Jump to content

Безопасность в локальной сети. ARP

vpsa
 Share

Нужна ли утилита, страхующая ARP?  

41 members have voted

  1. 1.

    • Да, Нужна
      29
    • Нет, Я и так всё закрыл
      5
    • Нет, у меня уже всё есть
      7

Recommended Posts

vpsa

vpsa

Posted
Posted

Добрый день, коллеги.

Подскажите пожалуйста, кто какими средствами мониторинга в локалках пользуется, и как вычисляете атаки. В частности интересно, есть ли удачные механизмы защиты от ARP-атак всей сети.

 

Я планирую написать утилиту, позволяющую автоматически исправлять ARPзаписи в сети, и блокировать нападющего. плюс к тому, встроенный SMTP для отсылки ахтунгов.

Собственно интересно, насколько это всё актуально, и именно в рамках домашней/smalloffice сети, т.к. разумеется, до уровня коммерческих IDS как до луны пешком:)

 

Также буду благодарен, если кто обратит внимание на ещё какие-нибудь

серьёзные уязвимости, которые можно относительно легко засечь простым сниффером.

Roman Ivanov

Roman Ivanov

Posted
Posted
Добрый день, коллеги.

Подскажите пожалуйста, кто какими средствами мониторинга в локалках пользуется, и как вычисляете атаки. В частности интересно, есть ли удачные механизмы защиты от ARP-атак всей сети.

 

Я планирую написать утилиту, позволяющую автоматически исправлять ARPзаписи в сети, и блокировать нападющего. плюс к тому, встроенный SMTP для отсылки ахтунгов.

Собственно интересно, насколько это всё актуально, и именно в рамках домашней/smalloffice сети, т.к. разумеется, до уровня коммерческих IDS как до луны пешком:)

 

Также буду благодарен, если кто обратит внимание на ещё какие-нибудь

серьёзные уязвимости, которые можно относительно легко засечь простым сниффером.

 

Деление на мелкие сегменты, ARPwatch, Управлямые коммутаторы (фильтр на IP). Как результат - возможен DOS в сегменте. Найти и дать дюлей - дело 5 минут.

vpsa

vpsa

Posted
  • Author
Posted

Roman Ivanov ARPwatch только находит MITM, но не противодействует. А за то время, что админ успеет прочитать почту, кто-то может потерять конфед. информацию.

управляемые коммутаторы -- фишка хорошая, но они дороже стоят, и соответственно

их не всегда покупают.

На счёт найти -- не согласен, особенно, если ARP-spoofing. тут, ИМХО, без хорошего железа не вычислить, ну либо социнжинирингом))

Roman Ivanov

Roman Ivanov

Posted
Posted
..кто-то может потерять конфед. информацию...

 

На счёт найти -- не согласен, особенно, если ARP-spoofing. тут, ИМХО, без хорошего железа не вычислить, ну либо социнжинирингом))

 

Я сразу сказал - фильтр по IP на портах.

Т.е. При ARP Spoof он сделает ARP DOS.

repa

repa

Posted
Posted

Идея хорошая, но только для целевой группы имеющей сеть на неуправляемом оборудовании.

Если выразить это в деньгах, то затраты не будут компенсированы продажами такой утилиты.

 

Хороший плюс для Вас как програмеру, будет иметь в багаже инструмент имеющий некоторую группу пользователей. Веть опыт вещь очень ценная.

Shiva

Shiva

Posted
Posted

vpsa,

Я планирую написать утилиту, позволяющую автоматически исправлять ARPзаписи в сети, и блокировать нападющего.  

Это как, можно поподробней?

vpsa

vpsa

Posted
  • Author
Posted

это не коммерческий проект:) а цель именно бюджетные локальные сети, т.к. там раздолье полное. в принципе, если смогу попробую подумать на тему встроенного определителя снифферов, но это врядли, там вроде уже виток был, и определитель, и антиопределитель))

 

реализовать можно, применяя ту-же методику, что и атакующий. единственно конечно, от ARPфлуда защиты нет, и даже не представляю как реализовать. Кстати, вчера изучал статьи LAN на эту тему, IDS от неименитых производителей MITM атаку

вообще не детектит увы, и даже какой-то от крупного игрока игнорирует. Ну в принципе IDS специализируются на всех атаках, а действительно мощные решения стоят дюже дорого и имеют смысл только в защищённых сетях...

  • 1 month later...
vpsa

vpsa

Posted
  • Author
Posted

up. практически готово.

функционал: ведение таблицы арп-ип, корректировка атакуемых в соответсвии с таблицей(опционально).

автодобавление новых хостов в таблицу(опционально, можно включить для "автообучения" и отключить)

предупреждение о "левых" арп-запросах/ответах(несоответствие полей)

арп-пинг проверки на рабатающие снифферы по списку защищаемых хостов(теоретически, все хосты должны быть в этом списке. ) о новых, необъявленных хостах возможно предупреждать.

почтовый сервер, для автоуведомлений о нарушениях.

добавление записей в эвент-вьювер(опционально).

Какие либо другие атаки не исследуются, только арп. так что нет проблем с легальностю "блокировки" атакующего.

однако, в дальнейшем, если кого заинтересует, возможно расширение.

 

Зы. и ещё, убедительная просьба всех проголосовать. мне ваша статистика для диплома пригодиться. и для собственной совести:)

vpsa

vpsa

Posted
  • Author
Posted

Как только закончу альфа-тестирование у себя на работе(в случае успеха;)), дам заинтересованным тестовую версию. ориентировочно -- недельки через 2.

Atomic

Atomic

Posted
Posted

vpsa, если сорцы будут закрыты - это мертвый проект. Нормальный админ не поставит на свой сервер чью-то поделку в бинарном виде. Хотя ненормальных тоже хватает.

Я собственно сам разрабатываю монитор сети на базе арпинга со складыванием инфы в базу, просто было интересно узнать, что кто-то решает аналогичную задачу. Как всегда, человечество продолжает упорно изобретать велосипеды :-)

  • 3 weeks later...
  • 6 months later...
Барий

Барий

Posted
Posted
Господа, господа! Прекращаем изобретать велосипеды, все уже изобретено до вас.

 

Гляньте на проектhttp://www.nongnu.org/ip-sentinel/

К этому ещё стоит добавить для FreeBSD, все в портах:

 

ipguard (тот же ip-sentinel)

arping

arpscan

arpwatch

dsniff (входит arpspoof)

etc...

 

Впринципе все уже есть, нужно только грамотно пользоваться.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.