» Защита локального трафика от прослушивания снифером.

Чем можно защитить локальный трафик ЛВС от прослушивания сниферами и прочими утилитами.
Достаточно ли для этого IPSec?
А может можно обойтись без IPSec? Надо защитить передачу паролей в:

1. TheBAT!
2. Вход в систему.

Насчет theBat!:
сервер POP3 находится на компе FreeBSD.
Если использовать штатные средства Бата для специальной аутентификации (в настройках можно выбрать разные варианты аутентификации) нужно ли донастраивать FreeBSD?

1. Установка свичей и организация VLAN.
2. Шифрование трафика.
IpSEC шифрует трафик при организации тунелей.
POP3 протокол не предусматривает шифрования трафика.
Думаю IMAP тебе поможет см. здесь http://www.unixfaq.ru/index.pl?req=qs&id=393

der
достаточно хабы заменить на свитчи , и ограничить доступ к свитчам и кабельной системе . Чтобы никто не мог воткнуть лишний хаб в сеть без твоего ведома .


Цитата:

2. Вход в систему.

что за ось ? Все нормальные OS шифруют пароли так , что ни один сниффер не возьмет

Я бы просто поднял IPv6 (если, конечно, сеть без музейных экспонатов). IPSec однозначно достаточно!


Цитата:

2. Вход в систему.

Что такое в твоем понятии "вход в систему"? SSH, Telnet, Radmin, Terminal services ....?


Цитата:

Если использовать штатные средства Бата для специальной аутентификации (в настройках можно выбрать разные варианты аутентификации) нужно ли донастраивать FreeBSD?

FreeBSD донастраивать не нужно. А вот почтовый демон придется


Цитата:

POP3 протокол не предусматривает шифрования трафика.

SSL/TLS прикручивается.


Цитата:

Все нормальные OS шифруют пароли так , что ни один сниффер не возьмет

При чем тут оси? Telnet на любой оси снифается.


Цитата:

ограничить доступ к свитчам и кабельной системе

Ого-го... Что-то я себе с трудом представляю "ограничение доступа к кабельной системе" для организации, занимающей больше одной комнаты. ПМСМ, IPSec поднять значительно проще.

Цитата:

der
достаточно хабы заменить на свитчи , и ограничить доступ к свитчам и кабельной системе . Чтобы никто не мог воткнуть лишний хаб в сеть без твоего ведома .

Вы так наивно полагаете а я вам скажу так - свичи это теже хабы и прослушиваются также - почитайте литературку посвежее прежде чем утверждать и софт посвежее - всё увидится как и в хабах - проверено !

Добавлено

Цитата:

что за ось ? Все нормальные OS шифруют пароли так , что ни один сниффер не возьмет

тоже неверное утверждение

чтобы не быть голословным сразу скажу
1. проверялось на свитчах 3Com SuperStack3 4200 серии (если вам это что то говорит)
2. так же проверялось на Cajun P334T (если вам это то же что то говорит)
3. про низшие серии типа Alien и тому подобные я говорить небуду

Цитата:

Вы так наивно полагаете а я вам скажу так - свичи это теже хабы и прослушиваются также

Wow !!! . Оказывается свитч это тот-же хаб . очень интересная новость . хотя конечно можно и так сказать - портов столько-же , если комп в него воткнуть - тоже сеть появится . чем бы не хаб .

Да будет вам известно , что основное отличие свитча от хаба соститт в логике работы . хаб принятый пакет плюет во все порты кроме исходного , соответственно сетевая карта , переведенная в promiscious mode видит все что творится в сегменте сети . Свитч же хранит в памяти таблицу мас адресов и передает пакет только адресату , за счет чего увеличивает производительность сети . Таким образом снифающая машина увидит только свой траффик и еще броадкасты всякие , от которых ей пользы нет .
Все это было неоднократно проверено на цисках и трикомах всяких .

если есть что возразить - литературу и софт в студию .



Цитата:

Все нормальные OS шифруют пароли так , что ни один сниффер не возьмет

При чем тут оси? Telnet на любой оси снифается.

вы много видели работающих систем , где для входа используеся чистый telnet ?

Zlobny_John
Это если отсутствует физический доступ к свичу...
Не забывай про программируемые свичи, где
можно заставить весь траффик дублироваться на выбранный порт.

Добавлено
Да, есть еще arp-сорняки...

Цитата:

Это если отсутствует физический доступ к свичу...

Физический доступ должен быть ограничен для всех кроме it персонала .

Цитата:

Не забывай про программируемые свичи, где
можно заставить весь траффик дублироваться на выбранный порт.

не разу не видел программируемогог свитча без пароля . пароль должен быть только у тех , кому он реально нужен .


Цитата:

Да, есть еще arp-сорняки...

а это что за зверь ?

Zlobny_John
der

О сниффинге коммутаторов см. здесь: http://www.nag.ru/2003/0405/0405.shtml
противодействие: http://www.nag.ru/2003/0411/0411.shtml
WWW.NAG.RU полезный и грамотный ресурс (в закладки ).

Zlobny_John

Цитата:

а это что за зверь

ARP-poisoning (подделка mac-адресов).
Как правило просто закидывание свича кучей пакетов
с разных mac-адресов.

Цитата:

ARP-poisoning (подделка mac-адресов).
Как правило просто закидывание свича кучей пакетов
с разных mac-адресов.

Ааааа , это уже здесь обсуждалось . То есть мысль такая была .

AttS
да , прикольно написано . Но что -то мне подсказывает что уж больно геморройно сниффить будет по сравнению с хабами .

Zlobny_John

Цитата:

больно геморройно сниффить будет по сравнению с хабами

Да, но этот вариант исключать нельзя.
Свич - это условно необходимое, но далеко не достаточное условие
безопасности трафика.
Единственный вариант (не реализуемый на практике) - каждой рабочей
станции - своя сетевая карта на сервере плюс полное шифрование
со стойкостью не ниже 128-битного DES по длинным паролям.
И, соответственно, непрерывная связь и мониторинг каждого IP
(если связь будет по этому протоколу)

Zlobny_John

Цитата:

вы много видели работающих систем , где для входа используеся чистый telnet ?

Ну хорошо, в *никсах с этим вроде проблем нет. А в форточках многие пионеры не то что не закрывают 23 порт а еще и умудряются его юзать! (Хотя функциональность виндового телнета меня лично умиляет )

Да какая в общем-то разница. А FTP? А POP3? A HTTP Basic Authentication (без SSL)?
Причем опять же, огромное кол-во криворуких админов умудряются использовать один и тот же эккаунт (с одним и тем же паролем) на, скажем, FTP, POP3/IMAP и ... рутоый шел

Zlobny_John
Сниффается на раз, если не принимать специальных мер, которые не на каждом коммутаторе можно принять. Про ARP-poison атаки тебе уже писали (все гениальное просто), так что нет смысла повторяться и описывать технологию...

der
Защититься от прослушивания практически невозможно, если вообще существует возможность прослушивания, т.е. если мы говорим об одном сегменте сети, и т.д. и т.п. Выход -- затруднить интерпретацию прослушаных данных, т.е. шифроваться, шифроваться и еще раз щифроваться. Как -- зависит от конкретного случая.

JcVai

Цитата:

Единственный вариант...

Далеко не единственный. Если мы говорим о безопасности трафика, то наиболее простой ответ здесь уже звучал -- это IPSec.

ooptimum
IPSec - это не панацея.
В зависимости от реализации у него то же есть
как недостатки, так и чистые дыры, хотя на сегодняшний день
он, имхо, одно из лучших решений для комплексных
мер по безопасности.

Цитата:

Wow !!! . Оказывается свитч это тот-же хаб . очень интересная новость . хотя конечно можно и так сказать - портов столько-же , если комп в него воткнуть - тоже сеть появится . чем бы не хаб .

Да будет вам известно , что основное отличие свитча от хаба соститт в логике работы . хаб принятый пакет плюет во все порты кроме исходного , соответственно сетевая карта , переведенная в promiscious mode видит все что творится в сегменте сети . Свитч же хранит в памяти таблицу мас адресов и передает пакет только адресату , за счет чего увеличивает производительность сети . Таким образом снифающая машина увидит только свой траффик и еще броадкасты всякие , от которых ей пользы нет .
Все это было неоднократно проверено на цисках и трикомах всяких .

если есть что возразить - литературу и софт в студию

без проблем - NAG.ru - и это работает ! что вы думаете я бы вам голословно писл бы это и приводил модели свичей на которых это было проверено ?!??! так что ....... "да будет ВАМ известно" )

Добавлено

Цитата:

да , прикольно написано . Но что -то мне подсказывает что уж больно геморройно сниффить будет по сравнению с хабами

Никакого гимороя - снифится один в один ))) и даже лучше ))

NetAndy

Цитата:

Никакого гимороя - снифится один в один ))) и даже лучше ))

Ничего подобного. Для снифа на свитчах необходимо как минимум
обладать базовой информацией о сети и потратить достаточно времени на подстройку.
На хабах же достаточно просто подключиться и получить на блюдечке.

Цитата:

Ничего подобного. Для снифа на свитчах необходимо как минимум
обладать базовой информацией о сети и потратить достаточно времени на подстройку.
На хабах же достаточно просто подключиться и получить на блюдечке

Вы так думаете ? Дело в том что soft оторый упоминался в Nag.ru я скачал, поставил на машинку и.... что вы думаете - тут же полезла инфа (зато бедные бедные логи у FreeBSD - там такое начало показывать...)

Имя программы в студию...
А то в моей сетке cain на win2k крутит в пустую...
(Свичи d-link, сервера к одному свичу, рабочие станции
к другим, соединенным с "серверным")

JcVai
Может ethereal тогда? Не знаю...

Цитата:

А то в моей сетке cain на win2k крутит в пустую...

А кого ты poison'ишь? И вообще, ты уверен, что каином умеешь правильно пользоваться?

JcVai

Базовых познаний не сильно много и надо, вопрос в желании .
Проводил эксперимент, как и NetAndy, сниферятся свитчи на раз.
Парольчики перехватывает, а ведь можно и трафик захватывать.
В логах пингвина тоже творилась паника.
А WinPcap был загружен? Просто у Cain не очевидная метода работы

ooptimum

Цитата:

А кого ты poison'ишь? И вообще, ты уверен, что каином умеешь правильно пользоваться?

Не уверен...
Может им надо гвозди забивать...
Включаю arp-poison с 5сек на запрашиваемые пакеты,
с реального ip-адреса. Запускаю его и сниффер.
Сажусь за рабочую станцию, авторизируюсь с серверами
телнетом, http и smpt. Проверяю - пусто.

AttS

Цитата:

А WinPcap был загружен?

Конечно.

Сейчас проверил, сниффит только то, что отправляется
с компа, на котором он установлен.

у меня гениальная идея - поставить на каждый комп поставить гигабитную оптику, пихнуть в отдельную сетку, втыкнуть эта все в 12012GSR, спеть песенку юнных октябрят и застрелицца.

Сейчас закончил анализ...
Снифятся только те, что подключены в один свич,
а если учесть, что на корневом свиче у меня только серваки,
а рабочие станции идут на третьем уровне...

new_yorik
Зачем. Лучше замкнуть на самих себя и подорваться.

JcVai
фулдуплекс поставь на свиче, потом будеш делать анализ. а подорвать я сам кого хош могу.

Угум, ЭТО он могЁт... [new_yorik]
Нет народ, а об чём вообще спор???
То что на свиче снифить можно, это давно всем понятно...
Но вот то что, на свиче это ловится на раз-два...
Спорить кто то хочет???

Ребят.. у меня аналогичная проблема.
Будучи честным и наивным спецом, никогда даже не интересовался возможностью снифферить кого-то...

и тут, моя коллега, вся в слезах, говорит, что замуправляющего читает ее аську
Тривиал не проходит. Похоже именно на то, что снифферит

Есть ли проги, которые перехватывают аську по конкретному UIN и декодируют в сообщения? (онлайн-чтение чужой переписки по аське)
Кто-нибудь встречал?

DominoR
Есть конечно типа ICQsniff (примерное название)
Весь трафик ICQ НЕШИФРОВАНЫЙ и легко перехватывается.
Единственный эффективный способ защиты как уже писали --- ШИФРОВАНИЕ трафика при помощи IPsec

А если шифрование траффика не работает?

Ethernet. От грамотного инсайдера защититься невозможно в принципе.