Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 











Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum

Jazyk
Výber jazykovej mutácie:




* : Bezpecnost LAN sieti
Odoslané 14.10.2004 - 21:30
Odoslať článok priateľovi Odošli priateľovi  Formátuj pre tlač stránky Vytlač tento článok



Ako sa naburat do LAN siete. Su LAN siete bezpecne? Sposoby ochrany...

Vela ludi si mysli ze wifi siete su nezabezpecene a pocit bezpecia im dodava iba pevna kabelaz. Sak c sa mi moze stat ked som pripojeny kablom? Pokusime sa dokazat, ze tento pocit bezpecia je falosny.
Kedysi davno (vlastne tomu az tak davno nie je) sa pouzivali na sietach huby. Hub ako taky rozposielal prijate pcakety vsetkymi smermi cim za prve zahlcoval siet a za druhe sa packet dostal aj tam kam nemal. Navyse ho musela odmietnu klientska stanica co zatazovala samotny sietovy interfejs. Zoberme si klasicky priklad troch pocitacov A, B, C, ktore su pripojene hubom. Stroj A odoslal packet s poziadavkou na stroj B. Kedze hub nevedel kde sa nachadza stroj B poslal poziadavku aj stroju C. Tako sa lahko mohlo stat, ze stroj C videl celu komunikaciu medzi strojim A a B.
Tento problem sa "vyriesil" s prichodom switchov. Switch na rozdiel od hubu ma v sebe tabulku postavenu na zakladoch ARP. V tejto tabulke su uvedene mac adresy spolu s portami, za ktorymi sa nachdzaju. Ak teda na takomo switcho posle stroj A poziadavku na stroj B tuto poziadavku stroj C vobec neuvidi lebo sa k nemu nedostane. Na prvy pohlad jednoduche a genialne. Ale ako kazdy protokol aj tento ma bohuzial svoje slabiny.

Mac flooding
Prvou slabinou, ktora sa da zneuzit je tzv mac flooding. Princip mac floodinu je zalozeny na tom, ze ked switch nevie najst vo svojej tabulke zaznam o mac adrese prislusneho stroja a tym padom mu nevie priradit port vykona tzv. mac flooding, cize rozosle informacie pre istotu na vsetky porty (okrem portu, z ktoreho informacia prisla). Tym padom ju uvidia vsetky pocitace pripojene k tomuto switchu (aj ked len v ramci jednej VLAN). Tento fakt sa da zneuzit tym, ze velkost tabulky kazdeho switcha je fyzicky obmedzena. V pripade, ze utocnik robi na sieti mac flooding, cize zaplavuje switch falsonymi mac adresami tabulka sa postupne zaplni a vytlacia sa z nej udaje o skutocnych klientoch. Switch potom vykonava sam mac flooding nakolko nepozna uz ani skutocne mac adresy (uz ich nema v tabulke) a rozposiela informacie do vsetkych portov.
Moznost obrany je omedzit velkost tabulky switchu na urcity pocet mac adries. Napr mame k switchu pripojenych 5 klientov nastavime velkost tabulky na 5. Dalsia moznost je zablokovanie portu z ktoreho prichadza viac ako jedna mac adresa (v priapde, ze ide len o koncovych klientov).

Falosny DHCP server
Vacsina klientov ci uz linuxovych alebo windowsovych pouziva na svoje sietove nastavenie udaje, ktore ziska automatciky z dhcp serveru. Bohuzial dhcp protokol nie je nijako zabezpeceny, a preto nie je nic lahsie ako tuto skutocnost zneuzit. Klient nevie ktory dhcp server pouziva a ak mu pridelime spravnu ip a sprevadzkujeme komunikaciu medzi nami a skutocnym dhcp serverom mozno odchytavat celu komunikaciu. Staci aby klienti mali ako predvolanu branu prave nas falsony dhcp server (vdaka hlavne slepym windows nastaveniam si tazko nieco vsimeneme). Ak stanica posiela dat smerom von vsetky data idu cez utocnika. Data iduce smerom zo skutocnej brany idu sice priamo klientovi, ale i tuto komunikaciu je mozne presmerovat. Skutocny dhcp server je mozne dokonca aj vyfloodovat podobne ako mac tabulku switchov predstieranim, ze poziadavky prichadzaju z mnohych stanic.
Moznost obrany. Kvalitnejsie a drahsie switche umoznuju ochranu priamo dhcp protokolu a to tym, ze swicth povoli dhcp komunikaciu len na urcity port(y). Teroreticky sa da aj "skenovat" kazdy dhcp packet a na zaklade tabulky kde su previazane ip s dhcp serverom taketo packety filtrovat.

ARP protokol
Asi najrozsirenejsi typ utoku. Utocnik vysle do siete nevyziadany (gratuitous) arp packet cim "presvedci" stanicu, ze on je ta prava adresa kam ma ist packet. Takto potom cela komunikacia medzi satnicou a serverom ide najprv cez utocnika. Proti tomuto typu utoku sa dost tazko brani (niekedy nepomozu ani staticke arp zaznamy), ale jednym z prejavov moze byt napr nahla zmena fingerprintu servera. Sam som sa presvedcil na jedne vacsej sieti, ze ludia oblbnuti klikanim mi v pohode odklepli zmenu fingerprintu (sak neviem co to je dam yes;o)) a tymto sposobom som sa dokazal naburat aj do inak celkom bezpecneho scp ci ssh protokolu
Moznost obrany. Uzamknutim mac adresy na konkretny port, vytvorenim statickej arp tabulky na switchi s tym, ze ked mi z nejakeho portu zacnu chodit packety ktorych arp zaznam nebude sediet s mojim tento port zablokujem

Samozrejme su mozno aj dalsie typy utokov, ktore sa vsak vyzaduju uz vacsie znalosti, a preto je ich masivne rozsirenie nemozne. Namatkou....napadnutie STP protokolu, vyuzite port trunkingu, socialneho inzinierstva (napr vymena switch za vlastny;o))), vyuzitie chyb v protokoloch....fantazii sa medze nekladu. Da sa povedat, ze cely system zabezpecenia nepozostava z jednej casti ale tvori celok kde ak zlyha co i len jeden clanok su ostatne takmer zbytocne (teoria najslabsieho clanku).

P.S. Najlepsou alternativou ako sa vyhnut problemom alebo aspon zminimalizovat ich dopa je pouzitie manazovatelnych switchov, co vsak nie je casto financne mozne. Odporucam preto kupovat aj ked nemanazovatelne ale znackove switche a to nielen kvoli spolahlivosti, ale aj kvoli roznym vychytavkam. Napr na switchi istej nemenovanej znacky sa mi nepodarilo rozbehat arp poisoning a dodnes neviem preco;o).

 
· Viac o Dokumentácia
· Novinky od fleg


Most read story in Dokumentácia:
Bezpecnost LAN sieti


(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)