LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> Diskuze: článek Zabezpečte si síť I.

DHCP
(link)
22.7.2010 21:48
vama
Věk: ( ~32 let)

Mam uz davno takto DHCP server nastaveny a aj to odporucam, mat len ako Static DHCP, ktory prideluje IP adresy k MAC adresam.

DHCPD vs. ARP
(link)
25.7.2010 16:12
Aleš Hakl
Bydliště: Praha

Ja jsem tedy jeste nevidel maly domaci router u ktereho by se dala na pevno nastavit ARP tabulka (a rozhodne jsem nevidel zadny router, kde by to slo udelat klikanim pres web). Tohle nastaveni typicky ovlivnuje pouze DHCP server, ten ma bezpecnostni vyznam prakticky nulovy (utocnik si proste nejakou adresu vymysli, budto se do nejake nepouzite v 192.168.0.0/24 trefi rovnou nebo si holt odposlechne par paketu).

Navic: i pokud by clovek nastavil staticke ARP zaznamy, tak si bezpecnostne az tak nepomuze, protoze by to tak musel mit nastavene na vsech pocitacich do site pripojenych, navic utocnik muze proste pretect FIB nejakeho switche uprostred site a je vam staticke ARP k prdu. Lepsim resenim tehoz problemu je filtrovani na onom centralnim switchi, coz v omezene (a pro tyto ucely dostatecne) mire umi kazdy alespon trochu seriozni switch, pokud o to opravdu jde a opravdu mate sitovou infrastrukturu umistenou tak, ze k ni maji utocnici pristup, tak jedinym rozumnym resenim je 802.1x.

A nebo: nejrozumnejsi cesta je proste jakoukoli sit nepovazovat za duveryhodnou vubec a zabezpecit jednotlive koncove stanice a provoz jejich aplikaci. Coz je koneckoncu stejne dobry napad s ohledem na blizici se prechod na IPv6, kde vam veskere snahy o omezovani toho kdo se muze k jake siti pripojit akorat zkomplikuji zivot.

Re: DHCPD vs. ARP
(link)
27.7.2010 00:10
Radim Kolář
Věk: ( ~51 let) , Bydliště: Louny

Na ADSL routeru co mam doma kdyz se nastavi staticka DHCP adresa tak to k ni vyrobi automaticky i staticky ARP zaznam. Ja bych spis videl problem v tom ze ethernet adresa se nastavuje ve windows ve stejnem dialogu jako IP adresa a tak i BFU zvladne zmenit obe.

Re: DHCPD vs. ARP
(link)
28.7.2010 16:08
Aleš Hakl
Bydliště: Praha

ja bych hlavne rekl, ze i pokud se to tak chova, tak se to stejne neprestane ucit nove ARP zaznamy. Druha vec je, ze pokud jde o to chranit sit (a ne jenom pripojeni k internetu), tak by statickou ARP tabulku museli mit vsechny pocitace v te siti.

Re: DHCPD vs. ARP
(link)
28.7.2010 22:33
Radim Kolář
Věk: ( ~51 let) , Bydliště: Louny

Zabrani se tim ale aby nekdo podvrhl IP adresu bez toho aby zfalsoval taky MAC. Otazka kolik % utocniku to odradi je vec druha.

Bohuzel MAC adresu k IP adrese zjistite trivialne - poslete jeden ARP request.

Resenim je IEEE 802.1X + MAC filter na portech. Nejlepsi je ale nasadit IPSEC, je to ciste SW reseni a nepotrebuje HW podporu ve switchich.

Re: DHCPD vs. ARP
(link)
30.7.2010 19:23
Aleš Hakl
Bydliště: Praha

Zabrani se tim, aby nekdo podvrhl IP adresu pri komunikaci s onim routerem, ne ostatnimi zarizenimi v te siti. A muj dojem je, ze o ty ostatni zarizeni jde zejmena.

Re: DHCPD vs. ARP
(link)
30.7.2010 20:22
Petr Martinek
Věk: ( ~33 let)

K obranně proti přesměrování síťového provozu přes útočníkův počítač není nutné nastavovat statické ARP tabulky u všech počítačů v síti.

Vysvětlím:

Aby se útočníkovi mohl útok povést, musí "nakecat“ počítači, který chce odposlechnout, že jeho MAC adresa je stejná jako MAC adresa brány, a bráně "nakecá“, že MAC adresa oběti je stejná, jako jeho MAC. Tudíž skrz záškodníka proudí veškerá komunikace mezi obětí a okolní sítí. Když se ale brána (router) naočkuje statickým ARP záznamem, potom to útočníkovi brána "nesežere“. Ovšem, že počítači, který chce útočník odposlouchávat, může změnit ARP tabulku, ale už tím nedosáhne toho, že síťový provoz přemostí přes sebe. Oběť toto zaregistruje tak, že jí najednou přestane fungovat internet a veškerá komunikace s počítači v síti, tudíž "zbystří“ a může to začít nějak řešit, třeba dá vědět správci, který může z ARP tabulky (v Linuxu např. příkazem ARP) zjistit MAC adresu útočníka a při rychlém jednání může dokonce útočníka chytit při činu.

Samozřejmě je pravda, že naočkovat všechny PC v síti statickou ARP tabulkou je dobrá věc. Bohužel s tímto počinem nemám dobré zkušenosti, také myslím, že by to bylo zbytečně moc obtížné. Např. v síti, která obsahuje PC s různými OS a další síťové prvky, třeba tiskárny, skenery, síťové disky... (je to můj názor, třeba to pro vás jde udělat nějak jinak, líp)

Ještě chci prohodit takovou malou poznámku (můj postřeh).
Statický ARP záznam má přednost před tím dynamickým (který si brána zjišťuje sama). Tudíž útočníkův pokus přebít ho jiným záznamem (s stejnou MAC a odlišnou IP) se nepovede.

Re: DHCPD vs. ARP
(link)
31.7.2010 10:58
Radim Kolář
Věk: ( ~51 let) , Bydliště: Louny

Zapominate na to, ze pocitace nekomunikuji s MAC adresou routeru, ale s jeho IP adresou. Kdyz nemaji statickou ARP tabulku tak jeho MAC adresu neznaji a zjistuji ji pomoci ARP.

Odposlouchavat komunikaci muzete i bez hrani s IP/MAC jednak se da podrvhnout DHCP odpoved a poslat sama sebe jako router, coz temer vzdy vyjde protoze ISC DHCPD je pomaly a jednak proste preplnit MAC pamet switche a on se zacne chovat jako hub.

Navic pocitace spolu komunikuji pres router jen kdyz jsou v jinych sitich, jinak jedou primo.

Ona se sit tedy na L2 moc zabezpecit ani neda z duvodu snadne menitelnosti MAC adres, musi byt alespon vazane MAC adresy na porty na switchi. Nekdo to sice takhle zabezpecuje, ale nejsem moc presvedcen zda je to dobry napad protoze se mi nelibi vynalozena prace vs vysledny efekt. Nasadit IPSEC je mene prace a efekt je lepsi.

Re: DHCPD vs. ARP
(link)
31.7.2010 11:21
Petr Martinek
Věk: ( ~33 let)

Možná jste mě špatně pochopil. V článku jsem neřešil hraní si s IP a MAC adresami (i když je možné to tak nazvat), ale právě zamezení DHCP podvrhu.

Re: DHCPD vs. ARP
(link)
31.7.2010 20:55
Aleš Hakl
Bydliště: Praha

S tim, ze utocnik muze potvrhnout odpoved DHCP serveru toho mnoho nenadelate (krome toho, ze muzete dhcp nepouzivat).

druha vec je, ze vetsina tech "routeru" jako ten integrovany switch pouziva nejake monoliticke reseni od realteku, ktere je velmi snadne dostat do stavu, kdy se chova jako repeater nahodou, natoz umyslne.

Re: DHCPD vs. ARP
(link)
31.7.2010 20:47
Aleš Hakl
Bydliště: Praha

Takze se branie tomu, aby lokalni utocnik odposlouchaval/pozmenoval provoz smerem ven (predpokladejme do internetu). Problem tohoto je ten, ze je to na nic. Nedovedu si totiz predstavit situaci, kdy by vadilo, ze utocnik odposlechne paket ktery stejne predtim prisle/pote odejde do internetu, nebo nejake jine site o jejjiz bezpecnosti lze rict jenom to, ze zadna neni.

Re: DHCPD vs. ARP
(link)
1.8.2010 08:56
Petr Martinek
Věk: ( ~33 let)

Samozřejmě s tím, že je pro zkušeného útočníka zbytečné odposlouchávat odchozí pakety do vnější sítě, máte pravdu.

Tento útok (pokud vím) se ale k jen tomuto účelu moc nepoužívá (i když podle mého názoru je to jedna z nejjednodušších metod, jak to provést). Po úspěšném provedení tohoto útoku, získá útočník naprostý přehled o veškeré komunikaci v síti, nebo jen vybraného počítače a protože může v reálném čase pozměňovat i vytvářet komunikaci s adresami jakéhokoli počítače v síti. Získá naprostou nadvládu nad celou síti, kterou většinou využije k nějakému "pořádnému“ útoku.

Síť se stane loutkou a on tím, kdo tahá za provázky.

DISKUZE

DHCP 22.7.2010 21:48 vama
DHCPD vs. ARP 25.7.2010 16:12 Aleš Hakl
  L Re: DHCPD vs. ARP 27.7.2010 00:10 Radim Kolář
    L Re: DHCPD vs. ARP 28.7.2010 16:08 Aleš Hakl
      |- Re: DHCPD vs. ARP 28.7.2010 22:33 Radim Kolář
      | L Re: DHCPD vs. ARP 30.7.2010 19:23 Aleš Hakl
      L Re: DHCPD vs. ARP 30.7.2010 20:22 Petr Martinek
        |- Re: DHCPD vs. ARP 31.7.2010 10:58 Radim Kolář
        | L Re: DHCPD vs. ARP 31.7.2010 11:21 Petr Martinek
        |   L Re: DHCPD vs. ARP 31.7.2010 20:55 Aleš Hakl
        L Re: DHCPD vs. ARP 31.7.2010 20:47 Aleš Hakl
          L Re: DHCPD vs. ARP 1.8.2010 08:56 Petr Martinek




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze