1.

[vpsa]

Добрый день, коллеги.

Подскажите пожалуйста, кто какими средствами мониторинга в локалках пользуется, и как вычисляете атаки. В частности интересно, есть ли удачные механизмы защиты от ARP-атак всей сети.

 

Я планирую написать утилиту, позволяющую автоматически исправлять ARPзаписи в сети, и блокировать нападющего. плюс к тому, встроенный SMTP для отсылки ахтунгов.

Собственно интересно, насколько это всё актуально, и именно в рамках домашней/smalloffice сети, т.к. разумеется, до уровня коммерческих IDS как до луны пешком:)

 

Также буду благодарен, если кто обратит внимание на ещё какие-нибудь

серьёзные уязвимости, которые можно относительно легко засечь простым сниффером.

[Roman Ivanov]

Добрый день, коллеги.

Подскажите пожалуйста, кто какими средствами мониторинга в локалках пользуется, и как вычисляете атаки. В частности интересно, есть ли удачные механизмы защиты от ARP-атак всей сети.

 

Я планирую написать утилиту, позволяющую автоматически исправлять ARPзаписи в сети, и блокировать нападющего. плюс к тому, встроенный SMTP для отсылки ахтунгов.

Собственно интересно, насколько это всё актуально, и именно в рамках домашней/smalloffice сети, т.к. разумеется, до уровня коммерческих IDS как до луны пешком:)

 

Также буду благодарен, если кто обратит внимание на ещё какие-нибудь

серьёзные уязвимости, которые можно относительно легко засечь простым сниффером.

 

Деление на мелкие сегменты, ARPwatch, Управлямые коммутаторы (фильтр на IP). Как результат - возможен DOS в сегменте. Найти и дать дюлей - дело 5 минут.

[vpsa]

Roman Ivanov ARPwatch только находит MITM, но не противодействует. А за то время, что админ успеет прочитать почту, кто-то может потерять конфед. информацию.

управляемые коммутаторы -- фишка хорошая, но они дороже стоят, и соответственно

их не всегда покупают.

На счёт найти -- не согласен, особенно, если ARP-spoofing. тут, ИМХО, без хорошего железа не вычислить, ну либо социнжинирингом))

[Roman Ivanov]

..кто-то может потерять конфед. информацию...

 

На счёт найти -- не согласен, особенно, если ARP-spoofing. тут, ИМХО, без хорошего железа не вычислить, ну либо социнжинирингом))

 

Я сразу сказал - фильтр по IP на портах.

Т.е. При ARP Spoof он сделает ARP DOS.

[repa]

Идея хорошая, но только для целевой группы имеющей сеть на неуправляемом оборудовании.

Если выразить это в деньгах, то затраты не будут компенсированы продажами такой утилиты.

 

Хороший плюс для Вас как програмеру, будет иметь в багаже инструмент имеющий некоторую группу пользователей. Веть опыт вещь очень ценная.

[Shiva]

vpsa,

Я планирую написать утилиту, позволяющую автоматически исправлять ARPзаписи в сети, и блокировать нападющего.  

Это как, можно поподробней?

[vpsa]

это не коммерческий проект:) а цель именно бюджетные локальные сети, т.к. там раздолье полное. в принципе, если смогу попробую подумать на тему встроенного определителя снифферов, но это врядли, там вроде уже виток был, и определитель, и антиопределитель))

 

реализовать можно, применяя ту-же методику, что и атакующий. единственно конечно, от ARPфлуда защиты нет, и даже не представляю как реализовать. Кстати, вчера изучал статьи LAN на эту тему, IDS от неименитых производителей MITM атаку

вообще не детектит увы, и даже какой-то от крупного игрока игнорирует. Ну в принципе IDS специализируются на всех атаках, а действительно мощные решения стоят дюже дорого и имеют смысл только в защищённых сетях...

[vpsa]

up. практически готово.

функционал: ведение таблицы арп-ип, корректировка атакуемых в соответсвии с таблицей(опционально).

автодобавление новых хостов в таблицу(опционально, можно включить для "автообучения" и отключить)

предупреждение о "левых" арп-запросах/ответах(несоответствие полей)

арп-пинг проверки на рабатающие снифферы по списку защищаемых хостов(теоретически, все хосты должны быть в этом списке. ) о новых, необъявленных хостах возможно предупреждать.

почтовый сервер, для автоуведомлений о нарушениях.

добавление записей в эвент-вьювер(опционально).

Какие либо другие атаки не исследуются, только арп. так что нет проблем с легальностю "блокировки" атакующего.

однако, в дальнейшем, если кого заинтересует, возможно расширение.

 

Зы. и ещё, убедительная просьба всех проголосовать. мне ваша статистика для диплома пригодиться. и для собственной совести:)

[Гость]

А как взглянуть на это чудо?

[vpsa]

Как только закончу альфа-тестирование у себя на работе(в случае успеха;)), дам заинтересованным тестовую версию. ориентировочно -- недельки через 2.

[Atomic]

С сорцами?

[vpsa]

Atomic, вообще сами сорцы будут закрытыми, но вопрос решаем.

Всегда рад объективной критике))

[Atomic]

vpsa, если сорцы будут закрыты - это мертвый проект. Нормальный админ не поставит на свой сервер чью-то поделку в бинарном виде. Хотя ненормальных тоже хватает.

Я собственно сам разрабатываю монитор сети на базе арпинга со складыванием инфы в базу, просто было интересно узнать, что кто-то решает аналогичную задачу. Как всегда, человечество продолжает упорно изобретать велосипеды :-)

[Гость]

Две недельки уже прошли, как насчет прогрмаку потестить?

[Гость]

Выложите эту прогу,нашу сеть просто достали ARP атаками....:(

[Гость]

Господа, господа! Прекращаем изобретать велосипеды, все уже изобретено до вас.

 

Гляньте на проект http://www.nongnu.org/ip-sentinel/

[Барий]

Господа, господа! Прекращаем изобретать велосипеды, все уже изобретено до вас.

 

Гляньте на проектhttp://www.nongnu.org/ip-sentinel/

К этому ещё стоит добавить для FreeBSD, все в портах:

 

ipguard (тот же ip-sentinel)

arping

arpscan

arpwatch

dsniff (входит arpspoof)

etc...

 

Впринципе все уже есть, нужно только грамотно пользоваться.