LINUX.ORG.RU

ARP-spoofing и методы борьбы с ним


0

0

Появилась статья посвящённая одной из самых распространённых в локальных сетях атаке -- ARP-spoofing'у и технике борьбы с ней.

В статье на примере атаки, выполненной с помощью программы ettercap, детально описана техника ARP-spoofing; рассмотрены такие методы обнаружения и предотвращения ARP-атак, как слежение за ARP-активностью с помощью arpwatch, наложение специальных патчей для придания иммунитета системам, использование VLAN и PPPoE. Показано как решать имеющие прямое отношение к ARP задачи: поиск компьютеров по известному MAC-адресу и обнаружение новых компьютеров в сети.

>>> Статья

Ответ на: комментарий от emp

> "большинство современных коммутаторов замечательно разрешают обмен."

> в случае port-based между портам обмена нет. весь трафик идёт на шлюз и через него роутится. отсюда полный контроль трафика.

Вы не правы, если мой PC подключен к порту, который помещен в VLAN5, то я свободно (на большинстве современных коммутаторов) отправлю пакет станции в VLAN7 без участия шлюза (VLAN с номерами 5 и 7 тут для примера). Использовать VLAN как технологию обеспечения безопасности достаточно глупо, VLAN допустима только как дополнительная мера защиты, но не её основа, увы.

saper ★★★★★
()
Ответ на: комментарий от saper

> Вы не правы, если мой PC подключен к порту, который помещен в VLAN5, то я свободно (на большинстве современных коммутаторов) отправлю пакет станции в VLAN7 без участия шлюза (VLAN с номерами 5 и 7 тут для примера). Использовать VLAN как технологию обеспечения безопасности достаточно глупо, VLAN допустима только как дополнительная мера защиты, но не её основа, увы.

расскажите физику процесса. особенно интересен случай с port-based vlan.

emp
()
Ответ на: комментарий от emp

Зачем вы так упираете на термин "port-based vlan"? Чем он отличается для современных коммутаторов от VLAN с использованием 802.1q? Ведь в случае "port-based vlan" шлюз все равно подключается по 802.1q.

Кратко так: находясь в VLAN5 я отправлю кадр с тэгом VLAN7 и он дойдет до получателя.

saper ★★★★★
()
Ответ на: комментарий от saper

> Зачем вы так упираете на термин "port-based vlan"? Чем он отличается для современных коммутаторов от VLAN с использованием 802.1q? Ведь в случае "port-based vlan" шлюз все равно подключается по 802.1q.

совершенно не обязательно 802.1q

>Кратко так: находясь в VLAN5 я отправлю кадр с тэгом VLAN7 и он дойдет до получателя.

подскажите модель которая с untagged порта выпустит tagged пакет, да ещё и воспримет его как руководство к действию.

emp
()
Ответ на: комментарий от emp

> совершенно не обязательно 802.1q

4000 сетевух воткнуть? ;-) Или есть сетевухи с поддержкой VLT/ISL? Ведь в статье говорится и вы говорили про так называемый C-VLAN, когда каждая станция в своем уникальном (как я понял) виртуальном сегменте.

saper ★★★★★
()
Ответ на: комментарий от saper

>Вы не правы, если мой PC подключен к порту, который помещен в VLAN5

ага, то есть имеем ацессный порт с vid=5

>то я свободно (на большинстве современных коммутаторов) отправлю пакет станции в VLAN7

проверил на catalyst 2960. не работает. что я делаю не так? :)

Скажите, на какой модели какого вендора вдув в ацессный порт dot1q фрейм он окажется в нужном вилане?(да, можно сказать switchport mode dynamic, но тогда вопрос кардинально меняется).

anonymous
()
Ответ на: комментарий от anonymous

> проверил на catalyst 2960. не работает. что я делаю не так?

Как проверяли? Для Cisco в ряде случаев потребуется двойная инкапсуляция. Не самая полная статья по проблеме тут: http://www.askapache.com/security/bypassing-vlan.html

saper ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.