Názory k článku Odposloucháváme data na přepínaném Ethernetu (2.)
-
Jsem rad ze vas muj clanek inspiroval natolik ze jste napsal svůj názor.
Nejdrive bych se chtel obhajit:
1) Linky: na internetu je plno zdroju a tyto techniky jsou rozebrany na spouste serveru. Ja jsem se to taky musel od nekad naucit. Ovsem na spouste clanku mi vzdycky neco chybelo nebo neco nebylo uplne jasne a dale vsude byli popsany treba jen dve techniky. Proto jsem se snazil napsat to tak aby to pochopilo co nejvic lidi a sepsat nejznamejsi pouzivane techniky. Jestli se mi to povedlo uz je na vas.
2) Praxe: ano vim ze tohle je trosku rozporuplny, ovsem jsou lidi kteri si teorii chteji overit a pouhe tvrzeni ze neco tak je jim nestaci. Nejdrive zde taky popisuju jenom praxi pro overeni. Ti kteri chteji krast data si stejnak stahnou nejakej tool a teorie jak ten utok probiha v pozadi je nezajima.
3) Obrana: jak jsem se uz jednou zminil. Kvuli velkemu rozsahu serialu a prani Lupy tento serial zkratit jsem ji vyradil. Nejspise vyjde jako samostatny serial, kdyz bude zajem.
Jsem rad ze na tento server taky chodi lide hodne znali jako vy a dekuji vam za vase nazory. -
Existuji zpusoby jak se branit, existuji zpusoby jak tuto obranu prolomit a taky existuji zpusoby jak se branit proti prolomeni te obrany ......... Jenomže pokud se budeme bavit o obraně na switchích tak si člověk připlatí více. Preci jenom různé sítě pro sdílení internetu a firemní sítě jsou mizivě zabezpečeny. Do IT sektrou se většině firem investovat nechce.
-
anonymníSamotna port-security take neni vsespasitelna, jak se mnozi trosku mylne domnivaji (nebo to schvalne nepublikuji?) - specialne ne na utoky smerovane na ARP... Novejsi switche/softwary tohle reflektuji (alespon bavime-li se o Ciscu) a umoznuji i dalsi pokrocilejsi obranne techniky - napr. Dynamic ARP Inspection, IP Source Guard branici IP spoofingu, rate-limiting ARP na urovni switchu (zamezeni ARP floodu); obrany proti podvrhnuti DHCP serveru ze stanice (DHCP snooping)... nicmene tohle vsecko je na dve veci, kdyz to lidi nepouzivaji :-D
-
anonymníNepište už, prosím Vás, že jste se to musel od někud naučit, ale že jste to sám také musel od někud opsat!
To je typický znak českých palgiátorů, že když je někdo upozorní na léta existující pramen, tak mají nejrůznější výmluvy, proč o tom (jako) nevěděli.
To jste se, čeští novinářští šmudlové, ještě nenaučili používat Google?
Anebo, prosím Vás, pište jako za ubohé totality. "Podle zahraničních pramenů setavil Martin Heller"
P.S.
A divím se, že na Lupě jsou všichni editoři takoví, že ani nepoznají, že často uveřejnují převzaté práce - bez originálních odkazů. Asi také musí dělat, jako že opisováním dohoníme Evropu (a s tou pak předhoníme USA). -
Blesk (neregistrovaný)Obrana samozrejme existuje, nevim, zda je nejaky obecny zpusob (tzn. standartizovany podle ISO), ale kazdy slusny vyrobce ma obranu proti Cache poisoning. At uz jde o zablokovani ARP odpovedi ke kterym neni dotaz, tak i zablokovani poctu MAC adres na jednom portu. Pokud chcete vedet vice, doporucil bych spise www.google.com, nebo primo stranky vyrobce od ktereho mate switche (3com, cisco, enterasys, nortel, ...)
-
h4x0rr@paneboze.cz (neregistrovaný)hehe, je hezke ze lupa otiskuje prepisy clanku z let '97.
http://www.insecure.org/sploits/arp.games.html
preklad http://www.hysteria.sk/prielom/12/#4
ale alespon si clovek zavzpomina jak to bylo yzy relativne nepozorovane
hijackovat irc sessiony ve skole. na osvetleni - s timhle uz si dneska nikdo neskrtne, pravdepodobne uz ani ne na akademickej pude. port security na hezkejch switchich, a ti co nemaj hezke switche maji rozume konfigurovane gw pouzivajici ruzne druhy ochrany proti arp poison, pocinaje arpwatchem (kterej spusti peknej kraval kdyz vidi mac-flap), pres dlouhe casy expirace arp cache (takovejch par hodin odradi vecinu lamoidu s ettercapem :) az po /etc/ethers (coz je jednoduche a ucinne reseni z fyodorovo clanku, ktere pouzivam do dnes). samozrejme se da i dnes na ethernetu vyradit, ale na nizssich urovnich:
moc se o tom nemluvi, ale uz jsem napriklad videl presmerovane cele ASko (na par minut, gre tunel s nekolika set mbit je hodne podezrely..:) pomoci BGP hijacknuteho pres STP (ruku na srdce, kdo pouziva BGP md5 auth?)
cat<<_EOF>cinty
...a mimochodem, nepatri cely tento serial spis na root.cz? ja mel za to ze lupa je spis takove broadbandove tlachani :)
cele mi to prijde jako navod pro lamy jak krast hesla spoluucastnikum site. autor popsal z mac layeru pouze tolik kolik je treba na konani l33t zla technikou 10 let starou, vubec nepopsal jake techniky se pouzivaji na prevenci (minimalne arpwatch a portsecurity by stacilo..), takze to cele pusobi v "hysterackem" duchu let minulych :)
stay bored. nothing to come. big brother enjoys the ride.
_EOF -
h4x0rr@paneboze.cz (neregistrovaný)aha, omluva, takze lupa zpiskala prevenci. ty jo, iinfo je plny zlych osklivych 3v1l l33t h4x0ru. omg. ethical hacking anyone? ale je fakt ze takhle je ten clanek pritazlivejsi pro mladsi cast populace internauto (vcetne me). takze jenom pro ty co zajima obrana:
- port security (http://www.cisco.com/en/US/products/hw/switches/ps679/products_configuration_guide_chapter09186a008007ef1a.html)
- arpwatch (http://www-nrg.ee.lbl.gov/) - spusti kraval kdyz si nekdo hraje
- na freebsd existuje hezke udelatko, mam to naportovane jen na fbsd4, ale kdyz bude zajem muzu preportovat i navyssi verze - http://freecap.ru/if_ether.c.patch
- pro vice info google 'arp poisoning' -
Hobit (neregistrovaný)Musim se zastat autora, prakticky o vsem uz bylo napsano a zvlast o takovychto vecech.
tj. zdroj literatury by vypadal asi takto:
Literatura: www.google.com, Internet
Protoze psat tam vsechny clanky, ktery si kdy za cely zivot precetl, ale uz zapomel ze existuji, je nesmysl. I kdyby nakrasne napsal seznam clanku, ze kterych cerpal, vzdy se najde nejaky chytrak, ktery si mysli, ze precetl vsechny clanky sveta a napise ze autor opisoval z toho a toho clanku, ktery mu v literature chybi.
Vzdyt to pise v clanku i diskuzi, ze vi, ze je spousta clanku ale ze mu vzdy neco vnich chybelo tak proto napsal svuj clanek. Vzdy to bude jiny clanek a ne opis, nebo snad tu pouziva copy-and-paste celych vet? Asi tezko.
Tak je jen dobre ze neco takoveho napise a napsal to podle me dobre. -
Vojta (neregistrovaný)Nevím jak jinde, ale aspoň ve starších kernelech Linuxu se používala politika "Unsolicited ARP is not accepted by default". To znamená, že pokud počítač neposlal ARP dotaz, nepřijme (ignoruje) odpovědi. Aby odpověď přijal, musel v nedávné minulosti poslat příslušný dotaz.
Což je komplikace pro útočníka, ten totiž musí poslat podvrženou odpověď až po obdržení dotazu (broadcast), a to dřív, než právoplatný příjemce - jde o milisekundy.
Nemyslíte že tato vlasnost ARP driveru silně komplikuje případný útok? -
anonymníNo nevím, snad není takové zlo napsat článek na základě už známých věcí. Např. Maxwellovy rovnice jsou známy okolo sto let a bylo sepsáno mnoho různých pojednání snažích se je vysvětlit. To, že někde je podobný článek, je prostě u starších věcí normální. Správně by se měla uvádět použitá literatura a pak je klid.
-
h4x0rr@paneboze.cz (neregistrovaný)pokud by jste cetl fyodoruv original, vedel by jste ze linux se ucit ip/mac pairy jak z requestu tak z replies. linux ignoruje reply pokud nevidel arp request, takze se zda byt vse v poradku - ale neni. linuxu z nejakeho perverzniho duvodu staci kdyz se ho nekdo zepta z dane mac/ip na nejakou absolute bogus ip a on zdrojovou mac/ip pair sezere i s navijakem.
jine os se zase uci pouze z arp replies (bsd stack) takze ettercap posila na poisonuti jedne entry jak request z unasene ip adresy tak reply, aby to fungovalo vsude.
na linuxu je bez patche jediny workaround, a to je zmenit /proc/sys/net/ipv4/neigh/default/locktime na nekolik hodin. to zajisti to ze se polozka v arp cache prepise _pouze_ je-li starsi nez zadany cas. pripadne si napsat script ktery veme soucasne arp entries (zarucene neotravene), narve je do /etc/ethers, a polozky nacte pomoci arp -f jako _staticke_ zaznamy z /etc/ethers. tento skript je potreba pustit pri zmene jakekoliv mac adresy na siti. paranoici muzou potom jeste vypinat dynamicke arp uplne (ifconfig eth0 -arp) ale to neni rozumne protoze pak nefunguji nove ip bez spousteni daneho skriptu (ktery se pousti treba jednou za noc). toto reseni pouzivam ja a ettercap si na gw ani neskrtnul.
jo, jeste tu je dalsi reseni. dat si interface do bridge (samotny) a pouzivat ebtables/arptables na nejake flexibilnejsi filtrovani. a nebo mit v iptables dropovany vsecko krome danych ip/mac pairs (velmi oblibene u wifi zlatokopu) moznosti je hodne, ale nejlepsi je mit stejne pevne definovane mac na port (mac/port security), protoze vsechno resite pouze na switchi a jinde muze bezet vsechno legacy a je to jedno... dneska ty smart switche nejsou zase tak drahy.
ČLÁNKY DO MAILU