Alba Posted November 13, 2005 Posted November 13, 2005 что нового придумал российский народ в этой сфере? :) на данный момент наблюдаю огромное количество матюков на почту от arpwatch, что все машины меняют свои маки на произвольные. p.s. только не тыркайте в меня управляемыми свитчами ;) Вставить ник Quote
Reduntel Posted November 13, 2005 Posted November 13, 2005 Свитчами нет, а от ppptp и pppoe да Вставить ник Quote
Yuz Posted November 13, 2005 Posted November 13, 2005 Alba, А ты не думал о смене авторизации в сети .. скажем переход от привязки ip к тому же ПППтП или ПППоЕ ? И такой вопрос на сколько еще времени жизнеспособна неуправляемая сеть ? То какими административными мерами все решаеться то ладно .. но без управляемости сети не будет ее гибкости и информативности, разве не так ? и потом же возможно ПППтП или ПППоЕ с шифрованием трафика. Вставить ник Quote
xenomorph Posted November 13, 2005 Posted November 13, 2005 Yuz, ПППоЕ или ПППтП это соединения точка точка, не думаю что если держать в центре сети такеой сервер получится организовать полноценный QoS на агригейшен левел. А если ставить такю железку на агригейшен левел, то дороговато получается. Я бы рекоменодовал: 1) иcпользовать статичную привязку по мак адресам, а все свободные ip привязать к 00:00:00:00:00:00. Это в какой то степени уменьшит проблему. 2) Поставить управляемые свичи :) и пускать в сеть только проверенные маки, а всё остальное убивать на свичах. 3) Аутентификация на базе 802.1x mac based (в случае port based может появится проблема с врезанием свичей) 4) Изолировать клиентов друг от друга (это умеют делать некоторые неуправляемые свичи. В этом случае кулхацкер не сможет посмотреть мак атакоеуемого компьютера у себя в таблице arp, даже если неходится с ним в обной сети) Примерно так, 2 и 3 к сожалению для управляемых свичей. Вставить ник Quote
Alba Posted November 13, 2005 Author Posted November 13, 2005 pptp или pppoe не подходят из-за размеров сети, большого количества условий принимаемого абонентам трафика и, ну не нравятся они мне :) насчёт управляемых свитчей всё ясно, просто хочется оставить этот вариант как самый крайний. где-то читал/слышал, что можно отловить злоумышленника. типа там все маки меняются на случайные, кроме мака снифферящей машины. остальное - дело техники - написать анализатор логов arpwatch-а не проблема. Вставить ник Quote
xenomorph Posted November 13, 2005 Posted November 13, 2005 http://www.opennet.ru/base/sec/arp_fixation.txt.html Вот, советую почитать, это + изоляция клиентов друг от друга. Это про привязку. А вообще, отловить сниффер достаточно сложно. На опеннете я видел несколько статей, но никакой конкретной утилиты нет, раз что самом писать или ставить сенсер безовастности, типа snort (но сомневаюсь что это помежет, как мне помнится он тока от атак защищаяе, а вот снифера не обнаружит, хотя тут я могу ои ошибатся) Вставить ник Quote
Solo Posted November 14, 2005 Posted November 14, 2005 Снифера видит снифер :-) Например ettercap с успехом видит всех себе-подобных. И может легко выдать аллерт в случае обнаружения. Если же в условиях массового arp-спуфинга, то в самом начале выдает мак того, кто начал атаку. Вставить ник Quote
xenomorph Posted November 14, 2005 Posted November 14, 2005 Solo, хм, вот этого не знал Вставить ник Quote
Alba Posted November 14, 2005 Author Posted November 14, 2005 Снифера видит снифер :-)Например ettercap с успехом видит всех себе-подобных. И может легко выдать аллерт в случае обнаружения. Если же в условиях массового arp-спуфинга, то в самом начале выдает мак того, кто начал атаку. а можно по-подробнее? чё-то я сходу ему ладу дать не могу :) он хоть может демоном висеть? Вставить ник Quote
Diesel Posted November 15, 2005 Posted November 15, 2005 p.s. только не тыркайте в меня управляемыми свитчами ;) почему?! :-) самое логичное решение проблемы имхо... Вставить ник Quote
Solo Posted November 15, 2005 Posted November 15, 2005 Вобщем у нас получался максимальный и незаметный (для пользователей) эффект только в случае запуска ettercap`а на шлюзе. Шлюз - *nix. Сама программа работает не совсем стабильно (в режиме демона), надолго без контроля не оставляли :-( NAT переставал работать, если за ним не наблюдать :-( Поэтому вешали как приложение, но достравивали чекалки и пару скриптов, которые в случае обнаружения атаки лезут на свич (управляемый), на всякий случай проверяют там ли тот пользователь и блокируют его порт к такой-то матери. Вобщем, в сети с управляемыми свичами, но без встроенных защит от arp-спуффинга время жизни свичей - около минуты после начала атаки (если сегменты здоровые). Наша вязанка умела в течении 20-30 секунд найти и обезвредить. Вставить ник Quote
Alba Posted November 15, 2005 Author Posted November 15, 2005 p.s. только не тыркайте в меня управляемыми свитчами ;) почему?! :-) самое логичное решение проблемы имхо... естественно, но, у нас около 200-250 свитчей, и, сами понимаете, махнуть их на управляемые - деньги немалые... естественно, к этому будем стремиться, но, проблема существует уже сейчас... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.