DHCP (link) |
22.7.2010 21:48
vama
|
Věk: ( ~32 let) |
Mam uz davno takto DHCP server nastaveny a aj to odporucam, mat len ako Static DHCP, ktory prideluje IP adresy k MAC adresam. |
|
|
DHCPD vs. ARP (link) |
25.7.2010 16:12
Aleš Hakl
|
Bydliště: Praha |
Ja jsem tedy jeste nevidel maly domaci router u ktereho by se dala na pevno nastavit ARP tabulka (a rozhodne jsem nevidel zadny router, kde by to slo udelat klikanim pres web). Tohle nastaveni typicky ovlivnuje pouze DHCP server, ten ma bezpecnostni vyznam prakticky nulovy (utocnik si proste nejakou adresu vymysli, budto se do nejake nepouzite v 192.168.0.0/24 trefi rovnou nebo si holt odposlechne par paketu).
Navic: i pokud by clovek nastavil staticke ARP zaznamy, tak si bezpecnostne az tak nepomuze, protoze by to tak musel mit nastavene na vsech pocitacich do site pripojenych, navic utocnik muze proste pretect FIB nejakeho switche uprostred site a je vam staticke ARP k prdu. Lepsim resenim tehoz problemu je filtrovani na onom centralnim switchi, coz v omezene (a pro tyto ucely dostatecne) mire umi kazdy alespon trochu seriozni switch, pokud o to opravdu jde a opravdu mate sitovou infrastrukturu umistenou tak, ze k ni maji utocnici pristup, tak jedinym rozumnym resenim je 802.1x.
A nebo: nejrozumnejsi cesta je proste jakoukoli sit nepovazovat za duveryhodnou vubec a zabezpecit jednotlive koncove stanice a provoz jejich aplikaci. Coz je koneckoncu stejne dobry napad s ohledem na blizici se prechod na IPv6, kde vam veskere snahy o omezovani toho kdo se muze k jake siti pripojit akorat zkomplikuji zivot. |
|
|
Re: DHCPD vs. ARP (link) |
27.7.2010 00:10
Radim Kolář
|
Věk: ( ~51 let)
, Bydliště: Louny |
Na ADSL routeru co mam doma kdyz se nastavi staticka DHCP adresa tak to k ni vyrobi automaticky i staticky ARP zaznam. Ja bych spis videl problem v tom ze ethernet adresa se nastavuje ve windows ve stejnem dialogu jako IP adresa a tak i BFU zvladne zmenit obe. |
|
|
Re: DHCPD vs. ARP (link) |
28.7.2010 16:08
Aleš Hakl
|
Bydliště: Praha |
ja bych hlavne rekl, ze i pokud se to tak chova, tak se to stejne neprestane ucit nove ARP zaznamy. Druha vec je, ze pokud jde o to chranit sit (a ne jenom pripojeni k internetu), tak by statickou ARP tabulku museli mit vsechny pocitace v te siti. |
|
|
Re: DHCPD vs. ARP (link) |
28.7.2010 22:33
Radim Kolář
|
Věk: ( ~51 let)
, Bydliště: Louny |
Zabrani se tim ale aby nekdo podvrhl IP adresu bez toho aby zfalsoval taky MAC. Otazka kolik % utocniku to odradi je vec druha.
Bohuzel MAC adresu k IP adrese zjistite trivialne - poslete jeden ARP request.
Resenim je IEEE 802.1X + MAC filter na portech. Nejlepsi je ale nasadit IPSEC, je to ciste SW reseni a nepotrebuje HW podporu ve switchich. |
|
|
Re: DHCPD vs. ARP (link) |
30.7.2010 19:23
Aleš Hakl
|
Bydliště: Praha |
Zabrani se tim, aby nekdo podvrhl IP adresu pri komunikaci s onim routerem, ne ostatnimi zarizenimi v te siti. A muj dojem je, ze o ty ostatni zarizeni jde zejmena. |
|
|
Re: DHCPD vs. ARP (link) |
30.7.2010 20:22
Petr Martinek
|
Věk: ( ~33 let) |
K obranně proti přesměrování síťového provozu přes útočníkův počítač není nutné nastavovat statické ARP tabulky u všech počítačů v síti.
Vysvětlím:
Aby se útočníkovi mohl útok povést, musí "nakecat“ počítači, který chce odposlechnout, že jeho MAC adresa je stejná jako MAC adresa brány, a bráně "nakecá“, že MAC adresa oběti je stejná, jako jeho MAC. Tudíž skrz záškodníka proudí veškerá komunikace mezi obětí a okolní sítí. Když se ale brána (router) naočkuje statickým ARP záznamem, potom to útočníkovi brána "nesežere“. Ovšem, že počítači, který chce útočník odposlouchávat, může změnit ARP tabulku, ale už tím nedosáhne toho, že síťový provoz přemostí přes sebe. Oběť toto zaregistruje tak, že jí najednou přestane fungovat internet a veškerá komunikace s počítači v síti, tudíž "zbystří“ a může to začít nějak řešit, třeba dá vědět správci, který může z ARP tabulky (v Linuxu např. příkazem ARP) zjistit MAC adresu útočníka a při rychlém jednání může dokonce útočníka chytit při činu.
Samozřejmě je pravda, že naočkovat všechny PC v síti statickou ARP tabulkou je dobrá věc. Bohužel s tímto počinem nemám dobré zkušenosti, také myslím, že by to bylo zbytečně moc obtížné. Např. v síti, která obsahuje PC s různými OS a další síťové prvky, třeba tiskárny, skenery, síťové disky... (je to můj názor, třeba to pro vás jde udělat nějak jinak, líp)
Ještě chci prohodit takovou malou poznámku (můj postřeh).
Statický ARP záznam má přednost před tím dynamickým (který si brána zjišťuje sama). Tudíž útočníkův pokus přebít ho jiným záznamem (s stejnou MAC a odlišnou IP) se nepovede.
|
|
|
Re: DHCPD vs. ARP (link) |
31.7.2010 10:58
Radim Kolář
|
Věk: ( ~51 let)
, Bydliště: Louny |
Zapominate na to, ze pocitace nekomunikuji s MAC adresou routeru, ale s jeho IP adresou. Kdyz nemaji statickou ARP tabulku tak jeho MAC adresu neznaji a zjistuji ji pomoci ARP.
Odposlouchavat komunikaci muzete i bez hrani s IP/MAC jednak se da podrvhnout DHCP odpoved a poslat sama sebe jako router, coz temer vzdy vyjde protoze ISC DHCPD je pomaly a jednak proste preplnit MAC pamet switche a on se zacne chovat jako hub.
Navic pocitace spolu komunikuji pres router jen kdyz jsou v jinych sitich, jinak jedou primo.
Ona se sit tedy na L2 moc zabezpecit ani neda z duvodu snadne menitelnosti MAC adres, musi byt alespon vazane MAC adresy na porty na switchi. Nekdo to sice takhle zabezpecuje, ale nejsem moc presvedcen zda je to dobry napad protoze se mi nelibi vynalozena prace vs vysledny efekt. Nasadit IPSEC je mene prace a efekt je lepsi. |
|
|
Re: DHCPD vs. ARP (link) |
31.7.2010 11:21
Petr Martinek
|
Věk: ( ~33 let) |
Možná jste mě špatně pochopil. V článku jsem neřešil hraní si s IP a MAC adresami (i když je možné to tak nazvat), ale právě zamezení DHCP podvrhu. |
|
|
Re: DHCPD vs. ARP (link) |
31.7.2010 20:55
Aleš Hakl
|
Bydliště: Praha |
S tim, ze utocnik muze potvrhnout odpoved DHCP serveru toho mnoho nenadelate (krome toho, ze muzete dhcp nepouzivat).
druha vec je, ze vetsina tech "routeru" jako ten integrovany switch pouziva nejake monoliticke reseni od realteku, ktere je velmi snadne dostat do stavu, kdy se chova jako repeater nahodou, natoz umyslne. |
|
|
Re: DHCPD vs. ARP (link) |
31.7.2010 20:47
Aleš Hakl
|
Bydliště: Praha |
Takze se branie tomu, aby lokalni utocnik odposlouchaval/pozmenoval provoz smerem ven (predpokladejme do internetu). Problem tohoto je ten, ze je to na nic. Nedovedu si totiz predstavit situaci, kdy by vadilo, ze utocnik odposlechne paket ktery stejne predtim prisle/pote odejde do internetu, nebo nejake jine site o jejjiz bezpecnosti lze rict jenom to, ze zadna neni. |
|
|
Re: DHCPD vs. ARP (link) |
1.8.2010 08:56
Petr Martinek
|
Věk: ( ~33 let) |
Samozřejmě s tím, že je pro zkušeného útočníka zbytečné odposlouchávat odchozí pakety do vnější sítě, máte pravdu.
Tento útok (pokud vím) se ale k jen tomuto účelu moc nepoužívá (i když podle mého názoru je to jedna z nejjednodušších metod, jak to provést). Po úspěšném provedení tohoto útoku, získá útočník naprostý přehled o veškeré komunikaci v síti, nebo jen vybraného počítače a protože může v reálném čase pozměňovat i vytvářet komunikaci s adresami jakéhokoli počítače v síti. Získá naprostou nadvládu nad celou síti, kterou většinou využije k nějakému "pořádnému“ útoku.
Síť se stane loutkou a on tím, kdo tahá za provázky. |
|
|
|
Příspívat do diskuze mohou pouze registrovaní uživatelé.
|
|
Vyhledávání software
Vyhledávání článků
28.11.2018 23:56 /František Kučera Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1
12.11.2018 21:28 /Redakce Linuxsoft.cz 22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář
6.11.2018 2:04 /František Kučera Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
4.10.2018 21:30 /Ondřej Čečák LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář
18.9.2018 23:30 /František Kučera Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
9.9.2018 14:15 /Redakce Linuxsoft.cz 20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business.
Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář
12.8.2018 16:58 /František Kučera Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář
16.7.2018 1:05 /František Kučera Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář
Více ...
Přidat zprávičku
Poslední diskuze
31.7.2023 14:13 /
Linda Graham iPhone Services
30.11.2022 9:32 /
Kyle McDermott Hosting download unavailable
13.12.2018 10:57 /
Jan Mareš Re: zavináč
2.12.2018 23:56 /
František Kučera Sraz
5.10.2018 17:12 /
Jakub Kuljovsky Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?
Více ...
|