Pary_anime
Witam
Jeste¶cie zadowoleni z us³ug SPRAY’a
Ja nie i dlatego ten tekst to przejaw mojego gniewu i niezadowolenia z monopolistycznych praktyk.
Snifowanie w sieci SPRAY’a
Aby zobaczyæ jaki poziom bezpieczeñstwa oferuje nam SPRAY proponuje pobawiæ siê linuxem.
Najlepszy bêdzie RED HAT 9.0, ale mo¿e byæ te¿ Mandrake 9.x a dla mniej wtajemniczonych polecam dystrybucje AUROX 9.0 bêd±c± spolszczon± wersj± RED-HAT’a 9.0
Po wstêpnej instalacji i konfiguracji instalujemy program Dsniff.
Dsniff mo¿emy ¶ci±gn±æ, w postaci pliku binarnego przeznaczonego dla systemu Red Hat Linux w wersji 9.0, ze strony:
http:// brandonhutchinson.com/dsniff-2.3-1_rh9.i386.rpm
Instalacja pakietu dokonujemy poleceniem:
# rpm –ivh dsniff-2.3-1_rh9.i386.rpm
Adres domowy programu dsnitf, sk±d mo¿emy ¶ci±gn±æ jego
¼ród³a i dokumentacjê, to:
http://wwwmonkey.org/~dugsong/dsniff/
Dsniff
Dsniff to pakiet narzêdzi przeznaczonych do penetrowania sieci lokalnych.
Programy wchodz±ce w sk³ad pakietu Dsniff
Arpspoof - Przekierowuje pakiety wysy³ane przez nadawcy do adresata tak, ze po drodze przechodz± one przez komputer intruza. Dziêki temu mo¿liwe jest sniffowanie w sieciach z prze³±cznikami.
Dnsspoof - Wysy³a sfa³szowane odpowiedzi na zapytania DNS (przydatne przy atakach typu man in the middle).
Dsniff - Sniffer wyposa¿ony w mo¿liwo¶æ interpretowania wielu popularnych protokó³ów, takich jak FTP, Telnet, SMTP, HTTP, POP, poppas, NNTP, IMAP, SNMP, LDAP, Rlogin, RIP, OSPF, PPTP MS
CHAP, NFS, VRRP, YP/NIS, SOCKS, X11, CVS, IRC, AIM, ICQ, Napster, PostgreSOL, Meeting, Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB, Oracle SQL Net, Sybase.
Filesnarf - Narzêdzie zapisuj±ce pliki przesy³ane przy u¿yciu protoko³u NFS.
Macof - Narz±dzie s³u¿±ce do przepe³niania pamiêci switcha (MAC flooding). Powoduje to, ¿e switch zaczyna dzia³aæ jak zwyk³y hub - co u³atwia sniffowanie.
Mailsnarf - Zapisuje emaile przesy³ane przy u¿yciu protoko³ów POP i SMTP.
Msgsnarf - Zapisuje tre¶ci wiadomo¶ci przesy³anych przy u¿yciu komunikatorów internetowych i IRC-a
Tcpkill - Zamyka po³±czenia TCP.
tcpnice – Zwalnia (zmniejsza szybko¶æ) po³±czenia TCP
urlsnarf - Wypisuje adresy URL znalezione w sniffowanym ruchu HTTP.
webspy - Przekazuje znalezione adresy URL do lokalnej przegl±darki Netscape, pozwalaj±c na ¶ledzenie (w czasie rzeczywistym) stron, po których surfuje ofiara.
sshmitm - Program bêd±cy serwerem po¶rednicz±cym dla po³±czeñ SSH (jednocze¶nie je snifuje).
webmitm - Program bêd±cy serwerem po¶rednicz±cym dla po³±czeñ HTTP i HTTPS przekierowanych przez dnsspoof (jednocze¶nie je snifuje).
Jednym z narzêdzi wchodz±cych w sk³ad pakietu jest sniffer dsniff. Aby rozpocz±æ przy jego u¿yciu nas³uchiwanie na interfejsie eth0 nale¿y wydaæ polecenie:
$ dsniff –i eth0
gdzie opcja -i eth0 oznacza wybór interfejsu eth0.
Sniffer dsniff potrafi parsowac wiêkszo¶æ popularnych pakietów. Przyk³adowo, je¶li po wydaniu polecenia:
$ dsniff –i eth0
spróbujemy (na tym samym komputerze) ¶ci±gn±æ pocztê przy u¿yciu protoko³u POP, zobaczymy komunikat podobny do poni¿szego:
dsniff: listening on eth0
----------------------------------
08/03/03 15:00:53 tcp 192.168.0.181.32778 ->
192.168.0.1.110 (pop)
user piotr
pass twojehas³o
UWAGA : w opisie podano numerki IP z puli niepublicznej w te miejsca nale¿y wpisaæ numerki swoje i ofiary, a w niektórych przypadkach bramy przypominam BRAMA SPARY 81.210.48.1 – zgodnie z opisem.
Jak widaæ dsniff rozumie protokó³ POP, dziêki czemu nie jeste¶my zalewani nieinteresuj±cymi nas pakietami, a widzimy tylko to, o co nam chodzi - nazwê u¿ytkownika i has³o.
Oczywi¶cie dsniff widzi tylko te pakiety, które trafiaj± do naszej karty sieciowej. Chc±c u¿ywaæ programu dsniff w lokalnej sieci ze switchami, nale¿y u¿yæ arpspoof, aby spowodowaæ, ze pakiety wêdruj±ce od nadawcy do adresata bêd± przep³ywaæ przez nasz komputer.
Przyk³adowo – je¶li chcemy pods³uchiwaæ ruch miêdzy komputerem o adresie 192.168.0.19 a pewnym hostem w Internecie, przechodz±cy przez bramê 192.168.0.1, nale¿y najpierw wydaæ polecenie:
# echo 1 > /proc/sys/net/ipv4/ipforward
W ten sposób w³±czamy forwardowanie pakietów IP -jest to konieczne, aby pakiety, które ofiara wysy³a do nas (fa³szywie wierz±c, ze jeste¶my brama o adresie logicznym 192.168.10.1) mog³y byæ przesy³ane dalej (do prawdziwej bramy).
Nastêpnym poleceniem, które nale¿y wydaæ, jest:
# arpspoof –t 192.168.0.19 192.168.0.1
Polecenie to powoduje, ze komputer 192.168.0.19 bêdzie wysy³a³ na nasz adres fizyczny pakiety zaadresowane do komputera o adresie logicznym 192.168.0.1
Nastêpnie, nie przerywaj±c pracy poprzedniego polecenia, wpisujemy (w drugiej konsoli):
# arpspoof –t 192.168.0.1 192.168.0.19
W ten sposób mówimy bramie (192.168.0.1) ¿e nasze IP to 192.168.0.19.
Od tej pory komputer 192.168.0.19 chc±c wys³aæ pakiet do bramy (192.168.0.1) bêdzie wysy³aæ go do nas. My pods³uchamy go (oczywi¶cie musimy w tym celu uruchomiæ dsniff), a nastêpnie prze¶lemy do prawdziwej bramy. Podobn± drog± odbywaæ bêd± pakiety p³yn±ce w druga stronê.
Sniffing w ethernecie z prze³±cznikami
Ethernet jest technologi±, czy dok³adniej: rodzina protoko³ów, o logicznej topologii magistrali. Oznacza to, ze informacja (ramka) wys³ana przez nadawcê trafia do wszystkich odbiorców, przy czym odczytuje j± jedynie odbiorca, którego adres sprzêtowy (MAC address) jest zgodny z adresem przeznaczenia.
W przypadku fizycznej topologii magistrali (np. ethernet 10Base2 albo 10Base5) jest to do¶æ oczywiste, podobnie natomiast wygl±da to tez w przypadku, kiedy siec zbudowana jest w fizycznej topologii gwiazdy (na przyk³ad 10baseT albo 100baseTX). Zadaniem koncentratora (huba) umieszczonego w centralnym punkcie rozdzielczym sieci jest wzmacnianie otrzymanego sygna³u i przekazywanie go na wszystkie swoje porty (dla nieuwa¿nych: pisz±c portach mam na my¶li gniazdka, w które wk³ada siê kabelki, a nie sk³adowe socketów TCP).
Prze³±cznik (switch) jest urz±dzeniem drugiej warstwy modelu referencyjnego ISO/OSI. Od koncentratora (huba) ró¿ni siê, z grubsza rzecz bior±c, tym, ze potrafi nauczyæ siê adresów MAC urz±dzeñ pod³±czonych do swoich poszczególnych portów i przekazywaæ nadchodz±ce ramki tylko do tego portu, do którego pod³±czone jest urz±dzenie o odpowiednim adresie fizycznym.
Switch ma wbudowana pamiêæ, w której przechowuje tablice adresów przypisanych do poszczególnych portów. Je¿eli na ktorym¶ z portów switcha pojawia siê ramka, switch odczytuje adres jej nadawcy i umieszcza w tablicy adresów jako adres przypisany do danego portu. Oczywi¶cie dopóki prze³±cznik nie nauczy siê, jakie adresy odpowiadaj któremu portowi, rozsy³a ramki zaadresowane do nieznanego urz±dzenia na wszystkie swoje porty - zupe³nie jak hub.
Pojemno¶æ pamiêci przeznaczonej na adresy wynosi zazwyczaj od dwóch do o¶miu kilobajtów (w zale¿no¶ci od modelu switcha co, bior±c pod uwagê fakt, ze adres MAC ma d³ugo¶æ 6 bajtów, pozwala na zapamiêtanie kilkuset adresów. Oczywi¶cie standardowe switche maj± zazwyczaj kilkana¶cie portów natomiast wiêksza pamiêæ jest potrzebna w przypadku ³±czenia ich ze sob± w sieæ o topologii drzewa.
Zastosowanie prze³±czników drugiej warstwy uniemo¿liwia oczywi¶cie stosowanie klasycznych metod sniffingu (polegaj± one przestawieniu karty sieciowej w tryb promiscuous, , to jest taki, w którym karta ignoruje adres odbiorcy zapisany w ramce i przetwarza wszystkie ramki, ktore pojawia siê w medium). Powód jest prosty - do interfejsu komputera dochodz± tylko ramki przeznaczone dla niego i ramki rozg³oszeniowe (po angielsku broadcast - mówimy, ¿e switch rozdziela domeny kolizyjne, nie rozdziela natomiast domen rozg³oszeniowych). Istniej± jednak metody pozwalaj±ce na pods³uch informacji równie¿ w sieciach prze³±czanych.
MAC flooding (zalewanie ramkami z fa³szywymi adresami MAC)
Pierwsza i - uprzedzaj±c fakty - najmniej skuteczna metod± jest MAC flooding, czyli zalewanie switcha du¿± liczb± ramek ze sfa³szowanym adresem ¼ród³owym (nadawcy). Oczywi¶cie po pewnym czasie dochodzi do przepe³nienia tablicy adresów. Nie umiej±c prawid³owo nauczyæ siê nowych adresów pochodz±cych od rzeczywi¶cie dzia³aj±cych w sieci komputerów switch zaczyna rozsy³aæ nadchodz±ce ramki zaadresowane do nieznanych mu adresatów na wszystkie swoje porty. W przypadku porz±dnych switchy mo¿na w ten sposób co najwy¿ej zafloodowac port, z którego jest prowadzony atak, albowiem ka¿dy z portów ma przydzielony osobny fragment tablicy adresów.
Tañsze i starsze modele prze³±czników maj± wspó³dzielon± pamiêæ dla wszystkich portów, zatem zalewanie jednego z nich koñczy siê w miarê szybk± zamiana switcha w huba. Dalej mo¿na ju¿ stosowaæ metody pods³uchu znane z klasycznego ethernetu.
Oczywi¶cie prze³±cznik co pewien czas od¶wie¿a informacje (inaczej nie mogliby¶my nawet przepi±æ dzia³aj±cego komputera z portu do portu), wiêc proces zalewania musi byæ prowadzony w sposób ci±g³y, przy wykorzystaniu do¶æ wydajnego komputera, a i to nie gwarantuje odebrania stu procent pods³uchanych wiadomo¶ci. W koñcu ka¿da wiadomo¶æ (nawet ta, która uda³o siê pods³uchaæ) niesie w sobie informacje o swoim nadawcy, a ta informacja powoduje przypisanie w switchu adresu ¼ród³owego do którego¶ z portów. Potrzeba pewnego czasu aby nap³ywaj±ce z floodingu ramki wypar³y tê informacjê z pamiêci prze³±cznika. Równie¿ od rozpoczêcia zalewania do wype³nienia tablic switcha musi up³yn±æ nieco czasu.
ARP spoofing (fa³szowanie pakietów ARP)
Druga metoda pods³uchiwania ramek w sieci prze³±czanej jest ARP spoofing. Metoda ta polega na wys³aniu fa³szywej ramki ARP Reply, z której komputery w sieci czerpi± informacjê na temat odwzorowania adresów logicznych (IP) na adresy fizyczne (MAC). Na broadcastowe zapytanie klienta o adres IP (dajmy na to bramy do Internetu) odpowiada komputer u¿yty do ataku (rzecz jasna odpowiada podaj±c nieprawdziwa informacjê, z której wynika, ze fizyczny adres bramy to adres jego karty sieciowej). Dalej komunikacja odbywa siê ju¿ na linii pirat - klient. Ten ostatni przekonany jest oczywi¶cie, ze wysy³a ramki pod w³a¶ciwy adres (fizyczny), a jedyne, o co ten pierwszy musi zadbaæ, to przekazywanie zawartych w nich pakietów tam gdzie trzeba (do rzeczywistej bramy). Komputer pirata dzia³a tu wiêc jak swoisty pseudorouter drugiej warstwy. Mamy tu pe³n± analogie do ataków typu Man In The Middle stosowanych w warstwach wy¿szych (przez fa³szowanie odpowiedzi dnsowych).
Duplikacja adresu fizycznego
Oczywi¶cie mo¿na posun±æ siê. jeszcze dalej i pod³±czyæ do dwóch portów switcha dwa komputery o identycznych adresach fizycznych. Najprostszym w realizacji sposobem osi±gniêcia takiego efektu jest programowa zmiana adresu MAC interfejsu sieciowego. Opcjê te umo¿liwia wiele kart sieciowych (z kartami opartymi na RTL8139D w³±cznie) i systemów operacyjnych (z Windows 2000 i oczywi¶cie Linuksem). Nie jest to metoda do koñca pozbawiona wad i oczywi¶cie mo¿na zamiast tego podsy³aæ po prostu odpowiednio spreparowane ramki, nie zmieniaj±c rzeczywistego adresu komputera u¿ytego do ataku.
Z punktu widzenia switcha jest to równowa¿ne sytuacji, w której do dwóch portów jest przy³±czone to samo urz±dzenie. W normalnej sieci takie sytuacje raczej nie maja miejsca (wyj±wszy do¶æ rzadki przypadek pêtli mostowej). Mo¿e siê jednak zdarzyæ, ¿e kto¶ w³a¶nie zajmuje siê przepinaniem komputerów z portu do portu, switch wiêc przez pewien czas bêdzie przesy³a³ ramki na oba porty.
Poniewa¿ tak siê. sk³ada, ¿e wiêkszo¶æ transmisji w sieci ma charakter dialogu, kiedy na jednym z portów pojawi siê ramka z odpowiedzi± (zawieraj±c± odpowiedni adres MAC) - wpis dotycz±cy drugiego portu zostanie usuniêty a transmisja nañ - zaniechana. Aby zatem utrzymaæ switcha w stanie nie¶wiadomo¶ci nale¿y co jaki¶ czas podsy³aæ mu ramkê z zespoofowanym adresem MAC.
Je¿eli wykorzystali¶my programow± zmianê adresu karty najpro¶ciej to osi±gn±æ choæby uruchamiaj±c w tle pinga na dowolny adres. Oczywi¶cie tego typu kombinacja pozwala jedynie na przechwycenie informacji docieraj±cych do jednej strony dialogu (tej, której MAC jest na¶ladowany) ale mo¿e to okazaæ siê wystarczaj±ce do na przyk³ad przechwycenia hase³. Je¿eli nie - nale¿y postaraæ siê o drugi komputer, druga kartê sieciow±, albo spoofowac naraz oba adresy, z tym, ze tu ju¿ nie bêdziemy mogli siê pos³u¿yæ standardow± programowa zmiana MAC adresu karty w Windows.
Nie trzeba dodawaæ, ze adres logiczny (IP) komputera u¿ytego do ataku powinien byæ inny ni¿ adres logiczny komputera, pod który ten siê podszywa, albo przynajmniej nale¿y na nim wy³±czyæ obs³ugê odpowiedniej czê¶ci protoko³ów, w przeciwnym bowiem razie mo¿e doj¶æ do ro¿nych dziwnych sytuacji, na przyk³ad klient zamiast nawi±zaæ po³±czenie z komputerem pods³uchiwanym nawi±¿e je z pods³uchuj±cym.
Trochê praktyki dla wtajemniczonych
tcpdump –i etch0 host 192.168.0.3
Skrypt floduj±cy:
for zm_8 in 0 1 2 3 4 5 6 7 8 9 a b c d e f
do
for zm_9 in 0 1 2 3 4 5 6 7 8 9 a b c d e f
do
for zm_10 in 0 1 2 3 4 5 6 7 8 9 a b c d e f
do
for zm_11 in 0 1 2 3 4 5 6 7 8 9 a b c d e f
do
for zm_12 in 0 1 2 3 4 5 6 7 8 9 a b c d e f
do
ifconfig eth0 down
ifconfig eth0 hw ether 00:00:0$ (zm_8) : $ (zm_9) : $ (zm_10) : $ (zm_11) : $ (zm_12) up
arp –S 192.168.0.12 00:05:05:05:6C:05
ping 192.168.0.12 –c 1 &
done
done
done
done
done
echo $ (zm)
ARP-spoofing
Do podszywania ARP u¿ywa siê narzêdzia konsolowego o nazwie arpspoof wchodz±cego w sk³ad pakietu dsniff. Pakiet dsniff jest przeznaczony dla systemów z rodziny ; Unix / Linux. Program arpspoof wywo³ujemy w nastêpuj±cy sposób:
Arpspoof [-i interfejs] [-t ip_celu] ip_spoof
gdzie:
interfejs - interfejs, przy pomocy którego program bêdzie wysy³a³ fa³szywe informacje
ip_celu - komputer, którego transmisje bêdzie przechwytywana. W przypadku wywo³ania programu bez parametru fa³szywe informacje bêda rozsy³ane do wszystkich komputerów z sieci lokalnej,
ip_spoof - adres, pod który program bêdzie siê podszywa³, np. adres IP bramy do Internetu.
Na komputerze o adresie logicznym 192.168.0.3 uruchomiono program arpspoof z parametrami:
# arpspoof –i eth0 –t 192.168.0.2 192.168.0.1
Program wy¶wietla informacje o generowanych ramkach
Aby sprawdziæ jak wygl±da lokalna tablica ARP komputera o adresie 192.168.02 mo¿na pos³u¿yæ siê poleceniem arp:
#arp –a
(192.168.0.1) at 00:00:01:02:03:04 [ether] on eth0
W tym przypadku wszystkie ramki wygenerowane do Internetu przez komputer 192.168.0.2 bêd± trafia³y do komputera 192.168.0.3 zamiast do bramki internetowej.
Oczywi¶cie aby atak pozosta³ niezauwa¿ony musimy jeszcze wszystkie ramki z komputera 2 przesy³aæ na w³a¶ciw± bramê do Internetu. Aby to zrobiæ nale¿y na komputerze 192.168.0.3 w³±czyæ przekazywanie pakietów, na przyk³ad za pomoc± polecenia:
echo 1 > /proc/sys/net/ipv4/ip_forward
Od tego momentu mo¿na pods³uchiwaæ ruch generowany do Internetu przez komputer 2, nie zrywaj±c transmisji przez niego nawi±zywanych. Ramki po dotarciu do komputera 3 bêd± przekierowane do w³a¶ciwej bramy, dziêki czemu u¿ytkownik komputera 2 nie zauwa¿y ¿adnych anomalii.
UWAGA: Tekst zosta³ umieszczony w celach edukacyjnych, aby zapoznaæ u¿ytkowników z jak dzia³a internet w SPRAY’u i jaki niesie za sob± ryzyko. Ponadto Tego typu dzia³alno¶æ jest niezgodna z prawem i autor nie ponosi ¿adnej odpowiedzialno¶ci w przypadku u¿ycia tych technik. Tego typu techniki s± powszechnie opisywane w internecie, wiêc nie widzê powodu aby i klienci SPRAY.a nie mogli siê z nimi zapoznaæ.
Aby zachowaæ równowagê powiem teraz jak przeciwdzia³aæ z tego rodzaju atakami? W przeciwieñstwie do klasycznego sniffingu pods³uch w sieciach prze³±czanych opiera siê na technologiach aktywnych, zatem jego wykrycie powinno byæ prostsze. Administratorzy dysponuj±cy urz±dzeniami zarz±dzanymi, z wbudowana mo¿liwo¶ci± analizy ruchu sieciowego, maja oczywi¶cie u³atwione zadanie. Nawet jednak dysponuj±cy ograniczonymi zasobami administrator nie stoi na przegranej pozycji. Zamiast Carnivore'a mo¿e wystarczyæ zwyk³y sniffer i koncentrator. Podejrzany komputer mo¿na przy³±czyæ razem ze stacja monitoruj±c± do koncentratora, a dopiero ten do prze³±cznika i w ten sposób uzyskaæ pe³na informacjê o jej aktywno¶ci. Niezale¿nie od u¿ytego sprzêtu stosunkowo ³atwo oczywi¶cie wykryæ dowolny flooding - du¿e obci±¿enie sieci, du¿a liczba wysy³anych ramek na danym porcie to zjawiska, którym nale¿y siê bacznie przyjrzeæ.
Co do ARP spoofingu to naj³atwiej oczywi¶cie sprowokowaæ potencjalnego agresora do wys³ania fa³szywej ramki (ka¿dy porz±dny administrator rzecz jasna trzyma u siebie w kasie pancernej zeszyt z zapisanymi adresami MAC wszystkich kart sieciowych w ca³ej sieci, odpowiadaj±cymi im adresami IP poszczególnych urz±dzeñ w których te karty s± zamontowane i informacja, na którym porcie switcha dane urz±dzenie siê znajduje. Sprawa nieco komplikuje siê, gdy agresor zamierza pods³uchiwaæ nie pierwszy z brzegu, ale jaki¶ konkretny komputer, a na zapytania ARP wysy³ane z komputera administratora nie odpowiada. Pewnym rozwi±zaniem jest wysy³anie zapytania ARP z zespoofowanym adresem ¼ród³owym udaj±cym adres potencjalnej ofiary. Switch wprawdzie przê¶le odpowiedz tam gdzie trzeba, czyli do portu, do którego przypisany jest MAC adres tego¿ komputera, ale w³a¶nie przed chwila (z zespoofowanej ramki) dowiedzia³ siê, ¿e tym portem jest port, pod który pod³±czony jest komputer administratora. Na szczê¶cie (w tym wypadku) czas aktualizacji tablic switcha waha siê w granicach od kilku do kilkunastu sekund, za¶ odpowiedz ARP w ¶rednio obci±¿onej sieci powinna nadej¶æ wcze¶niej. Oczywi¶cie je¶li otrzymamy dwie odpowiedzi ARP (od pirata i od bramy) to mamy ju¿ winnego.
Stosunkowo najtrudniej wykryæ sytuacjê, w której w sieci funkcjonuj± dwa identyczne komputery. Oczywi¶cie je¿eli adresy IP bêd± ro¿ne, to wystarczy przepytaæ cala siec (za pomoc± protoko³u ARP) i sprawdziæ, czy dwie maszyny nie przyznaj± siê do tego samego adresu (fizycznego). Je¶li adresy IP bêd± takie same i na komputerze agresora nie zostan± zablokowane us³ugi odpowiedzi (np. ICMP Echo) to wskazówka mo¿e byæ otrzymywanie podwójnych odpowiedzi na wystane pakiety. Je¿eli agresor zablokowa³ wszystkie mo¿liwe protoko³y udzielaj±ce odpowiedzi (ARP, RARP, TCP, ICMP) albo po prostu nie uruchomi³ na swoim komputerze stosu protokó³ów TCP/IP-w koñcu do sniffingu tego nie potrzeba, to mo¿na skorzystaæ z faktu, ze w czasie prowadzenia ataku musi w sposób ci±g³y informowaæ switcha o tym, ¿e równie¿ na jego porcie znajduje siê adres MAC taki jak adres pods³uchiwanego komputera (inaczej switch uaktualni dane w tablicy). Je¿eli nie jeste¶my szczê¶liwymi posiadaczami urz±dzenia zarz±dzanego nie mo¿emy sprawdziæ tablicy adresowej switcha, pozostaje wiêc tylko wspomniana metoda pods³uchu ruchu sieciowego na okre¶lonym kabelku i jego analizy pod katem fizycznych adresów nadawcy. Oczywi¶cie w sieci, w której mamy wiele prze³±czników spiêtych w topologii drzewa i porozmieszczanych w ro¿nych dziwnych miejscach taka operacja mo¿e byæ nieco skomplikowana.
Rzecz jasna zabiegi takie jak monitorowanie w³asnej sieci i wysy³anie do niej fa³szywych informacji powinny byæ przez administratora stosowane tylko w ostateczno¶ci, kiedy naprawdê istnieje uzasadnione podejrzenie, ¿e dzieje siê cos niedobrego i wy³±cznie w celu wykrycia agresora lub przyczyny dziwnych zachowañ sieci.
Z pozdrowieniami ediota.
Zaje...hm..ten..no...swietny wywod! Moze troche przydlugi - tu gratuluje mnostwa wolnego czas. Ale watpie, zeby standardowy uzytkownik zrozumial cos poza pierwszym akapitem.
Siec jaka jest kazdy widzi i kazdy moze rowniez zajrzec do swojej umowy ze Sprayem i sprawdzic czy operator zobowiazal sie do ochrony uzytkownikow przed atakami zloczyncow. Nie ma takiego punktu? Szkoda! Ale zaraz, przeciez Spray nawet nie rekalmuje sie jako bezpieczny dostawca us³ug transmisji danych. Wiec o co pretensje?
W sumie jest to siec do uzytku domowego a nie biznesowego wiec jesli ktos jest w posiadaniu poufnych informacje swojej firmy to niech lepiej ich z niej nie wynosi.
Jestem uzytkownikiem lacza Spraya od ok. 2 tyg. i moze jeszcze za malo wiem. Ale jezeli jestes rozczarowany poziomem bezpieczenstwa w sieci Spray na Skoroszach to chyba miales bledne oczekiwania. Ja na razie moge miec pretensje do Microsoftu za Windowsa bo w sieci chodzi tragicznie wiec coraz czesciej z menu startowego mojego domowego desktopa wybieram Linuksa...
ediota napisa³(a): Rzecz jasna zabiegi takie jak monitorowanie w³asnej sieci i wysy³anie do niej fa³szywych informacji powinny byæ przez administratora stosowane tylko w ostateczno¶ci, kiedy naprawdê istnieje uzasadnione podejrzenie, ¿e dzieje siê cos niedobrego i wy³±cznie w celu wykrycia agresora lub przyczyny dziwnych zachowañ sieci.
Opis ciekawy, ale swoim wywodem namawiasz do przestepstwa!
Tego typu dzia³ania podlegaj± takiej samej karze jak zak³adanie neilegalnych systemów pods³uchu i zagro¿one s± kar± wiezienia.
Dlatego lepiej wzorem edioty nie za³±czac takich urz±dzen, bo mo¿ecie siê wpakowaæ w naprawdê powa¿ne k³opoty.
Lepiej zainwestowac w dobry firewall lub inny system fa³szuj±cy
ediota napisa³(a):Witam
Jeste¶cie zadowoleni z us³ug SPRAY’a
Ja nie i dlatego ten tekst to przejaw mojego gniewu i niezadowolenia z monopolistycznych praktyk.
Snifowanie w sieci SPRAY’a
<ciach> dobry tekst ale d³ugi.
W moim segmencie nie narzekam na Spraya (mam adres publiczny) z punktu widzenia bezpieczeñstwa. Jestem wpiêty do switcha, co do¶æ skutecznie redukuje mo¿liwo¶ci sniffowania. Nie jestem pewien czy stosowanie technik flooduj±cych lub manipulacji adresem MAC w przypadku tej sieci odniesie sukces poniewa¿ urz±dzenia dostêpowe w naszej podsieci to nie s± najprostsze switche. Poza tym oczywi¶cie nie mam zamiaru tego sprawdzaæ.
Ka¿da sieæ w której jest wiêcej ni¿ 1 u¿ytkownik oznacza mo¿liwo¶æ wzajemnego pods³uchiwania i trzeba mieæ tego ¶wiadomo¶æ. ¯aden dostawca Internetu nie zabezpiecza w 100% swoich u¿ytkowników przed pods³uchem choæ przyznajê ¿e w sieciach takich jak Spray czy AsterCity jest to znacznie u³atwione. Trzeba po prostu nauczyæ siê z tym ¿yæ, z reszt± brak odporno¶ci na pods³uch jest immanent± cech± sieci Internet i dopóki nie zmieni± siê u¿ywane w nim protoko³y to nic siê w tej kwestii nie zmieni.
Dlatego te¿ nie ma co siaæ paniki i korzystaæ z dobrodziejstw sta³ego ³±cza.
Pozdrawiam
Zapewniam prze³±czniki stosowane przez SPRAY maj± pojemno¶æ 8000 adresów MAC wiêc ich zapchanie nie zajmie du¿o czasu. A sprawa dostêpuprzez modem - hmm to tak jakby¶ mi powiedzia³, ¿e przz modem 33,6 Kb/s niezafloduje Ci kompa a tu mam synchroniczne ³±cze do prze³±cznika o przepustowo¶ci ponad 1Mb/s. Tak wiêc zapewniam ¿e pakiety mog± lataæ po ca³ej sieci ju¿ po 10 minutach dzai³alno¶ci sprytnego cz³owieka.
PS: do administratora
Blokada mojego dostêpu poprzez nr IP nie pomaga??
Wystarczy napisaæ maila zpro¶b±. Odrobina og³ady i poniechanie praktyk monopolistycznych, oraz poszanowanie wszystkich u¿ytkowników to chyba to o co nam chodzi. Mam racje?
Witam
Anonymous napisa³(a):Zapewniam przeÅ�Ä�czniki stosowane przez SPRAY majÄ� pojemnoÅ�Ä� 8000 adresów MAC wiÄ�c ich zapchanie nie zajmie du¿o czasu. A sprawa dostÄ�puprzez modem - hmm to tak jakbyÅ� mi powiedziaÅ�, ¿e przz modem 33,6 Kb/s niezafloduje Ci kompa a tu mam synchroniczne Å�Ä�cze do przeÅ�Ä�cznika o przepustowoÅ�ci ponad 1Mb/s. Tak wiÄ�c zapewniam ¿e pakiety mogÄ� lataÄ� po caÅ�ej sieci ju¿ po 10 minutach dzaiÅ�alnoÅ�ci sprytnego czÅ�owieka.
OK. Wiêc jest to technicznie mo¿liwe - floodujemy prze³±cznik i potem zajmujemy siê pods³uchiwaniem tego co robi± nasi s±siedzi. Moje pytanie do Ciebie brzmi: Co w zwi±zku z tym proponujesz? Moim zdaniem nic siê nie da z tym zrobiæ i po prostu trzeba z tym ¿yæ. Nie popieram monopolu, nie popieram te¿ w szczególny sposób firmy Spray ale uwa¿am ¿e jedyne co mo¿na z tym zrobiæ to mieæ ¶wiadomo¶æ ¿e tak jest. Oczywi¶cie je¿eli za³o¿ymy ¿e sieæ jest prowadzona przez kompetentych ludzi, którzy w dodatku maj± czas na nadzorowanie sieci, to mo¿na ograniczyæ tego typu "dzia³alno¶æ". Tylko ¿e kto ma w dzisiejszych czasach czas ¿eby siedzieæ i monitorowaæ w czynie spo³ecznym sieæ
Pozdrawiam
p.s.: chyba masz jaki¶ problem z kodowaniem polskich znaków w swojej przegl±darce?
ediota napisa³(a): Jeste¶cie zadowoleni z us³ug SPRAY’a
Ja nie i dlatego ten tekst to przejaw mojego gniewu i niezadowolenia z monopolistycznych praktyk.
Specjaliste od wandala ró¿ni to, ¿e wie jak zapobiegac. Ty pokazales jak byc wandalem.
A teraz poka¿, ¿e wiesz jak wandalizmowi zapobiegaæ. Kreujesz siê na znawcê, to poka¿ jak zapobiec takim nieuczciwym zachowaniom. Bo ju¿ wiemy, ze wiesz jak byc wandalem.
A altermatywa dla Spraya ju¿ jest.
Witam ponownie.
Szanowny donosicielu.
Wandealem nie jestem!
Od 11 lat zajmuje siê bezpieczeñstwem w sieci.
To co widze tu to jedna wielka paranoja.
Gdyby¶ przeczyta³ dok³±dnie to zobaczy³ by¶ ¿e udzielam rad jak temu zapobiegaæ i walczyæ z tego typu praktykami. A post ten jest spowodowany te¿ faktem, ¿e kilkakrotnie kto¶ usi³owa³ moje zasoby w jakai¶ sposób inwigilowaæ. KTo? ja to wiem. I dlatego postanowi³em opisaæ to zagro¿enie i pokazaæ jakie to proste i jakie niesie za sob± ryzyko.
Forum to za¶ jest pe³ne pomówieñ i frywolnego panoszenia siê adminów blokuj±cych dostêp bez podania przyczyny.
Ale ok.
Pozdrawiam ediota.
Ps:
Do SPRAY'a
A mo¿e tak Hone'y. My¶le ¿e to by³oby skuteczne, a przynajmniej zobaczyliby¶my na co staæ u¿ytkowników szperaj±cych Waszym klientom w zasobach.
Do Admina
Czekam na wiadomo¶æ. Je¶li co¶ Cie boli to napisz.
ediota napisa³(a):
Od 11 lat zajmuje siê bezpieczeñstwem w sieci.
Witam starszego kolegê po fachu
ediota napisa³(a):
To co widze tu to jedna wielka paranoja.
Gdyby¶ przeczyta³ dok³±dnie to zobaczy³ by¶ ¿e udzielam rad jak temu zapobiegaæ i walczyæ z tego typu praktykami. A post ten jest spowodowany te¿ faktem, ¿e kilkakrotnie kto¶ usi³owa³ moje zasoby w jakai¶ sposób inwigilowaæ. KTo? ja to wiem. I dlatego postanowi³em opisaæ to zagro¿enie i pokazaæ jakie to proste i jakie niesie za sob± ryzyko.
Problem który tu widzê polega na tym ¿e kto¶ ze Spraya musia³by siê zaj±æ bezpieczeñstwem sieci - zwyk³y u¿ytkownik prawie nic nie mo¿e na to poradziæ. Jakie motywacje mo¿e mieæ Spray ¿eby prowadziæ jakie¶ dzia³ania chroni±ce jego u¿ytkowników? Sprayowi jako ISP zale¿y tylko na tym ¿eby chroniæ w³asn± infrastrukturê przed atakami. Dzia³anie typu ochrona przed sniffingiem miêdzy u¿ytkownikami wymaga nak³adów, które raczej siê nie zwróc± - no bo w jaki sposób? Dlatego te¿ ani Spray ani ¿adna inna firma dzia³aj±ca dla zysku nie podejmie takich dzia³añ. Ochrona przed sniffingiem jest mo¿liwa tylko w sieciach prowadzonych spo³ecznie przez pasjonatów, którzy maj± czas i chêci ¿eby stosowaæ przeciw¶rodki przez Ciebie opisane
ediota napisa³(a):
Pozdrawiam ediota.
Pozdrawiam,
Malcolm_X
Internet oferowany przez Spray'a nie jest us³ug± typu intranetow± (nie pe³ni roli sieci wewnêtrznej) jest to dostêp do internetu (w³a¶ciwie przegl±darka internetowa, zapewnia korzystanie ze skrzynki pocztowej posiadanej np. na portalach zewnêtrznych, nic od siebie nie daje - poza jak±¶ przepustowo¶ci± zapewnion± dla wydzielonych na sztywno podgrup u¿ytkowników i nic wiêcej.
Je¶li my¶licie o poczcie wewnêtrznej bezpiecznym internecie nale¿y zacz±æ od podstaw t.j:
- w ka¿dej wspólnocie pomy¶leæ o po³o¿eniu sieci wewnêtrznej ³±cz±cej np. poszczególne budynki danej wspólnoty (lub klatki w bloku)
- wyszukaæ niezale¿nego operatora który zapewni odpowiedni± klasê ³±cza internetowego.
- zadbaæ o infrastrukturê bezpieczeñstwa takiej sieci (firewall ogólny, router, serwer pocztowy)
Nie miejcie pretensji do Spraya - to nie jest operator internetowy
polecam wszystkim zainteresowanym sprawdzenie jak to siê robi na skoroszu V - tam sami entuzja¶ci internetu k³ad± sieæ i korzystaj± z ³±cza zestawionego im przez ProFuturo i dziel± siê kosztami (wychodzi im na razie po 50 z³ miesiêcznie a przepustowo¶æ i bezpieczeñstwo jest nieporównywalne ze Sprayem.
