Obrona przed arpspoofingiem.

[master614]

Witam,

Sprawa wyglada nastepujaco:
Jestem w sieci akademickiej (~500komputerow), testowalem arp spoofing (podszywanie się pod bramę) i musze powiedziec ze wyniki mnie zaskoczyly...

Postanowilem się przed tym zabezpieczyć, dodałem wpis statyczny do tablicy arp (arp -s ip-bramy mac-bramy), jednak sniffer odpalony na kompie obok, wszystko bez problemu przechwytuje :|

Być może jest to wina tego że oba komputery są na jednym switchu, ale do końca nie jestem pewien...

Macie jakies rady jak sie przed tym ustrzec?

EDIT. Dokładnie jest to arp poisoning, wiec wpis statyczny nie bardzo cos da.

[TQM]

Mylisz pojecia - ARP spoofing ok, mozna przekierowac ruch i zrobic MitM... ale to nie ma zupelnie nic wspolnego ze sniffowaniem. Jesli masz ludkow w jednym segmencie sieci to najczesciej beda mogli sie wzajemnie podsluchiwac i zadnym ustawianiem statycznie adresow MAC nic nie zrobisz.

Ustawienie recznie MAC'ow klientow (na serwerze) i serwera/bramy (na kliencie) zapobiega tylko przekierowaniu pakietow. Dalej wiele bedzie zalezne od tego jak masz zbudowana siec. Jesli masz HUB'a to nie zrobisz nic, kazdy slyszy wszystko. Jak masz switch'e to nieco lepiej bo na pewno mniej kolizji ale nadal nie zawsze masz filtrowanie ruchu. Jesli to siec akademicka to polecam switche zarzadzalne np firmy Cisco - sa drogie, to fakt... ale nie bez powodu.

Lukasz Boromisrki ladnie pokazywal nie raz jak ustawic port-security aby ludki jeden drugiemu MACa nie podbierali, jak ograniczyc ilosc kompow do 1 na port switcha oraz jak zezwolic na wiecej... ale tylko jesli adres przydzielono z Twojego serwera DHCP. Wtedy np gdy ktos zacznie wysylac pakiety z falszowanym adresem MAC to po pierwsze switch nie zapisze tego w swojej pamieci CAM (tam gdzie zpaisuje adresy MAC i to na ktorym porcie wisi dany MAC), porzuci pakiet albo wylaczy calkiem port odcinajac sprawce... i jako admin tylko czekasz az typo przyjdzie i przeprosi (tj czesciej bedzie blagal - wiem z wlasnego doswiadczenia, tez bylem adminem sieci akademickiej) ze mu net padl i wtedy wiesz dlaczego

Jesli nie masz szans na takie switche zarzadzalne to bedziesz mial problem... nie mowie ze to musi byc Cisco ale jakby nie bylo to pewien standard jest. Na pewno sa tez tansze firmy ktore daja te same funkcje.

[elceef]

Na pewno sa tez tansze firmy ktore daja te same funkcje.

3com/Huawei - dwie firmy, jedna fabryka. Przełączniki tych firm z powodzeniem zastępują droższe rozwiązania Cisco. Mają także niemal identyczny CLI.

Port-security to skuteczne rozwiązanie, ale bardzo uciążliwe (ręczne dopisywanie adresów). Najlepszym jednocześnie najwygodniejszym mechanizmem jest połączenie arp inspection z dhcp snooping. Natomiast port-security wykorzystać do ograniczania ilości adresów na poszczególnych portach, aby nie dopuścić do zapełnienia tablicy CAM.

[master614]

Dzięki za wyjaśnienie tematu, tylko małe sprostowanie, jestem użytkownikiem tej sieci a nie adminem. Jako takie rozwiązanie napisałeś (przed man in the middle) - Ustawienie recznie MAC'ow klientow (na serwerze) i serwera/bramy (na kliencie) zapobiega tylko przekierowaniu pakietow. - jednak będzie to wiązało się z przebudową sieci. Przypisanie Mac'a poszczególnemu userowi, miesiące roboty (mieszkam w akademiku, a kolejnych pięć, jest za rogiem, tysiace hostów).

Chyba jedynym sposobem dla mnie, bedzie korzystanie z rdp-serwera wydziałowego, i z niego logować się na ważniejsze stronki.

W każdym pokoju jest najtanszy switch, nawet po zamianie na router to mi nic nie daje (warstwa 3).

Dzięki jeszcze raz za odpowiedzi.

[Radiol]

Jak chcesz logować się na ważniejsze stronki to używaj szyfrowania ssl (https). I nie używaj tych samych haseł na ważniejszych i mniej ważnych stronach, gdzie nie używasz ssla.

Pozdrawiam

[TQM]

RDP wcale bezpieczne nie jest... SSL lub SSH - inaczej nic nie zrobisz... ewentualnie wykup sobie gdzies tunel VPN i caly ruch puszczaj via VPN. Zalatwi to sprawe podsluchu polaczen przez Twoich kolegow.

[master614]

Man in the Middle

A hacker can exploit ARP Cache Poisoning to intercept network traffic between two devices in your network. For instance, let's say the hacker wants to see all the traffic between your computer, 192.168.0.12, and your Internet router, 192.168.0.1. The hacker begins by sending a malicious ARP "reply" (for which there was no previous request) to your router, associating his computer's MAC address with 192.168.0.12 (see Diagram 3).

Now your router thinks the hacker's computer is your computer.

Next, the hacker sends a malicious ARP reply to your computer, associating his MAC Address with 192.168.0.1 (see Diagram 4).

Now your machine thinks the hacker's computer is your router.

Finally, the hacker turns on an operating system feature called IP forwarding. This feature enables the hacker's machine to forward any network traffic it receives from your computer to the router (shown in Diagram 5).

Now, whenever you try to go to the Internet, your computer sends the network traffic to the hacker's machine, which it then forwards to the real router. Since the hacker is still forwarding your traffic to the Internet router, you remain unaware that he is intercepting all your network traffic and perhaps also sniffing your clear text passwords or hijacking your secured Internet sessions.

Dlaczego statyczny wpis w tablicy arp z ip i mac'iem bramy nie obroni mnie przed hackerem? W końcu on podmienia mac swój za mac bramy...
Jedynym możliwym rozwiązaniem jest to że switch zmuszony jest (po przepełnieniu) do wysyłania informacji na Brodecast (hub).
Dobrze główkuję?

[TQM]

Tak - dobrze myslisz. Sprawa rozbija sie o 2 punkty gdzie atakujacy moze dokonac manipulacji.

1. U klienta - gdy klient pyta o MAC bramy, szybciej odpowie mu (prawdopodobnie) komputer w tym samym segmencie co on, niz sama brama, ktora dosc czesto jest pare urzadzen dalej. To zwykly race-condition - pierwsza odpowiedz zostanie przyjeta przez klienta i zapamietana. To tez zalezy od konfiguracji klienta i systemu operacyjnego. Niektore systemy np nie uznaja pakietow graturious-arp - np solaris tak robi. Co wejdzie do tablicy adresow MAC juz tam zostaje i koniec - przynajmniej do czasu resetu tablicy (recznego), wywalenia wpisu przez admina lub wygasniecia jesli wpis byl dynamiczny. Z zewnatrz nie zrobisz nic.

2. Na switchu - zabawy z tablica CAM Co sie stanie zalezy od switcha i jego konfiguracji - niektore zaczna rozglaszac wszystko na wszystkich portach (stana sie glupimi switchami), inne sie zresetuja i zaczna od nowa... jeszcze inne ubija port bo stiwerdza ze cos jest nie tak i po sprawie.

Wpisanie statycznych arp na kompach zabezpiecza jedynie przed #1.

[master614]

Dzięki za podzielenie się wiedzą. Pozdrawiam.