 3
    Autor: 09-23-2007, 17:05
  4. Czyszczenie przed trojanami?
    By cristobal in forum Wirusy/Konie trojańskie
    Odpowiedzi: 6
    Autor: 08-20-2007, 15:29
  5. obrona przed filtrowaniem pakietów
    By michalpa in forum Newbie - dla początkujących!
    Odpowiedzi: 1
    Autor: 02-05-2007, 17:40

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj