информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
так эээээ... а в чем революционность? 01.04.04 01:47  Число просмотров: 6270
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 01.04.04 02:24  Количество правок: 3
<"чистая" ссылка>
Насроить DHCP сервер на привязку MAC-IP вроде можно, сам я этого не делал (не админ я) но от других слышал - народ делал такое. И чем тогда именно ваш сервер лучше обычного, ведь злоумышленник прекрасно может поменять как MAC, так и имя своего компа. Причем второе - делается легче первого (по кр мере если уже смог поменять МАК адрес то имя компа точно сможешь). Что касается клиентских программ - никаких гарантий что злоумышленник не удалил их перед входом в сеть нету. Что касается блокировки смены адреса путем посылки арп ответа - так это легко обходится хацкером путем физического вытягивания сетевого шнура из хаба (главное чтоб сетевуха не определяла физическое отключение - иначе интерфейс отключится а затем при подключении проверит занятость ИП и не разрешит использование занятого) при смене ИПшника и МАК и загрузке системы. После того как система загрузится, она удостоверится что она одна такая в сети (больше никого то и нет - сеть отключена), и потом хакер подключается к сети физически. Единственное - ваша система (в будущем, с сертификатами) дает возможность оповещения о нелегальном поключении определенного МАК адреса и ИПшника, но это не избавляет от необходимости бегать и искать гада. Да и обычно оно сразу само заметно становится без дополнительного подтверждения цифровыми сертификатами - при появлении второй системы с такими же ИП и МАК начнутся глюки на обоих системах.
Потому самый надежный способ защиты от хацкеров в локалках - управляемые свичи с возможностью жесткого закрепления МАК адресов за определенными портами.
<site updates>
Новая система управления IP-адресами в локальной сети 31.03.04 20:12  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Новая система управления IP-адресами в локальной сети
Андрей Орлов andrey_i_orlov@nospam.mail.ru


Речь в данной статье пойдет не о простом DHCP (Dynamic Host Protocol) сервере, как вы могли подумать, прочитав название статьи, а о немного более функциональной программе. Надеюсь, Вам будет интересно. Итак, начнем с сути проблемы.
 В локальных сетях часто возникает проблема распределения адресов. Многие люди пытаются получить неправильные или просто понравившиеся адреса.  Если эти адреса в данное время не заняты (компьютеры-владельцы выключены), то им это удается, и настоящий владелец не может получить свой адрес. Таким образом, могут пострадать многие сетевые сервисы, так как адресация происходит именно по IP. Большинство брандмауэров также работает на уровне IP адресов, то есть произойдет подмена компьютеров, и защитные правила...

Полный текст
статьи, а о немного более 11.02.06 20:21  
Автор: kolek Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Новая система управления IP-адресами в локальной сети
> Андрей Орлов andrey_i_orlov@nospam.mail.ru
> 5
>
>
> Речь в данной статье пойдет не о простом DHCP (Dynamic

> Host Protocol) сервере, как вы могли подумать,
> прочитав название
статьи, а о немного более
> функциональной программе. Надеюсь, Вам
будет
> интересно. Итак, начнем с сути проблемы.

>  В локальных сетях часто возникает проблема

> распределения адресов. Многие люди пытаются получить
> неправильные
или просто понравившиеся
> адреса.  Если эти адреса в данное
время
> не заняты (компьютеры-владельцы выключены), то им это
> удается,
и настоящий владелец не может
> получить свой адрес. Таким образом,
могут
> пострадать многие сетевые сервисы, так как адресация

> происходит именно по IP. Большинство брандмауэров
> также работает на
уровне IP адресов, то есть
> произойдет подмена компьютеров, и
защитные...
а для какой ОС идет разработка ?
Nix поддерживает?
так эээээ... а в чем революционность? 01.04.04 01:47  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 01.04.04 02:24  Количество правок: 3
<"чистая" ссылка>
Насроить DHCP сервер на привязку MAC-IP вроде можно, сам я этого не делал (не админ я) но от других слышал - народ делал такое. И чем тогда именно ваш сервер лучше обычного, ведь злоумышленник прекрасно может поменять как MAC, так и имя своего компа. Причем второе - делается легче первого (по кр мере если уже смог поменять МАК адрес то имя компа точно сможешь). Что касается клиентских программ - никаких гарантий что злоумышленник не удалил их перед входом в сеть нету. Что касается блокировки смены адреса путем посылки арп ответа - так это легко обходится хацкером путем физического вытягивания сетевого шнура из хаба (главное чтоб сетевуха не определяла физическое отключение - иначе интерфейс отключится а затем при подключении проверит занятость ИП и не разрешит использование занятого) при смене ИПшника и МАК и загрузке системы. После того как система загрузится, она удостоверится что она одна такая в сети (больше никого то и нет - сеть отключена), и потом хакер подключается к сети физически. Единственное - ваша система (в будущем, с сертификатами) дает возможность оповещения о нелегальном поключении определенного МАК адреса и ИПшника, но это не избавляет от необходимости бегать и искать гада. Да и обычно оно сразу само заметно становится без дополнительного подтверждения цифровыми сертификатами - при появлении второй системы с такими же ИП и МАК начнутся глюки на обоих системах.
Потому самый надежный способ защиты от хацкеров в локалках - управляемые свичи с возможностью жесткого закрепления МАК адресов за определенными портами.
Ну не совсем революционность,никто и не говорит про революционность... 01.04.04 17:24  
Автор: Андрей Орлов Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Насроить DHCP сервер на привязку MAC-IP вроде можно, сам я
> этого не делал (не админ я) но от других слышал - народ
> делал такое.

Конечно можно, только такая настройка не защитит от полученных статических адресов на тот же самый IP, например с другим МАС-ом. Сервер не разработан как система 100% защиты от хакеров, зато он здорово помогает упорядочить разрастающиеся хаотически домашние сети.

>И чем тогда именно ваш сервер лучше обычного

Тем, что контролирует статическое выделение и может строить графики присутствия хостов в сети.
Еще блокирует сторонние DHCP. К тому же фиксирует 2 системы с одинаковыми IP и МАС.

> ведь злоумышленник прекрасно может поменять как MAC, так и
> имя своего компа. Причем второе - делается легче первого
> (по кр мере если уже смог поменять МАК адрес то имя компа
> точно сможешь).

Опять же речь не идет о хакерах, а не зная о существовании такой системы, обычно не станут менять и имя( и ОС, например)

>Что касается клиентских программ - никаких
> гарантий что злоумышленник не удалил их перед входом в сеть
> нету.

Удалил клиента - не попал в сеть!

> Что касается блокировки смены адреса путем посылки
> арп ответа - так это легко обходится хацкером путем
> физического вытягивания сетевого шнура из хаба (главное
> чтоб сетевуха не определяла физическое отключение - иначе
> интерфейс отключится а затем при подключении проверит
> занятость ИП и не разрешит использование занятого) при
> смене ИПшника и МАК и загрузке системы. После того как
> система загрузится, она удостоверится что она одна такая в
> сети (больше никого то и нет - сеть отключена), и потом
> хакер подключается к сети физически.

Я честно говоря не видел сетевух скоростей больше 10 Мб, которые не определяли бы отключение питания и не сообщали бы системе, возможно ошибаюсь :-)

>Единственное - ваша
> система (в будущем, с сертификатами) дает возможность
> оповещения о нелегальном поключении определенного МАК
> адреса и ИПшника, но это не избавляет от необходимости
> бегать и искать гада.

По поводу бегать и искать я сейчас анализирую среднии скорости прохождения пингов, может они могут помочь определить хаб.

> Да и обычно оно сразу само заметно
> становится без дополнительного подтверждения цифровыми
> сертификатами - при появлении второй системы с такими же ИП
> и МАК начнутся глюки на обоих системах.

Про глюк на своей системе Вам могут и не сказать, глюков при использовании концентраторов может и не быть!

> Потому самый надежный способ защиты от хацкеров в локалках
> - управляемые свичи с возможностью жесткого закрепления МАК
> адресов за определенными портами.

Совершенно верно, только они стоят дороже. И не всегда надежны на 100%
Спасибо за сообщение, приятно видеть, что кому-то интересна тема.
А я видел причем много таких у которых в настройках эта фича... 01.04.04 22:12  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > физического вытягивания сетевого шнура из хаба
> (главное
> > чтоб сетевуха не определяла физическое отключение -
> иначе
> > интерфейс отключится а затем при подключении проверит
> > занятость ИП и не разрешит использование занятого) при
> > смене ИПшника и МАК и загрузке системы. После того как
> > система загрузится, она удостоверится что она одна
> такая в
> > сети (больше никого то и нет - сеть отключена), и
> потом
> > хакер подключается к сети физически.
> Я честно говоря не видел сетевух скоростей больше 10 Мб,
> которые не определяли бы отключение питания и не сообщали
> бы системе, возможно ошибаюсь :-)

А я видел причем много таких у которых в настройках эта фича отключается Ж)
Тут цитатка из статьи: 01.04.04 01:10  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
"На самом деле, у нас есть возможность программно генерировать подобные ARP ответы и не пускать компьютер в сеть, то есть якобы присвоить себе все адреса сети."

А что за программы такие?
Может кто знает примеры таких программ (желательно под линукс)?
Ответ 01.04.04 17:28  
Автор: Андрей Орлов Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> "На самом деле, у нас есть возможность программно
> генерировать подобные ARP ответы и не пускать компьютер в
> сеть, то есть якобы присвоить себе все адреса
> сети."

>
> А что за программы такие?
> Может кто знает примеры таких программ (желательно под
> линукс)?

Я не нашел готового решения, можно и правда написать самому. SecureDHCP умеет это делать гибко.
Автор не очень тщательно искал, таких систем действительно... 28.05.04 12:53  
Автор: SergeyD Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Я не нашел готового решения, можно и правда написать
> самому. SecureDHCP умеет это делать гибко.

Автор не очень тщательно искал, таких систем действительно не много, но они есть, вот эта: http://www-user.tu-chemnitz.de/~ensc/ip-sentinel/
судя но новостям развивается с 2002 года, последнюю версию довольно успешно мы используем в домашней сети. Выполняет практически все функции заявленные автором, только принцип немного другой - фальшивые ARP-ответы на запросы с запрешённых IP. Даже если человек сумел зайти в сеть (например на старой севой, которая не отключает интерфейс), то он мало кого увидит, потому что ему все время будут отправлятся ответы с несуществующими МАКами на его ARP-запросы.

Преимущества - не надо ничего менять у пользователей, они как работали так и будут продолжать работать.
Недостатки - нет нормального интерфейса для добавления/удаления/редактирования пользователей и наглядного просмотра логов, но это приходящее, можно и дописать уже.
Замечательный вышел велосипед. А самое главное что масса... 16.04.04 00:11  
Автор: SDV Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Я не нашел готового решения, можно и правда написать
> самому. SecureDHCP умеет это делать гибко.

Замечательный вышел велосипед. А самое главное что масса рассказов и обсуждений, а самой программки то тю-тю. На сайте одна фраза "скоро" и аллес. Не хочу обидеть автора, покажите свое творение и может и я завоплю от счастья, а пока....

По поводу генератора арпов - плохо ищите, уважаемый, таких софтинок пруд пруди, в любом поисковике наберите arp packet generator, или сразу просто одно слово - winarp... А под линукс... Вы шутите, надеюсь? Наберите "arp"....
Огласите весь список, пожалуйста. 16.04.04 10:51  
Автор: mnk Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Замечательный вышел велосипед. А самое главное что масса
> рассказов и обсуждений, а самой программки то тю-тю. На
> сайте одна фраза "скоро" и аллес. Не хочу обидеть автора,
> покажите свое творение и может и я завоплю от счастья, а
> пока....
П-поддерживаю. Только это еще не велосипед, а только "рассказ про велосипед". (даже не чертеж)
С удовольствием покатался бы на этом велике (а то, глядишь, и гайки бы покрутил), но...
Господин Автор Статьи, программку-то покажите, пожалуйста. И оформление заявленного сайта несколько... аскетично. ;) Хоть бы эту статейку на него положили и форум какой...
Очень интересуют планы (что, когда, под какие ОС, какие перспективы и т.п.). Нельзя-ли чуть-чуть поподробнее? Или это просто академическая статья?
STFW 01.04.04 16:20  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Ищи про arp spoof, arp spoofing, arp poisoning, там и копайся. либо напиши быстренько сам такую прогу, ибо давно существует (в том числе и под линукс) библиотечка libnet, которая позволяет довольно удобно генерить любые пакеты.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach