Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1 2 След.
RSS
ARP poisoning, Способы защиты
 
#1
Это нравится:0Да/0Нет
25.03.2006 16:17:48
Собственно какие вы знаете способызащиты от прослушивания посредствам ARP poisoning'a

Я знаю, что с этим можно бороться посредствам статической таблицы ARP (для линуксовых машин подходит для форточек не очень)
IP Телефоны CISCO тоже это умеют посредствам Call Managera.
Avaya и Nortel телефоны этим не сильно обременены.
+ остаётся ещё множество сервисов, которые тоже надо защищать.

Какие ещё есь средства и рекоммендации?.. Просто хочется собрать все возможные варианты в одном месте.

З.Ы. предполагается, что злоумышленник уже получил доступ к VLAN в котором расположены устройства, которые он хочет прослушать....
 
 
 
#2
Это нравится:0Да/0Нет
25.03.2006 22:19:33
Цитата
Антоша  пишет:
Я знаю, что с этим можно бороться посредствам статической таблицы ARP (для линуксовых машин подходит для форточек не очень)

На коммутаторах прописываются для каждого порта, смотрящего в сторону пользователя/клиента мак адрес. Для Cisco Catalyst - одна из ф-й port security, и в случае появления "левого трафика", можно  с поможью violation restrict легко просеч кто есть нехороший человек.
 
 
 
#3
Это нравится:0Да/0Нет
26.03.2006 11:20:50
ARP poisoning не чувствительна к port security, ARP poisoning атакует только арп таблицы в устройвах которые он прослушивает, причём всё это ведётся с одного мак адреса. Посему порт секьюрити не отрабатывает.
Способ работы АРП пойсонинга - Сцылка на ФЛЕШ
 
 
 
#4
Это нравится:0Да/0Нет
26.03.2006 13:56:20
pppoe?
 
 
 
#5
Это нравится:0Да/0Нет
26.03.2006 16:20:57
Цитата
Антоша  пишет:
Посему порт секьюрити не отрабатывает.

Еще раз повторю.
мы прописываем разрешенные маки на порту, остальные _ОТБРАСЫВАЕМ_.
После этого действия НИКАКИЕ атаки на arp таблицу на этом порту невозможны.
Если необходимо - могу поделится конфигами для catalyst 2950/3550/3750/6500
 
 
 
#6
Это нравится:0Да/0Нет
26.03.2006 21:32:18
Цитата
edwin пишет:
Еще раз повторю.мы прописываем разрешенные маки на порту, остальные _ОТБРАСЫВАЕМ_.После этого действия НИКАКИЕ атаки на arp таблицу на этом порту невозможны.
не поможет. учите матчасть. атака на арп таблицу производится не на порту свитча, а на компьютере жертвы
Цитата
edwin пишет:
Если необходимо - могу поделится конфигами для catalyst 2950/3550/3750/6500
Поделись :)
 
 
 
#7
Это нравится:0Да/0Нет
26.03.2006 23:03:16
Цитата
Еще раз повторю.
мы прописываем разрешенные маки на порту, остальные _ОТБРАСЫВАЕМ_.
После этого действия НИКАКИЕ атаки на arp таблицу на этом порту невозможны.
Если необходимо - могу поделится конфигами для catalyst 2950/3550/3750/6500

Как правильно заметил Michael атака ведёться на таблицу не свиса, а устройство, которое прослушивается. А  конфиг Port Security там 5 минутный и не отличается на этих моделях совсем. Посмотрите Флеш ролик, на который я оставил ссылку, там всё прояснено...

Цитата
pppoe?

Как вариант подходит если имеется виду тунели с шифрованием(PPPoIP), но не шифровать же весь трафик в локалке... :) А разве есть реализация PPP над Эзернетом? Можно поподробнее, никогда не слышал. Но тогда это просто не IP сеть и всё-таки к данному случаю вряд ли применимо.
 
 
 
#8
Это нравится:0Да/0Нет
27.03.2006 08:45:29
Цитата
Антоша  пишет:
А разве есть реализация PPP над Эзернетом?

есть
 
 
 
#9
Это нравится:0Да/0Нет
27.03.2006 10:43:55
PPP над эзернетом применимо если у нас клиенты будут подключаться к серверу и PPP будет инкапсулировать себя стек TCP/IP. Но соеднения между клиентами всё-равно не защищены от пойсонинга ибо всё-равно появляется АРП подобный протокол, да и те же телефонные станции работают по IP, а не по PPPoE.
 
 
 
#10
Это нравится:0Да/0Нет
27.03.2006 17:50:50
Чтож, придется расшифровать свои мысли, ибо меня _НЕ ПОНИМАЮТ_
Для примера приведу упрощенный вариант:
2950 к ней подрлючены клиенты и один сервер.
Затем мы настраиваем port secure
А потом представим, что некий товарисч на неком порту пытается атаковать arp таблицу компьюетра,  находящегося на другом порту.
Но грамотно настроенный свич _НЕ_ пропустит к жертве запросы с левыми MAC'ами.
То есть он может отсылать пакеты используя только свой MAC.
А если он так начнет делать, то вычислить его ничего не стоит.

 
Цитата
Michael пишет:
Поделись

С удовольствие.
Но только в личку.
 
 
 
#11
Это нравится:0Да/0Нет
27.03.2006 17:54:49
Цитата
edwin пишет:
То есть он может отсылать пакеты используя только свой MAC.

Он и отошлёт используя свой MAC в заголовках ethernet но чужой IP в заголовках arp. и свчит пропустит.
Port Security лечит только от MAC-адрес спуфинг.
 
 
 
#12
Это нравится:0Да/0Нет
27.03.2006 21:07:39
2 edwin  посмотри флеш ролик, на который я кинул ссылку, там более менее картина прояснена.
 
 
 
#13
Это нравится:0Да/0Нет
27.03.2006 21:07:48
Цитата
offtopic пишет:
Он и отошлёт используя свой MAC в заголовках ethernet но чужой IP в заголовках arp. и свчит пропустит.

Вот только в таких случаях начнутся проблемы в работе сети, и даже беглый взгляд на таблицу arp выявит источник проблемы.
 
 
 
#14
Это нравится:0Да/0Нет
28.03.2006 09:28:26
Цитата
edwin пишет:
Вот только в таких случаях начнутся проблемы в работе сети,
какие?
Цитата
edwin пишет:
даже беглый взгляд на таблицу arp выявит источник проблемы.
угу, если помнишь все mac-адреса наизусть :)
 
 
 
#15
Это нравится:0Да/0Нет
28.03.2006 10:09:39
Проблемы в сети - пример: отравленные компьютеры переставали видеть друг друга по СМБ. Если был отравлен комп с сетевым принтером - печать становилась невозможна. Пока спуфинг не отключала.
 
 
 
#16
Это нравится:0Да/0Нет
28.03.2006 10:19:09
Цитата
Jul_i пишет:
Проблемы в сети - пример: отравленные компьютеры переставали видеть друг друга по СМБ.
Понятное дело, отравив кому-нибудь arp cache, нужно должным образом обрабатывать поступающие пакеты, иначе проблем не оберешься. А если с одной рабочей станции отравить сразу 100 клиентских машин, то можно не успевать обрабатывать все пакеты.
 
 
 
#17
Это нравится:0Да/0Нет
28.03.2006 10:34:30
Я травила каином всего две машины. Видимо каин не справляется только с СМБ - ведь там (в вин ХР) чтобы увидеть компы в сетевом окружениии, посылается около 400 пакетов.
 
 
 
#18
Это нравится:0Да/0Нет
28.03.2006 10:39:02
Цитата
Jul_i пишет:
Я травила каином

Попробуй потравить ettercap`ом ;)
 
 
 
#19
Это нравится:0Да/0Нет
28.03.2006 11:57:32
В каине надо поставить опцию - пересылать пакеты.... и тада пойсонинг будет незаметен для клиентов. :)

Я Каином прослушиваю до 5-6 разговоров по IP и несколько машин и сеть справляется ибо стандартный клиентский трафик не больше 5% от 100мбит, а Voice вообще жрёт мало в масштабах локалки.
 
 
 
#20
Это нравится:0Да/0Нет
19.10.2006 15:38:08
Что можно сделать если машина в сети уже заражена arp p. ?  
Дайти плиз линк где arpwatch под форточку скачать можно.
 
 
 
Страницы: 1 2 След.
Читают тему