WadeWalker (Jan 28 2010, 15:46) писал:
1. его нету и тут можно хоть обписаться об обратном.
2. я это заметил и какбы намекнул Вам, что не будь применено подобное решение ВСЮДУ на линии от Вас до нужных Вам ресурсах , ARP\-спуфинг, будет оставаться серьезной угрозой.
3. роутер который обменивается с [какбы]шлюзом Акадо, делает это ...Как ? как идентифицирует шлюз и как, напротив, шлюз делает это ?
4. будь Ваш домашний роутер воткнут прямо в младшую сиську(1xxx) с другого конца, c возможностью явственно привязать МАС-адресса к физическим портам роутера - это одно.
5. а когда до узловых маршрутизаторов, Вас отделяет N свичей(где N - не всегда==1)... возможности злоумышленников, безграничны.
6.
таким образом такое "решение":
1. позволяет его "внедрившему" пребывать в блаженном успокоении относительно собственной безопасности.
2. делать все заблагорассудившееся с его траффиком, третьим лицам.
7. p.s.
с технической ТЗ ваше "решение", не имеет никакого смысла.
1. Разумеется, его нету, поэтому я об этом и не писал. Это вы выдвинули предположение о том, что я высказал такую глупость, и теперь заявляете - что такое действительно глупость. К чему это было - мне не понятно
2. Не совсем так, вы выдрали фразу из предложения, потеряв всю смысловую нагрузку моего поста, ушли от изначальной темы в более узкую предметную область и пытаетесь дискредитировать мои решения. Мои решения не являются абсолютной панацеей от всех проблем, но они однозначно решают множество проблем в неконтролируемых сетях-помойках, и эти основные проблемы я изначально описал. ARP протокол - это, к сожалению (или к счастью?) относится к семейству stateless, поэтому говорить об абсолютной безопасности в L1-L2 сегментах сети не приходится.
По крайней мере, мои решения, позволяют хосту "стать невидимым" для других (кроме пограничного рутера ISP), снизить утилизацию сетевушки от броадкастов и сканирований, а также защититься от 90% атак и попыток перехвата трафика.
Вы с этим согласны? (прежде чем ответить, дочитайте до конца).
3. Я более, чем уверен, что детали алгоритма ARP handshake вы сможете узнать самостоятельно, в интернете полно информации об этом, если интересуют абсолютные детали, то можете поковырять if_arp.c (идет практически со всеми дистрибутивами GNU/linux систем).
4. Для такого существует более лаконичное решение и называется оно private vlan (интересно, АКАДО предоставляет такое или нет?)
5. Ошибаетесь (почему, см. п.6). Исключения, если злоумышленник получит управление коммутатором. Опять же, напомню вам о изначальном смысле треда (см. п.2). Речь изначально шла не о параноидальной безопасности.
6. Ошибаетесь. Вы строите свои вывод на голой теории, я же все это проверял на практике, ещё в 2005 году, когда работал ведущим инженером группы проектирования сетей связи в ISP.
Был собран стенд из нескольких управляемых коммутаторов, нескольких рутеров, двух серверов, и трех рабочих станций. Проводили очень много стресс-тестов и изучение влияния различных вирусов, червей, снифферов, броадкастов, мультикастов и т.п. Также основная проблема была - найти защиту и систему обнаружения атак man-in-middle (использовали софт Cain&Abel). Дак вот, было найдено два решения:
1. Переписать модуль ARP и сделать из него stateful протокол, или как минимум внедрить систему тайм-аутов... В лабораторных условиях это прокатило, но в промышленную эксплуатацию это внедрить было нельзя по ряду причин.
2. Заморозка ARP-таблицы на рабочих станциях. В этом случае, при попытке использовать man-in-middle происходил обрыв связи, так как подменить ARP рутера cain&abel не смог на клиентской машине, а вот на рутере подменял, то есть "посредник" смог получать входящий к клиенту трафик, исходящий не мог, но в такой схеме нарушался ARP маршрут.
Таким образом можно было защититься от перехвата отправляемой security sensitive инфы, но легко можно было схватить DoS, в любом случае, лучше словить DoS, чем поделиться чем то ценным со злоумышленником. Но по итогу, в промышленную эксплуатацию такое внедрять не стали.... пришлось признать, что ARP stateless протокол есть и о безопасности можно говорить только при активных системах обнаружения (IDS + snmp traps на свитчах).
Важное замечание, в этом тестировании MAC-и нам были известны изначально! То есть злоумышленник знал цели, в том же случае, если сразу заморозить ARP и прописать только легитимные (рутер, DNS-ы), то есть "стать невидимым" для других пользователей той же сети, риски стать "целью" для злоумышленников резко снижают, а уж стать одной из "целей" для червей/вирусняков/сканеров и т.п. шансы становятся равны нулю.
Теперь про arp-spoofing свитчей... в современных сетях вы сможете заспуфить только тот свитч, к которому подключены. И опять же, не надолго и не факт, что удачно (зависит от модели свитча и конфигурации). При правильной конфигурации (базовая защита), шторм левых ARP-ов свитч посчитает за "аномалию" и заблочит ваш порт на несколько минут. Ещё есть такой ньюанс, что современные свитчи поддерживают очень большой размер ARP-таблицы, соот-но, для успешного спуффинга вам потребуется поддерживать немаленький сетевой поток и задействовать немало процессорных ресурсов, что в свою очередь сильно затруднит сам процесс дальнейшей выемки нужной информации.
7. Улыбнули
комментить это не буду, дабы не переходить на личности.
p.s. Если уж речь зашла о безопасности, то в таких сетях это уже давно не актуально, ибо профи этим заниматься не будут (порножипеги с рабочих станций тырить? - это не интересно, аттрибуты для платежных систем Интернет - это палево в таких сетях и уголовно/физически наказуемо
) Сейчас проще все что нужно, найти в соц.сетях +/- применить социальную инженерию, благо люди добровольно выкладывают всю свою реальную жизнь в интернет.
Сообщение отредактировал AnalyzeIt: 29 января 2010 - 14:34