#181. Разное.

[Nag]

#181. Разное.

[Larrikin]

Небольшое письмо от Romana Y. Bogdanova:

... Сегодня обнаружил интересную штуку для FreeBSD начиная с 4.10 (стабильная ветка). В ней появилась замечательная возможность настройки интерфейсов для homenet провайдеров. Режим, когда интерфейс отвечает только на те адреса, которые статически записаны в ARP таблицу машины.

 

Вот кусок из ifconfig:

 

staticarp If the Address Resolution Protocol is enabled, the host will only reply to requests for its addresses, and will never send any requests.

 

-staticarp If the Address Resolution Protocol is enabled, the host will per- form normally, sending out requests and listening for replies.

поподробнее можно?

[andrewk]

подробнее -

vi /etc/rc.conf

ищете строчки типа ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0" и добавляете в них staticarp. После этого создаете в каталоге /usr/local/etc/rc.d файл arp.sh с примерно следующим содержимым:

 

#!/bin/sh

 

arp -s 192.168.1.2 00:00:00:00:00:00 # Vasya

arp -s 192.168.1.3 11:11:11:11:11:11 # Petya

 

После этого перезагружаете маршрутизатор или если перезагружать не хочется, то запускаете просто файлик /usr/local/etc/rc.d/arp.sh и говорите ifconfig xl0 +staticarp.

В результате пользователь Vasya никогда в жизни не сможет себе назначить ip-адрес пользователя Petya, или если точнее - он не сможет с этип ip-адресом пройти дальше маршрутизатора. Клиенты довольны, кул хацкеры в унынии. Voila.

[UglyAdmin]

А MAC-адрес входящих пакетов при этом проверяется?

 

Схемка атаки очень простая, нужно только чтобы комп, чей IP будем красть, был выключен

1. Посылается ping с любым MAC'ом от имени нужного IP.

2. Маршрутизатор отвечает на записанный у него MAC.

3. Поскольку комп выключен и его МАС забыт свитчами, этот пакет пойдёт на все порты всех свитчей.

4. Тут мы и ловим указанный MAC, ставим его себе и воруем Инет!

 

Если же атакуемый комп включен, то ещё проще - берём его IP/MAC из таблицы ARP (по пингу эта таблица замечательно заполняется, даже если на него не отвечают), записываем, и как он выключается - воруем Инет.

[andrewk]

UglyAdmin, боюсь от подмены mac-адреса еще не придумали защиты. по крайней мере, не встречал

[Horgi]

UglyAdmin, боюсь от подмены mac-адреса еще не придумали защиты. по крайней мере, не встречал

ну почему-же?

вот например на порту старенького кошко-свича:

port security max-mac-count 1

port block unicast

port block multicast

 

замена абонентской карточки после этого конечно только

с уведомлением провайдера, но зато надежно как танк.

 

+ всякие шторм-контроли, рутгуарды.

+ приват влан эдж вкупе с локал-прокси-арп на рутере

много как можно извратиться над изначальным эзернетом,

до конца правда еще не все заткнули, но вполне близки.

[UglyAdmin]

вот например на порту старенького кошко-свича:

На управляемых свитчах - нехрен делать.

Речь идёт о том, чтобы на порту АКОРП-свитча за $15. Причём все свитчи в сети именно такие :)

[Horgi]

вот например на порту старенького кошко-свича:

На управляемых свитчах - нехрен делать.

Речь идёт о том, чтобы на порту АКОРП-свитча за $15. Причём все свитчи в сети именно такие :)

так и я про то-же. халявы не бывает. вопрос был про принципиально.

впрочем про нехрен делать тож погорячились.

естественных дырок от технологии даже на кошках еще есть.

лечится только мультисервисностью от порта, подорого ес-нно - у кошки это конга, пока глюкавая весьма и со своими лимитами.

да, кстати тут наткнулся на телекомфоруме на статейку про фаствеб. оказываетца этот образцово-показательный эзер-провайдер на дсль повернул... :(

оправдание правда - жесткие стандарты телекома на абон-линии, что позволяет достичь хорошей скорости и стабильности на дсле...

а какой флаг был - еттх и волокно в кажный хоум. :((

[andrewk]

Horgi, прошу прощения - Вы правы :) я просто стормозил - сам примерно так и поступаю с клиентами :)