Спуфинг. Методы борьбы.

[CEO]

В моей локалке появился вредитель. Каким то образом перехватывает информацию которой обмениваются другие пользователи, может подменять, что отсылает один пользователь другому своей информацией. Подскажите, как можно вычислить негодника. Как отследить такое событие, как смена IP каким-либо пользователем сети и можно ли как-то препятствовать перехвату пакетов.

[FantomIL]

Как сеть устроена? Одноранговая или доменная? Стоят свитчи или хабы? Какие операционки у клиентов сети?
Кто-то из пользователей снифает трафик и занимается IP-спуфингом (подделкой сетевого адреса). Из простейших рекомендаций по защите:
- сеть строить на свитчах
- использовать статическую таблицу ARP
- ограничивать число MAC адресов на каждом порту свитча
- использовать шифрование трафика
Чтобы вычислить вредителя можно воспользоваться специальным софтом типа Antisniff.
Но это все общие и расплывчатые формулировки. Нужны сведения о конкретной сети.

[CEO]

Цитата:

FantomIL:Как сеть устроена? Одноранговая или доменная? Стоят свитчи или хабы? Какие операционки у клиентов сети?

Одноранговая сеть, используются свичи, ОС преимущественно, winXP, у некоторых Win98 и Win2k, но есть и несколько чел. с Linux и FreeBSD.

[FantomIL]

Вообщем так, в простейшем случае, пропинговать все машины в сетке и засечь среднее время пинга. Потом вывалить в сетку кучу трафика и пропинговать всех еще раз. Машина пинг до которой резко вырастит и будет искомой машиной со снифером.
Проще всего воспользоваться каким-нибудь софтом типа "Антисниф"-а.
Тока, если снифер пассивный, то не поймаешь его. В общем таблицы ARP делать статическими, чтоб переполниться не могли, ну и так-далее (рекомендации в предыдущем посте ).

Вот здесь еще почитай _http://www.i2r.ru/static/452/out_14876.shtml

[CEO]

Попробовал воспользоваться данными рекомендациями. Для начала скачал и попробовал в работе "Антисниф". Эта программа у меня не заработала, т.к., как только я запускаю анализатор происходит перезагрузка компютера(ОС win2k). Поэтому нашел другую прогу -- MD ARP Monitor 2.6. С помощью нее были зафиксированны следующие события:

Цитата:

25.03.2005 11:19:39 Подмена IP-адреса! 10.0.0.3 00-11-2F-9B-EB-6B (10.0.0.245 00-11-2F-9B-EB-6B)
25.03.2005 11:46:09 Подмена IP-адреса! 10.0.0.129 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.129 00-00-00-00-00-00 (10.0.0.129 00-11-2F-A4-E7-33)
25.03.2005 14:18:40 Подмена MAC-адреса! 10.0.1.6 00-00-00-00-00-00 (10.0.1.6 00-50-FC-E3-C0-53) Подмена IP-адреса! 10.0.1.6 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00)
25.03.2005 15:29:41 Подмена IP-адреса! 10.0.1.170 00-11-2F-B3-A2-B9 (10.0.0.170 00-11-2F-B3-A2-B9)
25.03.2005 18:51:42 Подмена MAC-адреса! 10.0.0.63 00-02-44-76-A9-DC (10.0.0.63 00-02-44-85-10-41)
25.03.2005 18:52:42 Подмена IP-адреса! 10.0.0.62 00-02-44-85-10-41 (10.0.0.63 00-02-44-85-10-41)
25.03.2005 19:01:42 Подмена IP-адреса! 10.0.0.113 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.113 00-00-00-00-00-00 (10.0.0.113 00-50-FC-CE-47-1E)
25.03.2005 19:05:42 Подмена IP-адреса! 10.0.0.27 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.27 00-00-00-00-00-00 (10.0.0.27 00-02-44-73-4A-D0)
25.03.2005 19:18:12 Подмена IP-адреса! 10.0.0.113 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.113 00-00-00-00-00-00 (10.0.0.113 00-50-FC-CE-47-1E)
25.03.2005 19:28:12 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 20:22:12 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 20:25:12 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 20:28:12 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 20:36:13 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 20:37:13 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 20:46:43 Подмена IP-адреса! 10.0.0.3 00-11-2F-9B-EB-6B (10.0.0.245 00-11-2F-9B-EB-6B)
25.03.2005 21:12:43 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 21:54:43 Подмена IP-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.68 00-00-00-00-00-00 (10.0.0.68 00-02-44-4F-64-1C)
25.03.2005 21:57:43 Подмена IP-адреса! 10.0.0.72 00-00-00-00-00-00 (10.0.0.14 00-00-00-00-00-00) Подмена MAC-адреса! 10.0.0.72 00-00-00-00-00-00 (10.0.0.72 00-02-44-87-0E-A7)

Является ли какое-либо из перечисленных событий признаком неправомерных действий со стороны пользователя или это может быть так же особенностью работы самой сети или каких-то программ?

[FantomIL]

CEO
Смотри, я никогда не работал с этой программой, но из того, что прочел о ней, она занимается тем, что следит за соответствием пар IP-MAC. Если эта программа не глючит, то вышеприведенный лог говорит о том, что в сети занимаются спуфингом.

[CEO]

Можно ли судить по логам данной программы (если допустить что она не глючит) что спуфингом занимается именно пользователь, имеющий IP: 10.0.0.14?

[FantomIL]

ИМХО, да. Если у тебя есть возможность незаметно воткнуть простенький маршрутизатор (основаный на компе) между этим пользователем и свитчем, то ты сможешь выяснить это со 100% гарантией. Или, если свитч хороший, то проверяй его ARP таблицу почаще.

З.Ы. Немного отредактировал название темы.

[CEO]

Хорошо. Пользователю 10.0.0.14 будет уделено особое внимание.
Я так понимаю, чтобы этот пользователь смог перехватить чужой трафик, он должен переписывать ARP кэш на прослушиваемых компьютерах. Можно ли на компьютерах пользователей запретить обновление ARP-таблицы и как это сделать для виндов?

[FantomIL]

Можно добавить в таблицу ARP статические соответствия IP<=>MAC. А все несуществующие адреса забить нулями. Делается так:
командой
arp -s 10.0.0.14 00-11-2F-A4-E7-33 - добавляется статическая запись соответствия в таблицу ARP для адреса 10.0.0.14
arp -s 10.0.0.127 00-00-00-00-00-00 - добавляется статическая запись с нулевым МАС-ом для несуществующего адреса 10.0.0.127
Есть одна проблема. Поменять МАС на нулевой достаточно просто и, соответственно, нехороший юзер сможет прикидываться всеми несуществующими адресами.

В общем, гарантированно решить подобные проблемы в сети можно при установке хороших (читай дорогих) управляемых свитчей.
Вот, тебе неплохая ссылка:
http://www.unixfaq.ru/index.pl?req=qs&id=169
Тут описывается достаточно простое решение подобной проблемы.

esli ti imeshesh vvidu lichnuyu perepisku - to prosto kriptui. DLya obshenija podoidet i Simp...

[FantomIL]

aaronet
Вопрос стоял следующим образом:

Цитата:

Сообщение от CEO

...Подскажите, как можно вычислить негодника. Как отследить такое событие, как смена IP каким-либо пользователем сети и можно ли как-то препятствовать перехвату пакетов.

Я не совсем понимаю, как шифрование может помочь вычислить атакующего, как шифрование можт отследить такое событие, как смена IP каким-либо пользователем и как шифрование может препятствовать перехвату пакетов?
Ты, наверное, хотел сказть, что шифрование делает бессмысленным перехват трафика? Но это опять же зависит от многих условий и, кроме того, шифровать надо весь трафик в сети, а не только личную переписку, потому что кроме писем в сети ходит и много другой конфеденциальной информации, ну, например, пароли к различным ресурсам.

[Zak]

В сети завелся агр спуфер как его можно вычислить?
понятно что мониторить подмену масок и так далее.

По ходу для снифинга и спуфинга нужно включать режим сетевой карты promiscuous mode, может кто знает софтину что бы вычислить у кого включен этот режим?

[shiraza]

Вопросы такие
1 Почему решил, что кто-то завелся?
2 Какое сетевое оборудование?
3 Какая вообще сеть (локалка в офисе, в доме или еще что-то)?

[FantomIL]

Zak
Поиск на форуме очень помогает.
Перенес и объединил.

[Zak]

Цитата:

Поиск на форуме очень помогает.
Перенес и объединил.

сорри очень спешил.

Всё спасибо я нашел promiscan 3.0.9.1 сканит сетевые карты в сети на предмет установленного режима promiscuous mode.

Как боролись, установили на магистралях управляемые свичи, перевели все сервера на статические маки ну и кое какие мониторинги ввели в действие на будущее.

[shiraza]

Хорошая тема, с интересом прочитал, много полезного.
Теперь у меня возник вопрос: при использовании метода статических ARP (а это самый дешевый и часто единственный в самопальных сетях) мы забиваем отсутсвующие адреса нулевыми маками. При этом злоумышленник может поставить себе нулевой мак и сменить ип. А если мы забъем отсутствующие адреса не нулевыми, а случайными маками, при этом разными на всех машинах?
Далее, прав ли я, когда думаю, что DHCP использовать можно и нужно, но только надо добавлять жесткую привязку на ип по маку (static lease).

[FantomIL]

Цитата:

shiraza:
А если мы забъем отсутствующие адреса не нулевыми, а случайными маками, при этом разными на всех машинах?

В принципе можно. И это, действительно, затруднит злоумышленнику жизнь, но также это затруднит жизнь и админу. В больших сетях будет тяжеловато...

Цитата:

shiraza:
Далее, прав ли я, когда думаю, что DHCP использовать можно и нужно, но только надо добавлять жесткую привязку на ип по маку (static lease).

Опять же, в сетях класса С такое организовать достаточно просто и удобно. А если мы админим сеть В или А?

[shiraza]

Цитата:

FantomIL:
Опять же, в сетях класса С такое организовать достаточно просто и удобно. А если мы админим сеть В или А?

Да это понятно, только в сеть B - это уже не самопальная сеть в доме, а серьезная запроектированная система, с активным оборудованием, там и проблемы другие.
Общий вывод - домашнюю сеть надо подрубать к инету через рутер с авторизацией клиента (например в керио через керио клиента), это отсечет попытки воровства инета. Дополнительно теперь буду ставить статические ARP, чтоб исключить спуфинг локального траффика. Также мониторинг попыток подмены мака и включения режима promiscuous.
Дальнейших шагов по увеличнию безопасности, кроме установки активного оборудования, не вижу. Может кто еще чего подскажет?

[anakarn]

А почему все забыли про метод просмотра маршрута до компов?
ping -r 9 192.168.0.1 - покажет маршрут до этого адреса от вашего компа (в винде). Легко вычислишь кто там "человек посередине". Если, конечно, тот, кто снифает, не изменил на этот случай своё ПО, чтобы оно там свой IP в маршруты не увставляло - это умеют некоторые снифферы. Правда, неплохо бы знать устройство сети: не всегда же пакеты идут напрямую на нужный комп, особенно если он не в вашей сети. Вдруг увидишь в маршрутах сервак и будешь потом угрожать юзеру с этим IP
Да, ещё же можно программно изменять MAC и IP (не говоря уж о свойствах сетевухи). Так что это может сильно помешать вычислению конкретного компа.

Насчёт статических записей: в WinXP и выше ещё нормально, а всё что ниже - статическая запись переписывается динамической.

Да и не самый лучший выход из положения это: как только новый комп в сети или у кого-то адаптер сменился - придётся модифицировать таблицу ARP. Да и после отключения от сети ARP очищается, так что придётся создвать скрипт для внесения в ARP-таблицу записей при загрузке. Но всё равно этот скрипт придётся запускать ручками если машинка не перезагружалась, а просто шнур выдернули и обратно вставили.
Лучший выход - роутеры настраиваемые.

Цитата:

FantomIL:
Если эта программа не глючит, то вышеприведенный лог говорит о том, что в сети занимаются спуфингом.

Вовсе нет: она лишь говорит, что у одного IP несколько MAC. А это не обязательно говорит о сниффере: может говорить и о сущесчтвовании маршрутизатора Или у одного компа несколько IP.

Для Линуха есть патч предотвращающий arp-poisoning: http://www.securitylab.ru/analytics/216229.php