борьба с арп-спуфинг

[Davion]

Завелся хакер в сети, тырит пароли VPN пользователей, как оказалась вполне реальная вещь, если использовать например программу Xvpn. Сеть построена на неуправляемых свичах. Как выявить недобросовестного пользователя, какие средства мониторинга можно использовать? При авторизации под чужим логином с паролем хакер меняет свой мак и Ip на мак и ip похаканого пользователя.

Варианты переделать сеть непредлагать. Интересуют програмные решения.

[LostSoul]

Спуфинг детектируйте snort-ом например.

 

Но это как раз от дурачков с Xvpn.

 

Неосторожных легче выявлять на этапе подготовки ( сканирование сети и.т.п. )

[[anp/hsw]]

может, легче купить какой-нибудь P3-P4 комп, который специально будет заниматься терминированием тунелей с шифрованием (mppe которое)

человек на 200 онлайна хватит не напрягаясь

[ingress]

как вариант перейти на MS-CHAPv2

[ram_scan]

как вариант перейти на MS-CHAPv2

Оно-ж дырявое как друшляг, брутится в течение нескольких минут. Программно задача по человечески не решается, только сеть на управляемом оборудовании строить.

[ingress]

md5 в chap

в MSCHAP-V2 - sha1 брутится? по крайне мере эта прога не сможет подобрать

[ram_scan]

ingress, и скока там длина ключа ? :-) Кроме всего прочего там в длину ключа ничего по большому счету не упирается.

[Kaban]

Включайте юзеров в управляемые свичи типа Dlink des-3526 которые умеют бороться с arp spooof-ингом аппаратно (15$ за порт и полное отсутствие гемороя это не так уж и дорого). Если сеть посторена на неуправляемых мыльницах то тут правильно подсказали - запускайте ipsec тунели, с вытекающим отсуюда гемороем в виде неконтролируемых лагов в сети.

Edited August 7, 2007 by Kaban

[csa]

на тему вариантов тонелей - можно посмотреть на openvpn

[asvil]

переход на ms-chap не поможет))

поможет прога обновляющая каждые 5 сек arp таблицу, имея у себя "статическую правильную". где взять, как называется не знаю.

поможет управляемый свитч.

поможет фаер детектящий арп атаки, после поможет выдергивание кабелей из свитчей, а еще после поможет бита.

поможет в св-вах подключения снять галочку с CHAP, если ваш сервак поддерживает все, что выше.

Скажу больше, спасет 10значный пароль, содержащий цифры буквы значки.

[Davion]

переход на ms-chap не поможет))

поможет прога обновляющая каждые 5 сек arp таблицу, имея у себя "статическую правильную". где взять, как называется не знаю.

поможет управляемый свитч.

поможет фаер детектящий арп атаки, после поможет выдергивание кабелей из свитчей, а еще после поможет бита.

поможет в св-вах подключения снять галочку с CHAP, если ваш сервак поддерживает все, что выше.

Скажу больше, спасет 10значный пароль, содержащий цифры буквы значки.

какой фаер поможет детектировать арп атаки?

на данный момент для мониторинга использую запускающийся каждые 10 минут нмап, и Ipmonitor для мониторинга за сменой ip mac

[ingress]

допустим Outpost умеет

 

или простое решение

на стороне рутера - привязка ип-мак

на стороне клиента - http://forum.killprog.com/viewtopic.php?p=2757

программулина каждые 100 мс связывает ип с маком

[asvil]

так глупый вопрос. а пассы то поменяли, чтобы заставить парня еще раз атаковать?

достаточно будит настроить killera прогу на ип/мак сервера, мопеда и тд. наверно очевидную вещь сказал))

Если этот хакер не меняет мак при атаке, то просто идем его ******.

И оутпост закричит, когда все начнеться.

[Davion]

так глупый вопрос. а пассы то поменяли, чтобы заставить парня еще раз атаковать?

достаточно будит настроить killera прогу на ип/мак сервера, мопеда и тд. наверно очевидную вещь сказал))

Если этот хакер не меняет мак при атаке, то просто идем его ******.

И оутпост закричит, когда все начнеться.

Дело в том что хакает он абсолютно разных людей. Маки с айпи меняет на пользовательские.

Решили тут один эксперемент провести, получится раскажу подробности.

Ну а в общем модернизация сети не за горами.