Názory k článku Bráníme se odposlechu: promiskuitní režim
-
Rezim allmulti je hezky ale co ? Tento rezim propusi vsechny multicast adresy :-). Pokud se ale nepletu tak multicas adresy jsou pouze v rozsahu od 01-00-5e-00-00-00 do 01-00-5e-ff-ff-ff. Budu rad kdyz me ukazete nejake dokumenty ktere rikaji ze multicast adresa je i FF:FF:FF:FF:FF:FE :-D. Jinak jake dalsi nesmysli jsou v clanku, abych je mohl uvest na pravou miru?
Jinak diky ze vas moje clanky zajmaji, i pres to ze se v kazdem dile dohadujeme :-D. -
Diky za link, jste hodny :-D. Tato adresa se tam nenaleza, presto jiz tedy netvrdim ze to neni multicast adresa.
Dale bych se chtel zeptat proc by si nekdo zapinal rezim allmulti (tedka jsem to zkousel a opravdu propousti vse s nastavenym skupinovym bitem)? Pokud nepotrebuju ziskavat cizi data, tak neni rezim allmulti nutny :-) to znamena bude si ho zapinat vzdy nekdo kdo chce odposlouchavat ;). -
Ondřej (neregistrovaný)Jak moc náročná je plošná detekce v případě celého ISP?
Např. Wireshark (býv. Ethereal, standardní součást nejedné linuxové distribuce) se při spuštění přepne do promiskuitního režimu automaticky. Byl bych nerad kdyby mě můj ISP začal otravovat, že dělám v síti nějaké nepodloženosti i když si chci ve skutečnosti třeba jen ověřit, zda mnou používaný program neposílá do světa hesla v plaintextu. -
Zalezi jakeho ISP myslite. Pokud se bavime o takovych malych poskytovatelích, kteří připojují přez Wifi tak tam bych se detekovani prilis nebal. Pouze male procento techto poskytovatelu si brani takto sit. To jestli muzete odposlouchavat nebo ne, by jste mel take najit ve smlouve, kterou jste uzavrel s poskytovatelem.
-
Port security se budu venovat v nasledujicich dilech. Zminovat se o port security by bylo predbihani a zbytecne by to matlo. Stejnak port security nezabrani promiskuitnimu rezimu. Navic jak jste popsal vy, svazat port pouze s MAC adresou nezbrani utokum tymu DHCP Spooofing, DNS Spoofing, ARP Cache poisoning, ICMP Redirecting.
-
Ano s tim ze bezpecnost nikdy nebude dokonala mate pravdu :-). Ostatne krome penez jde take zvysujici se bezpecnost hodne do casu, ktery je potreba pro udrzbu.
Ohledne bezpecnosti na MAC, ano zmenit si MAC je jednoduche. Ovsem nejdrive musite onu MAC adresu zjistit.
Zabezepeceni v ramci L2 muze byt silne, napriklad pokud se pouzivaji hw tokeny. Mohl by jste mi ale prosim vysvetlit co je draheho na klientovi (pokud nepouzivam ctecku atd.. tak snad staci standartni os?)? Dale bych se chtel zeptat jeste jak myslite ty presuny? Ja myslel ze tohle vsecko take vzniklo za ucelem pouziti v mobilnich sitich. Vzdyt se autentizujete proti serveru.
Ano tyto reseni co uvadite povazuju za prinosne :-). -
(1) Sory, lepsi uz to nebude
(2) Jo dekuji, vase odborne texty jsou take velice zajimave
(3) Koukam ze v komentarich na vase clanky je videt ze pisete o vecech kterym rozumite
No a porad jste se mi nesveril co je na clanku tak zabavneho? Treba to ze uzivatele pracuji pod administratorem ... mimochodem uz jste videl anketu ? -
Jo aha :-), tak to se omlouvam.
V tom pripade jste ale tento clovek http://www.liberouter.org/team.php?view=person&login=xantos ? A s panem Davidem Rohlederem, ktery tu take hojne prispiva se znate :-D? -
1) Situace uz je takova, a nekdo to tem administratorum musi rict :-). Krom toho nekteri "administratori" na svoje pozice ani nemaji znalosti.
2)Znate nejake jine mozne metody? To ze vsechny metody se daji obelstit a mohou selhat se tu jiz probiralo. Ohledne stylistiky diky za pripominku.
3) Pokud by bral kazdy clovek clanek takhle tak mame v internetu nejcastejsi slovo vetsinou. Neobvykli veci se stavaj, ale jak se rika vyjimka potvrzuje pravidlo. -
David Rohleder (neregistrovaný)Supplicant je pokud se nepletu součástí Windows XP zcela standardně. V linuxu a podobných systémech je supplicant také dostupný.
Nevím, co si představujete pod pojmem "neustálý přesun klientů", ale RADIUS server umožňuje na základě autentizace přidělit portu správnou VLAN. Takže naopak 802.1X je pro velké společnosti velmi výhodná metoda autentizace. -
anonymníNo jo, jenže když se podíváme do Readme souborů všech možných programů, tak jako hlavní podmínkou k instalaci a mnohdy i ke spuštění jsou administrátorská práva - jinými slovy, pod Windows sice jakýsi pokus o omezení práv existuje, ale prakticky se nedá na sto procent použít, protože programy na to nejsou připravené...
-
Zdenek (neregistrovaný)Detekci pomoci ARP ci ICMP lze odstinit tim, ze si softwarovy filtr nastavite tak jak potrebujete. Detekci pomoci analyzy DNS toku zabranite snadno, nebudete prekladat IP adresy. Horsi je to pri zjistovani pomoci prodlevy odezvy, system sice lze nastavit tak aby odpovidal s konstantni prodlevou, tak velkou aby se do ni schovalo zdrzeni kvuli promiskuitnimu modu, ale to by melo byt vyhodnoceno jako anomalie. Ale system muze byt zaneprazdnen i necim jinym nez zachytavanim paketu, takze to nejde spolehlive potvrdit. Zaver je tady takovy, ze pokud ten kdo zjistuje nema pristup k pocitaci, ktery zkouma, tak neexistuje 100% metoda jak zjistit, jestli na nem nekdo neprepnul sitovou kartu do promiskuitniho modu.
-
anonymníZ meho pohledu absolutni bezpednost neexistuje. Vlastne je to takovy kompromis mezi paranojou a financemi tj. paranoja neco stoji :). Jinymi slovy bezpecnost lze pouze zvysovat ale nikdy ji nelze docilit .... ha limita blizici se nekonecnu (nekonecno=security risk).
Bezpecnost zalozena na port security (zvlastni to Cisco termint) tj. "autentizace" na zaklade fyzicke adresy adapteru (MAC) je chymera. Protoze MAC adresu lze velice jednoduse podvrhnout res. softwarove emulovat a nejen v metalickych sitich myslim, ze odposlouchavani v bezdratovych sitich je daloko zabavnejsi.
Co s tim tedy udelat? Lze se autentikovat primo oproti L2 zarizeni do ktereho jsou klienti pripojeni. Lze k tomu vyuzit nektery dobre k tomu prizpusobenych mechanismu napr. 802.1X v kombinaci s RADIUS serverem atd.. Krasny do to doby nez dojde k implementaci. L2 zarizeni pro takova reseni jsou celkem draha uprime receno zkousel jsem pouze na Cisco a Nortel. Suplikant bud nedostacujici nebo take celkem drahy a pri neustalych presunech klientu v ramci LAN/WAN nepouzitelne.
Uprime receno si myslim, ze dnes se v techto vetsich reseni pouziva pouze port security, private vlan, Dynamic ARP Inspection a spousty vice ci mene uzitecnych ACL. -
David Rohleder (neregistrovaný)Supplicant je pokud se nepletu součástí Windows XP zcela standardně. V linuxu a podobných systémech je supplicant také dostupný.
Nevím, co si představujete pod pojmem "neustálý přesun klientů", ale RADIUS server umožňuje na základě autentizace přidělit portu správnou VLAN. Takže naopak 802.1X je pro velké společnosti velmi výhodná metoda autentizace. -
David Rohleder (neregistrovaný)allmulti není nutný, ale třeba v tom článku, na který odkazujete je poznámka o 3Com kartě, která díky nedodělanému ovladači má toto nastavení zapnuto.
Podobná může být situace, kdy používáte multicast natolik intenzivně, že v kartě obsadíte všechny záznamy v tabulce multicastových adres, které propouští do software. Pak se takový filtr patrně vypne a do software půjdou všechny multicasty. -
David Antos (neregistrovaný)A ted k technickym vecem.
Jednak je cela myslenka pomerne zvrhla. Nepredpokladam, ze spravce, kteremu nevadi, ze vetsina uzivatelu pracuje se superuzivatelskymi pravy, bude chtit delat detekce toho, jestli nedelaji nahodou neco, co jim vlastne sam povolil. Anketu jsem videl. Vskutku, kdyz je administrator trubka...
Dalsim problemem je, ze se tvarite, ze metody, ktere popisujete, jsou spolehlive. Nejsou. Ve valne vetsine jsou to heuristiky. Zakladnim pozadavkem na technicky text je, ze reknete, co k dane veci potrebujete (napriklad, ze potrebujete slyset provoz cele site), jak se to dela a nakonec, co od toho muzete cekat. Treba to hodnoceni casu ICMP reply je naprosto nepredvidatelna. Muzete s ni dojit podezreni, ze nekdo posloucha. Ale taky to muze znamenat, ze ten stroj je jenom hodne zamestnany.
A na zaver (ne ze by se nenaslo vic veci). Mluvite o vecech, ktere se chovaji nejakym zpusobem *obvykle*, jako by to bylo neotresitelne pravidlo. Pokud tvrdite, ze "Samozřejmostí je, že může vzniknout i zpoždění na spojovacích prvcích (switchích), ale toto zpoždění je mnohem menší.", nemate pravdu. To byste mel, pokud by tam bylo slovo "vetsinou". -
David Rohleder (neregistrovaný)Adresa FF:FF:FF:FF:FF:FE je multicastová adresa. Reakce na takové pakety je pak záležitostí operačního systému a ovladače karty. U výše zmíněné adresy autor zcela automaticky předpokládá, že by jej měla karta v nepromiskuitním režimu zahodit. To ovšem není tak pravda. Karta takový paket může propustit v závislosti na nastavení. Třeba můj linux takový paket zcela jistě propustí až k softwarovému filtru a to síťovka není nastavena v promiskuitním režimu.
Pro autora: stačí man ifconfig a podívat se na parametr allmulti -
David Rohleder (neregistrovaný)Multicast adresy jsou všechny adresy, které mají v posledním bitu prvního bytu jedničku :-) Broadcast je pouze speciálním případem multicastové adresy.
adresy 01-00-5e-00-00-00 do 01-00-5e-ff-ff-ff jsou IPv4 multicastové adresy. Další např:
01-00-0C-CC-CC-CC CDP,VTP
01-80-C2-00-00-00 STP
33-33-00-00-00-00 IPv6 Neighbor Discovery
Důležité je podle mne to, že ačkoliv popisované nástroje mohou detekovat síťovou kartu v promiskuitním režimu, tak to nemusí být pravda.
No a nejjednodušší obrana proti takovému odhalení je samozřejmě přestříhnutí TX drátů v kabelu :-) -
David Rohleder (neregistrovaný)A abyste neřekl, že jsem na vás zlý, tak tady máte seznam multicastových adres :-)
ČLÁNKY DO MAILU