Alba Опубликовано 13 ноября, 2005 · Жалоба что нового придумал российский народ в этой сфере? :) на данный момент наблюдаю огромное количество матюков на почту от arpwatch, что все машины меняют свои маки на произвольные. p.s. только не тыркайте в меня управляемыми свитчами ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reduntel Опубликовано 13 ноября, 2005 · Жалоба Свитчами нет, а от ppptp и pppoe да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yuz Опубликовано 13 ноября, 2005 · Жалоба Alba, А ты не думал о смене авторизации в сети .. скажем переход от привязки ip к тому же ПППтП или ПППоЕ ? И такой вопрос на сколько еще времени жизнеспособна неуправляемая сеть ? То какими административными мерами все решаеться то ладно .. но без управляемости сети не будет ее гибкости и информативности, разве не так ? и потом же возможно ПППтП или ПППоЕ с шифрованием трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xenomorph Опубликовано 13 ноября, 2005 · Жалоба Yuz, ПППоЕ или ПППтП это соединения точка точка, не думаю что если держать в центре сети такеой сервер получится организовать полноценный QoS на агригейшен левел. А если ставить такю железку на агригейшен левел, то дороговато получается. Я бы рекоменодовал: 1) иcпользовать статичную привязку по мак адресам, а все свободные ip привязать к 00:00:00:00:00:00. Это в какой то степени уменьшит проблему. 2) Поставить управляемые свичи :) и пускать в сеть только проверенные маки, а всё остальное убивать на свичах. 3) Аутентификация на базе 802.1x mac based (в случае port based может появится проблема с врезанием свичей) 4) Изолировать клиентов друг от друга (это умеют делать некоторые неуправляемые свичи. В этом случае кулхацкер не сможет посмотреть мак атакоеуемого компьютера у себя в таблице arp, даже если неходится с ним в обной сети) Примерно так, 2 и 3 к сожалению для управляемых свичей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 13 ноября, 2005 · Жалоба pptp или pppoe не подходят из-за размеров сети, большого количества условий принимаемого абонентам трафика и, ну не нравятся они мне :) насчёт управляемых свитчей всё ясно, просто хочется оставить этот вариант как самый крайний. где-то читал/слышал, что можно отловить злоумышленника. типа там все маки меняются на случайные, кроме мака снифферящей машины. остальное - дело техники - написать анализатор логов arpwatch-а не проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xenomorph Опубликовано 13 ноября, 2005 · Жалоба http://www.opennet.ru/base/sec/arp_fixation.txt.html Вот, советую почитать, это + изоляция клиентов друг от друга. Это про привязку. А вообще, отловить сниффер достаточно сложно. На опеннете я видел несколько статей, но никакой конкретной утилиты нет, раз что самом писать или ставить сенсер безовастности, типа snort (но сомневаюсь что это помежет, как мне помнится он тока от атак защищаяе, а вот снифера не обнаружит, хотя тут я могу ои ошибатся) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Solo Опубликовано 14 ноября, 2005 · Жалоба Снифера видит снифер :-) Например ettercap с успехом видит всех себе-подобных. И может легко выдать аллерт в случае обнаружения. Если же в условиях массового arp-спуфинга, то в самом начале выдает мак того, кто начал атаку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xenomorph Опубликовано 14 ноября, 2005 · Жалоба Solo, хм, вот этого не знал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 14 ноября, 2005 · Жалоба Снифера видит снифер :-)Например ettercap с успехом видит всех себе-подобных. И может легко выдать аллерт в случае обнаружения. Если же в условиях массового arp-спуфинга, то в самом начале выдает мак того, кто начал атаку. а можно по-подробнее? чё-то я сходу ему ладу дать не могу :) он хоть может демоном висеть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diesel Опубликовано 15 ноября, 2005 · Жалоба p.s. только не тыркайте в меня управляемыми свитчами ;) почему?! :-) самое логичное решение проблемы имхо... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Solo Опубликовано 15 ноября, 2005 · Жалоба Вобщем у нас получался максимальный и незаметный (для пользователей) эффект только в случае запуска ettercap`а на шлюзе. Шлюз - *nix. Сама программа работает не совсем стабильно (в режиме демона), надолго без контроля не оставляли :-( NAT переставал работать, если за ним не наблюдать :-( Поэтому вешали как приложение, но достравивали чекалки и пару скриптов, которые в случае обнаружения атаки лезут на свич (управляемый), на всякий случай проверяют там ли тот пользователь и блокируют его порт к такой-то матери. Вобщем, в сети с управляемыми свичами, но без встроенных защит от arp-спуффинга время жизни свичей - около минуты после начала атаки (если сегменты здоровые). Наша вязанка умела в течении 20-30 секунд найти и обезвредить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alba Опубликовано 15 ноября, 2005 · Жалоба p.s. только не тыркайте в меня управляемыми свитчами ;) почему?! :-) самое логичное решение проблемы имхо... естественно, но, у нас около 200-250 свитчей, и, сами понимаете, махнуть их на управляемые - деньги немалые... естественно, к этому будем стремиться, но, проблема существует уже сейчас... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...