LINUXSOFT.cz
Nazwa użytkownika: Hasło:     
    CZ UK PL

> Komentarze :: článek Zabezpečte si síť I.

DHCP 22.7.2010 21:48
vama

Mam uz davno takto DHCP server nastaveny a aj to odporucam, mat len ako Static DHCP, ktory prideluje IP adresy k MAC adresam.

DHCPD vs. ARP 25.7.2010 16:12
Aleš Hakl

Ja jsem tedy jeste nevidel maly domaci router u ktereho by se dala na pevno nastavit ARP tabulka (a rozhodne jsem nevidel zadny router, kde by to slo udelat klikanim pres web). Tohle nastaveni typicky ovlivnuje pouze DHCP server, ten ma bezpecnostni vyznam prakticky nulovy (utocnik si proste nejakou adresu vymysli, budto se do nejake nepouzite v 192.168.0.0/24 trefi rovnou nebo si holt odposlechne par paketu).

Navic: i pokud by clovek nastavil staticke ARP zaznamy, tak si bezpecnostne az tak nepomuze, protoze by to tak musel mit nastavene na vsech pocitacich do site pripojenych, navic utocnik muze proste pretect FIB nejakeho switche uprostred site a je vam staticke ARP k prdu. Lepsim resenim tehoz problemu je filtrovani na onom centralnim switchi, coz v omezene (a pro tyto ucely dostatecne) mire umi kazdy alespon trochu seriozni switch, pokud o to opravdu jde a opravdu mate sitovou infrastrukturu umistenou tak, ze k ni maji utocnici pristup, tak jedinym rozumnym resenim je 802.1x.

A nebo: nejrozumnejsi cesta je proste jakoukoli sit nepovazovat za duveryhodnou vubec a zabezpecit jednotlive koncove stanice a provoz jejich aplikaci. Coz je koneckoncu stejne dobry napad s ohledem na blizici se prechod na IPv6, kde vam veskere snahy o omezovani toho kdo se muze k jake siti pripojit akorat zkomplikuji zivot.

Re: DHCPD vs. ARP 27.7.2010 00:10
Radim Kolář

Na ADSL routeru co mam doma kdyz se nastavi staticka DHCP adresa tak to k ni vyrobi automaticky i staticky ARP zaznam. Ja bych spis videl problem v tom ze ethernet adresa se nastavuje ve windows ve stejnem dialogu jako IP adresa a tak i BFU zvladne zmenit obe.

Re: DHCPD vs. ARP 28.7.2010 16:08
Aleš Hakl

ja bych hlavne rekl, ze i pokud se to tak chova, tak se to stejne neprestane ucit nove ARP zaznamy. Druha vec je, ze pokud jde o to chranit sit (a ne jenom pripojeni k internetu), tak by statickou ARP tabulku museli mit vsechny pocitace v te siti.

Re: DHCPD vs. ARP 28.7.2010 22:33
Radim Kolář

Zabrani se tim ale aby nekdo podvrhl IP adresu bez toho aby zfalsoval taky MAC. Otazka kolik % utocniku to odradi je vec druha.

Bohuzel MAC adresu k IP adrese zjistite trivialne - poslete jeden ARP request.

Resenim je IEEE 802.1X + MAC filter na portech. Nejlepsi je ale nasadit IPSEC, je to ciste SW reseni a nepotrebuje HW podporu ve switchich.

Re: DHCPD vs. ARP 30.7.2010 19:23
Aleš Hakl

Zabrani se tim, aby nekdo podvrhl IP adresu pri komunikaci s onim routerem, ne ostatnimi zarizenimi v te siti. A muj dojem je, ze o ty ostatni zarizeni jde zejmena.

Re: DHCPD vs. ARP 30.7.2010 20:22
Petr Martinek

K obranně proti přesměrování síťového provozu přes útočníkův počítač není nutné nastavovat statické ARP tabulky u všech počítačů v síti.

Vysvětlím:

Aby se útočníkovi mohl útok povést, musí "nakecat“ počítači, který chce odposlechnout, že jeho MAC adresa je stejná jako MAC adresa brány, a bráně "nakecá“, že MAC adresa oběti je stejná, jako jeho MAC. Tudíž skrz záškodníka proudí veškerá komunikace mezi obětí a okolní sítí. Když se ale brána (router) naočkuje statickým ARP záznamem, potom to útočníkovi brána "nesežere“. Ovšem, že počítači, který chce útočník odposlouchávat, může změnit ARP tabulku, ale už tím nedosáhne toho, že síťový provoz přemostí přes sebe. Oběť toto zaregistruje tak, že jí najednou přestane fungovat internet a veškerá komunikace s počítači v síti, tudíž "zbystří“ a může to začít nějak řešit, třeba dá vědět správci, který může z ARP tabulky (v Linuxu např. příkazem ARP) zjistit MAC adresu útočníka a při rychlém jednání může dokonce útočníka chytit při činu.

Samozřejmě je pravda, že naočkovat všechny PC v síti statickou ARP tabulkou je dobrá věc. Bohužel s tímto počinem nemám dobré zkušenosti, také myslím, že by to bylo zbytečně moc obtížné. Např. v síti, která obsahuje PC s různými OS a další síťové prvky, třeba tiskárny, skenery, síťové disky... (je to můj názor, třeba to pro vás jde udělat nějak jinak, líp)

Ještě chci prohodit takovou malou poznámku (můj postřeh).
Statický ARP záznam má přednost před tím dynamickým (který si brána zjišťuje sama). Tudíž útočníkův pokus přebít ho jiným záznamem (s stejnou MAC a odlišnou IP) se nepovede.

Re: DHCPD vs. ARP 31.7.2010 10:58
Radim Kolář

Zapominate na to, ze pocitace nekomunikuji s MAC adresou routeru, ale s jeho IP adresou. Kdyz nemaji statickou ARP tabulku tak jeho MAC adresu neznaji a zjistuji ji pomoci ARP.

Odposlouchavat komunikaci muzete i bez hrani s IP/MAC jednak se da podrvhnout DHCP odpoved a poslat sama sebe jako router, coz temer vzdy vyjde protoze ISC DHCPD je pomaly a jednak proste preplnit MAC pamet switche a on se zacne chovat jako hub.

Navic pocitace spolu komunikuji pres router jen kdyz jsou v jinych sitich, jinak jedou primo.

Ona se sit tedy na L2 moc zabezpecit ani neda z duvodu snadne menitelnosti MAC adres, musi byt alespon vazane MAC adresy na porty na switchi. Nekdo to sice takhle zabezpecuje, ale nejsem moc presvedcen zda je to dobry napad protoze se mi nelibi vynalozena prace vs vysledny efekt. Nasadit IPSEC je mene prace a efekt je lepsi.

Re: DHCPD vs. ARP 31.7.2010 11:21
Petr Martinek

Možná jste mě špatně pochopil. V článku jsem neřešil hraní si s IP a MAC adresami (i když je možné to tak nazvat), ale právě zamezení DHCP podvrhu.

Re: DHCPD vs. ARP 31.7.2010 20:55
Aleš Hakl

S tim, ze utocnik muze potvrhnout odpoved DHCP serveru toho mnoho nenadelate (krome toho, ze muzete dhcp nepouzivat).

druha vec je, ze vetsina tech "routeru" jako ten integrovany switch pouziva nejake monoliticke reseni od realteku, ktere je velmi snadne dostat do stavu, kdy se chova jako repeater nahodou, natoz umyslne.

Re: DHCPD vs. ARP 31.7.2010 20:47
Aleš Hakl

Takze se branie tomu, aby lokalni utocnik odposlouchaval/pozmenoval provoz smerem ven (predpokladejme do internetu). Problem tohoto je ten, ze je to na nic. Nedovedu si totiz predstavit situaci, kdy by vadilo, ze utocnik odposlechne paket ktery stejne predtim prisle/pote odejde do internetu, nebo nejake jine site o jejjiz bezpecnosti lze rict jenom to, ze zadna neni.

Re: DHCPD vs. ARP 1.8.2010 08:56
Petr Martinek

Samozřejmě s tím, že je pro zkušeného útočníka zbytečné odposlouchávat odchozí pakety do vnější sítě, máte pravdu.

Tento útok (pokud vím) se ale k jen tomuto účelu moc nepoužívá (i když podle mého názoru je to jedna z nejjednodušších metod, jak to provést). Po úspěšném provedení tohoto útoku, získá útočník naprostý přehled o veškeré komunikaci v síti, nebo jen vybraného počítače a protože může v reálném čase pozměňovat i vytvářet komunikaci s adresami jakéhokoli počítače v síti. Získá naprostou nadvládu nad celou síti, kterou většinou využije k nějakému "pořádnému“ útoku.

Síť se stane loutkou a on tím, kdo tahá za provázky.


KOMENTARZE
DHCP 22.7.2010 21:48 vama
DHCPD vs. ARP 25.7.2010 16:12 Aleš Hakl
  L Re: DHCPD vs. ARP 27.7.2010 00:10 Radim Kolář
    L Re: DHCPD vs. ARP 28.7.2010 16:08 Aleš Hakl
      |- Re: DHCPD vs. ARP 28.7.2010 22:33 Radim Kolář
      | L Re: DHCPD vs. ARP 30.7.2010 19:23 Aleš Hakl
      L Re: DHCPD vs. ARP 30.7.2010 20:22 Petr Martinek
        |- Re: DHCPD vs. ARP 31.7.2010 10:58 Radim Kolář
        | L Re: DHCPD vs. ARP 31.7.2010 11:21 Petr Martinek
        |   L Re: DHCPD vs. ARP 31.7.2010 20:55 Aleš Hakl
        L Re: DHCPD vs. ARP 31.7.2010 20:47 Aleš Hakl
          L Re: DHCPD vs. ARP 1.8.2010 08:56 Petr Martinek
Tylko zarejestrowani użytkownicy mogą dopisywać komentarze.
> Szukanie oprogramowania
1. Pacman linux
Download: 4851x
2. FreeBSD
Download: 9044x
3. PCLinuxOS-2010
Download: 8541x
4. alcolix
Download: 10916x
5. Onebase Linux
Download: 9631x
6. Novell Linux Desktop
Download: 0x
7. KateOS
Download: 6219x

1. xinetd
Download: 2383x
2. RDGS
Download: 937x
3. spkg
Download: 4693x
4. LinPacker
Download: 9918x
5. VFU File Manager
Download: 3173x
6. LeftHand Mała Księgowość
Download: 7171x
7. MISU pyFotoResize
Download: 2776x
8. Lefthand CRM
Download: 3540x
9. MetadataExtractor
Download: 0x
10. RCP100
Download: 3089x
11. Predaj softveru
Download: 0x
12. MSH Free Autoresponder
Download: 0x
©Pavel Kysilka - 2003-2024 | mailatlinuxsoft.cz | Design: www.megadesign.cz