Перейти к содержимому
Калькуляторы

отловить сниффер

Ответить

Alba   

Alba
Опубликовано · Жалоба

что нового придумал российский народ в этой сфере? :)

на данный момент наблюдаю огромное количество матюков на почту от arpwatch, что все машины меняют свои маки на произвольные.

 

p.s. только не тыркайте в меня управляемыми свитчами ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Yuz   

Yuz
Опубликовано · Жалоба

Alba, А ты не думал о смене авторизации в сети .. скажем переход от привязки ip к тому же ПППтП или ПППоЕ ?

И такой вопрос на сколько еще времени жизнеспособна неуправляемая сеть ?

То какими административными мерами все решаеться то ладно .. но без управляемости сети не будет ее гибкости и информативности, разве не так ?

и потом же возможно ПППтП или ПППоЕ с шифрованием трафика.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

xenomorph   

xenomorph
Опубликовано · Жалоба

Yuz,

ПППоЕ или ПППтП это соединения точка точка, не думаю что если держать в центре сети такеой сервер получится организовать полноценный QoS на агригейшен левел. А если ставить такю железку на агригейшен левел, то дороговато получается.

 

Я бы рекоменодовал:

1) иcпользовать статичную привязку по мак адресам, а все свободные ip привязать к 00:00:00:00:00:00. Это в какой то степени уменьшит проблему.

2) Поставить управляемые свичи :) и пускать в сеть только проверенные маки, а всё остальное убивать на свичах.

3) Аутентификация на базе 802.1x mac based (в случае port based может появится проблема с врезанием свичей)

4) Изолировать клиентов друг от друга (это умеют делать некоторые неуправляемые свичи. В этом случае кулхацкер не сможет посмотреть мак атакоеуемого компьютера у себя в таблице arp, даже если неходится с ним в обной сети)

 

Примерно так, 2 и 3 к сожалению для управляемых свичей.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Alba   

Alba
Опубликовано · Жалоба

pptp или pppoe не подходят из-за размеров сети, большого количества условий принимаемого абонентам трафика и, ну не нравятся они мне :)

 

насчёт управляемых свитчей всё ясно, просто хочется оставить этот вариант как самый крайний.

 

где-то читал/слышал, что можно отловить злоумышленника. типа там все маки меняются на случайные, кроме мака снифферящей машины. остальное - дело техники - написать анализатор логов arpwatch-а не проблема.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

xenomorph   

xenomorph
Опубликовано · Жалоба

http://www.opennet.ru/base/sec/arp_fixation.txt.html

Вот, советую почитать, это + изоляция клиентов друг от друга. Это про привязку. А вообще, отловить сниффер достаточно сложно. На опеннете я видел несколько статей, но никакой конкретной утилиты нет, раз что самом писать или ставить сенсер безовастности, типа snort (но сомневаюсь что это помежет, как мне помнится он тока от атак защищаяе, а вот снифера не обнаружит, хотя тут я могу ои ошибатся)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Solo   

Solo
Опубликовано · Жалоба

Снифера видит снифер :-)

Например ettercap с успехом видит всех себе-подобных. И может легко выдать аллерт в случае обнаружения.

Если же в условиях массового arp-спуфинга, то в самом начале выдает мак того, кто начал атаку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Alba   

Alba
Опубликовано · Жалоба
Снифера видит снифер :-)

Например ettercap с успехом видит всех себе-подобных. И может легко выдать аллерт в случае обнаружения.

Если же в условиях массового arp-спуфинга, то в самом начале выдает мак того, кто начал атаку.

а можно по-подробнее? чё-то я сходу ему ладу дать не могу :)

он хоть может демоном висеть?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Diesel   

Diesel
Опубликовано · Жалоба
p.s. только не тыркайте в меня управляемыми свитчами ;)

почему?! :-)

самое логичное решение проблемы имхо...

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Solo   

Solo
Опубликовано · Жалоба

Вобщем у нас получался максимальный и незаметный (для пользователей) эффект только в случае запуска ettercap`а на шлюзе. Шлюз - *nix. Сама программа работает не совсем стабильно (в режиме демона), надолго без контроля не оставляли :-( NAT переставал работать, если за ним не наблюдать :-(

Поэтому вешали как приложение, но достравивали чекалки и пару скриптов, которые в случае обнаружения атаки лезут на свич (управляемый), на всякий случай проверяют там ли тот пользователь и блокируют его порт к такой-то матери. Вобщем, в сети с управляемыми свичами, но без встроенных защит от arp-спуффинга время жизни свичей - около минуты после начала атаки (если сегменты здоровые).

Наша вязанка умела в течении 20-30 секунд найти и обезвредить.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Alba   

Alba
Опубликовано · Жалоба

p.s. только не тыркайте в меня управляемыми свитчами ;)

почему?! :-)

самое логичное решение проблемы имхо...

естественно, но, у нас около 200-250 свитчей, и, сами понимаете, махнуть их на управляемые - деньги немалые...

естественно, к этому будем стремиться, но, проблема существует уже сейчас...

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Программное обеспечение, биллинг и *unix системы