- RE: Кто как борется со снифирами ??, junior, 08:31 , 17-Янв-03 (1)
>:( Как победить ? Использовать свитчи вместо хабов в сети. Жестко наказывать за использование перехватчиков пакетов. Запустить демон, который будет сканить сеть в поисках сетевух, которые пашут в "неразборчивом" режиме. Удачи.
- RE: Кто как борется со снифирами ??, McFly, 14:37 , 17-Янв-03 (2)
>>:( Как победить ? >Использовать свитчи вместо хабов в сети. >Жестко наказывать за использование перехватчиков пакетов. >Запустить демон, который будет сканить сеть в поисках сетевух, которые пашут в >"неразборчивом" режиме. >Удачи. что за демон (как называется)если можно подробнее. спасибо.
- RE: Кто как борется со снифирами ??, junior, 16:04 , 17-Янв-03 (3)
>что за демон (как называется)если можно подробнее. Есть в сети исходники antisnif-а, это конфигурится демон, который будет сканить заданую сетку на предмет наличия работающей в "неразборчивом" режиме сетевухи. Можно к нему привязать карательный скриптик, который вышебет такую "тачку" в "синий экран" если это Винда и изолирует на свитче (если он управляется по сетке). Тут всё зависит от фантазии администратора и его отношению к таким "хацкерам":)) Но лучше пресекать такого "умельца" для начала административным способом, например лишить его инета на неделю:)) А вообще-то если у тебя все будут на свитчах завязаны, то просто не сможет получить никаких результатов.
- RE: Кто как борется со снифирами ?? - Свитч - не решение !!!, Stealth, 20:09 , 18-Янв-03 (4)
Если бы все было так просто. У меня стоит такой маленький 8 портовый 3Com OfficeCOnnect Switch.Так вот если кормить его меняющимися MAC'aми то он будет работать как хаб (повторитель). А программ, которые это делают шас навалом для атак на свитчи, к примеру последняя версия Cain. Да если вы владелец крутого аппарата (типа 3Com 4005) то вам боятся нечего, если тупая не управляемая игрушка за 100 $ - не расчитывайте на безопасность на 2 уровне.
- RE: Кто как борется со снифирами ?? - Свитч - не решение !!!, junior, 07:56 , 20-Янв-03 (5)
>Если бы все было так просто. У меня стоит такой маленький 8 >портовый 3Com OfficeCOnnect Switch.Так вот если кормить его меняющимися MAC'aми то >он будет работать как хаб (повторитель). Никто и не говорит, что это настолько просто. Если Ваш подозреваемый прекрасный специалист, то ему практически ничего не будет преградой. Смена MAC-адресов под "виндой" немного сложнее, чем под линухом. Если ваш пользователь может решать такие задачи ОСОЗНАННО, то к нему проще будет применить административные меры, вплоть до отключения от инета на определённый срок. У меня в сети есть такой "гений", который пускался на всякие ухищрения, но его целью, правда, было получить неконтролируемый доступ в инет, в обход ограничений. Причём использовал он для этого линух (как вторую операционку) и пытался через себя проксировать остальных любителей халявки. Всё решилось ужесточением прав доступа к серверу для выхода в инет (IP+MAC+аутентификация по паролю+TimeACL+redirector), то есть выход стал возможным только после ВСЕХ совпадений ПОЛНОСТЬЮ. Иначе - созерцание своего пупка для медитации. То же самое касается и снифирения трафика. Обычно это делается для перехвата паролей. Чтобы убрать искушение - я перевёл почтовый сервер на полное шифрование сеансов как smtp, так и pop/imap. В итоге ни один снифер не шелохнулся, когда идёт сеанс аутентификации на почту. А если есть внешние ящики, то проблема решается переадресовкой с внешних ящиков на Ваш почтовый сервер.>А программ, которые это делают >шас навалом для атак на свитчи, к примеру последняя версия Cain. >Да если вы владелец крутого аппарата (типа 3Com 4005) то вам >боятся нечего, если тупая не управляемая игрушка за 100 $ - >не расчитывайте на безопасность на 2 уровне. Безопасность обеспечивается, как я уже говорил, не только подбором железа. Отличный результат даёт административная взбучка, показательная казнь, так сказать. Имеете доказательства - объясните Вашему начальству, что такие действия могут привести к утечке конфидециальных данных, просмотру личной переписке(того же начальника) и т.д. Попугайте немного в конце-концов.. Вы удивитесь, насколько это результативно :) А способов выявить карты, работающие в "неразборчивом" режиме тоже хватает. В крайнем случае подымите на старой машине маршрутизатор и воткните в него несколько сетевух, да пустите своего "хацкера" через него с жёсткой привязкой MAC+IP на конкретную карточку. И запустите там периодическую проверку на "неразборчивый" режим. А что уже дальше делать - Вам решать. В итоге грамотно настроеный маршрутизатор на базе линха даст Вам гораздо больше возможностей и мыслимых вагод, чем крутой "циск". Удачи.
|