Кто-нибудь сталкивался с вороством в виде подставления айпи и мака "жертвы" и параллельной работы их обоих. Как с этим бороться?
>Кто-нибудь сталкивался с вороством в виде
>подставления айпи и мака "жертвы"
>и параллельной работы их обоих.
>Как с этим бороться?
статическая привязка ip<->mac
может осуществляться с помощью
arp -f <имя файла>
но сам понмаешь это неудобно при использовании
dhcp
А при чем тут статистическая привязка ip<->mac если вор меняет оба параметра подстраиваясь под жертву?
Может какие свитчи умеют привязывать к порту мак адрес ?
>А при чем тут статистическая привязка ip<->mac если вор меняет оба параметра подстраиваясь под жертву?
>Может какие свитчи умеют привязывать к
>порту мак адрес ?могут (модели не помню).. привяжи IP к определенному порту и все будет ладушки..
Может еще как вариант защиты организовывыть vpn от жертвы до гейтвея в инет ? Или меня не туда занесло ?
>Может еще как вариант защиты организовывыть
>vpn от жертвы до гейтвея
>в инет ? Или меня
>не туда занесло ?Народ, вы о чем? Ваще-то как я помню MAC - это некий уникалный АДРЕС. Он ПРОШИТ в сетевухе насмерть. Иначе бы у ВАС в сетке эти 2-а компа одновременно работать бы не смогли. Так что ни о какой подмене речи идти не может.
Почитайте тут : http://www.citforum.ru/nets/ip/glava_3.shtml
Высказываю мнение, что во FreeBSD MAC очень ловко ifconfig-ом меняется .. В том по моему и суть вопросса была, что 2 карточки с одинаковыми маками легко в сети уживаются.. получается одна невидимка(вор трафика) - и как это безобразие предотвратить :)
>Народ, вы о чем? Ваще-то как
>я помню MAC - это
>некий уникалный АДРЕС. Он ПРОШИТ
>в сетевухе насмерть.Как бы большинство современных карточек позволяет менять mac-address.
man ifconfig
>>Народ, вы о чем? Ваще-то как
>>я помню MAC - это
>>некий уникалный АДРЕС. Он ПРОШИТ
>>в сетевухе насмерть.
>
>Как бы большинство современных карточек позволяет
>менять mac-address.
>man ifconfig
Единственный действенный способ бороться с подменой IP и MAC адреса на одном сегменте сети - это свичи со жесткой привязкой маков к портам...
дороговато, однако....
Не - а если от жертвы до провайдера в локалке тунель поставить - вор туда же не сможет влезть или как ?
два выхода, на мой взгляд:
1. либо хороший свич с поддержкой VLAN и привязкой MAC к порту (у нас так сделано и работает!) в качестве вариантов - Intel 460T либо Allied Telesyn 8124 и старше... правда, добро не сертифицировано...
2. настраиваешь VPN между собой и клиентом - тоже неплохо, но мороки больше...
Народ, прощу прощения.. я ошибался.. тут давича вспомнил статью: Ложный ARP-сервер в сети Internet(хотя Intranet это тоже касается)http://bugtraq.ru/library/books/attack/chapter04/02.html
Почитайте, занятно :)
А чем в этом случае может помочь VPN ?
Что-то я не допонял...
Можно пару слов подробнее.
PPPoE вам поможет, делается авторизация по логину и паролю, и никаких привязок к IP
>А чем в этом случае может
>помочь VPN ?
>Что-то я не допонял...
>Можно пару слов подробнее.Ответ тут же рядом
http://bugtraq.ru/library/books/attack/chapter08/01.htmlКоротко напомним, что в главе 4 рассматривалась удаленная атака, использующая недостатки в механизме удаленного поиска на базе протокола ARP. В том случае, если у сетевой ОС отсутствует информация о соответствии IP- и Ethernet-адресов хостов внутри одного сегмента IP-сети, данный протокол позволяет посылать широковещательный ARP-запрос на поиск необходимого Ethernet-адреса, на который атакующий может прислать ложный ответ, и в дальнейшем весь трафик на канальном уровне окажется перехваченным атакующим и пройдет через ложный ARP-cepвер. Очевидно, что для ликвидации данной атаки необходимо устранить причину ее возможного осуществления, которая заключается в отсутствии у ОС каждого хоста необходимой информации о соответствующих IР-и Ethernet-адресах всех остальных хостов внутри данного сегмента сети. Таким образом, самое простое решение - создать сетевым администратором статическую ARP-таблицу в виде файла (в ОС UNIX обычно /etc/ethers), куда внести необходимую информацию об адресах. Данный файл устанавливается на каждый хост внутри сегмента, и, следовательно, у сетевой ОС отпадает необходимость в использовании удаленного ARP-поиска. Правда, отметим, что ОС Windows 95 это не помогает.
--------------------
Проще говоря, тебя надо привязать MAC и IP. Либо как вариант пользовать /etc/ethers либо что-то подобное. Второй выход - SWITCH (не HUB), в нем ты можешь явным образом прописать всю таблицу связей, что позволит при данной атаке просто блокировать хост.
Что касается /etc/ethers - "man arp" (там где -f filename, --file filename)
И еще "man ethers"Удачи!
>>А чем в этом случае может
>>помочь VPN ?
>>Что-то я не допонял...
>>Можно пару слов подробнее.
>
>Ответ тут же рядом
>http://bugtraq.ru/library/books/attack/chapter08/01.html
>
>Коротко напомним, что в главе 4
>рассматривалась удаленная атака, использующая недостатки
>в механизме удаленного поиска на
>базе протокола ARP. В том
>случае, если у сетевой ОС
>отсутствует информация о соответствии IP-
>и Ethernet-адресов хостов внутри одного
>сегмента IP-сети, данный протокол позволяет
>посылать широковещательный ARP-запрос на поиск
>необходимого Ethernet-адреса, на который атакующий
>может прислать ложный ответ, и
>в дальнейшем весь трафик на
>канальном уровне окажется перехваченным атакующим
>и пройдет через ложный ARP-cepвер.
>Очевидно, что для ликвидации данной
>атаки необходимо устранить причину ее
>возможного осуществления, которая заключается в
>отсутствии у ОС каждого хоста
>необходимой информации о соответствующих IР-и
>Ethernet-адресах всех остальных хостов внутри
>данного сегмента сети. Таким образом,
>самое простое решение - создать
>сетевым администратором статическую ARP-таблицу в
>виде файла (в ОС UNIX
>обычно /etc/ethers), куда внести необходимую
>информацию об адресах. Данный файл
>устанавливается на каждый хост внутри
>сегмента, и, следовательно, у сетевой
>ОС отпадает необходимость в использовании
>удаленного ARP-поиска. Правда, отметим, что
>ОС Windows 95 это не
>помогает.
>
>--------------------
>Проще говоря, тебя надо привязать MAC
>и IP. Либо как вариант
>пользовать /etc/ethers либо что-то подобное.
>Второй выход - SWITCH (не
>HUB), в нем ты можешь
>явным образом прописать всю таблицу
>связей, что позволит при данной
>атаке просто блокировать хост.А по моему тебя не туда занесло - ты говоришь про защиту от arp пойзонинга, а топик совсем про другое - про смену пары тсп/мак котороя не отслеживается. А vpn поможет наличием ключа для шифрования, которого вор не знает и соответственно не может влезть в канал и скачать твой трафик.
часто эта тема обсуждается на www.nag.ru
Две машины похоже могут работать в одном сегменте даже если mac+IP совпадают. Решения или свичи с VLAN, они дороги, или VPN (ssh, IPSec) ....
>часто эта тема обсуждается на www.nag.ru
>
>Две машины похоже могут работать в
>одном сегменте даже если mac+IP
>совпадают. Решения или свичи с
>VLAN, они дороги, или VPN
>(ssh, IPSec) ....
1 вариант - выдергивая провода из свитча находишь злоумышленника
2 вариант - ставишь прокси, обязательно авторизацию с паролем, прямую маршрутизацию режешь. А жертве обьясняешь, что если он пароль поведает кому-нибудь или разрешит ставить прокси на своей машине то и платить будет сам.
ЗЫ. таких специалистов запросто меняющих Ай-пи и Маки наверняка 1 - 2 не больше на всю контору. Можно и просто наехать