Obrona przed arpspoofingiem.

[master614]

Witam,

Sprawa wyglada nastepujaco:
Jestem w sieci akademickiej (~500komputerow), testowalem arp spoofing (podszywanie się pod bramę) i musze powiedziec ze wyniki mnie zaskoczyly...

Postanowilem się przed tym zabezpieczyć, dodałem wpis statyczny do tablicy arp (arp -s ip-bramy mac-bramy), jednak sniffer odpalony na kompie obok, wszystko bez problemu przechwytuje :|

Być może jest to wina tego że oba komputery są na jednym switchu, ale do końca nie jestem pewien...

Macie jakies rady jak sie przed tym ustrzec?

EDIT. Dokładnie jest to arp poisoning, wiec wpis statyczny nie bardzo cos da.

[TQM]

Mylisz pojecia - ARP spoofing ok, mozna przekierowac ruch i zrobic MitM... ale to nie ma zupelnie nic wspolnego ze sniffowaniem. Jesli masz ludkow w jednym segmencie sieci to najczesciej beda mogli sie wzajemnie podsluchiwac i zadnym ustawianiem statycznie adresow MAC nic nie zrobisz.

Ustawienie recznie MAC'ow klientow (na serwerze) i serwera/bramy (na kliencie) zapobiega tylko przekierowaniu pakietow. Dalej wiele bedzie zalezne od tego jak masz zbudowana siec. Jesli masz HUB'a to nie zrobisz nic, kazdy slyszy wszystko. Jak masz switch'e to nieco lepiej bo na pewno mniej kolizji ale nadal nie zawsze masz filtrowanie ruchu. Jesli to siec akademicka to polecam switche zarzadzalne np firmy Cisco - sa drogie, to fakt... ale nie bez powodu.

Lukasz Boromisrki ladnie pokazywal nie raz jak ustawic port-security aby ludki jeden drugiemu MACa nie podbierali, jak ograniczyc ilosc kompow do 1 na port switcha oraz jak zezwolic na wiecej... ale tylko jesli adres przydzielono z Twojego serwera DHCP. Wtedy np gdy ktos zacznie wysylac pakiety z falszowanym adresem MAC to po pierwsze switch nie zapisze tego w swojej pamieci CAM (tam gdzie zpaisuje adresy MAC i to na ktorym porcie wisi dany MAC), porzuci pakiet albo wylaczy calkiem port odcinajac sprawce... i jako admin tylko czekasz az typo przyjdzie i przeprosi (tj czesciej bedzie blagal - wiem z wlasnego doswiadczenia, tez bylem adminem sieci akademickiej) ze mu net padl i wtedy wiesz dlaczego

Jesli nie masz szans na takie switche zarzadzalne to bedziesz mial problem... nie mowie ze to musi byc Cisco ale jakby nie bylo to pewien standard jest. Na pewno sa tez tansze firmy ktore daja te same funkcje.

[elceef]

Na pewno sa tez tansze firmy ktore daja te same funkcje.

3com/Huawei - dwie firmy, jedna fabryka. Przełączniki tych firm z powodzeniem zastępują droższe rozwiązania Cisco. Mają także niemal identyczny CLI.

Port-security to skuteczne rozwiązanie, ale bardzo uciążliwe (ręczne dopisywanie adresów). Najlepszym jednocześnie najwygodniejszym mechanizmem jest połączenie arp inspection z dhcp snooping. Natomiast port-security wykorzystać do ograniczania ilości adresów na poszczególnych portach, aby nie dopuścić do zapełnienia tablicy CAM.

[master614]

Dzięki za wyjaśnienie tematu, tylko małe sprostowanie, jestem użytkownikiem tej sieci a nie adminem. Jako takie rozwiązanie napisałeś (przed man in the middle) - Ustawienie recznie MAC'ow klientow (na serwerze) i serwera/bramy (na kliencie) zapobiega tylko przekierowaniu pakietow. - jednak będzie to wiązało się z przebudową sieci. Przypisanie Mac'a poszczególnemu userowi, miesiące roboty (mieszkam w akademiku, a kolejnych pięć, jest za rogiem, tysiace hostów).

Chyba jedynym sposobem dla mnie, bedzie korzystanie z rdp-serwera wydziałowego, i z niego logować się na ważniejsze stronki.

W każdym pokoju jest najtanszy switch, nawet po zamianie na router to mi nic nie daje (warstwa 3).

Dzięki jeszcze raz za odpowiedzi.

[Radiol]

Jak chcesz logować się na ważniejsze stronki to używaj szyfrowania ssl (https). I nie używaj tych samych haseł na ważniejszych i mniej ważnych stronach, gdzie nie używasz ssla.

Pozdrawiam

[TQM]

RDP wcale bezpieczne nie jest... SSL lub SSH - inaczej nic nie zrobisz... ewentualnie wykup sobie gdzies tunel VPN i caly ruch puszczaj via VPN. Zalatwi to sprawe podsluchu polaczen przez Twoich kolegow.