Защити свою локалку

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #042, стр. 042-088-1

(forb@real.xakep.ru)

Нейтрализация сетевых атак

В каждой сети есть свои крысы, которые хотят халявного инета или желают зла провайдеру, то есть тебе. С ними надо бороться и жестоко пресекать хакерскую деятельность, либо будешь работать себе в убыток. Для этого необходимо знать возможные сетевые атаки и методы их пресечения.

Снифание трафика

Любая локальная сеть изначально построена на концентраторах, это связано с нехваткой материальных средств. Концентратор представляет собой простейшее устройство, выполняющее усиление сигнала и повтор его на все порты. Логическая топология в большинстве сетей – звезда, физическая – общая шина. Таким образом, пакет будет проходить через каждый концентратор по всем узлам сети. Несложно догадаться, что при определенном желании любой клиент может перехватить пакет данных и прочитать его. Причем это будет вполне законно – данные передаются через его станцию, и никто не мешает их прочитать.

Помогает разбивка маршрутизаторами и коммутаторами. Без этого никак, потому что районная сеть не может работать без роутеров. Но в одном сегменте проснифить (прослушать все пакеты) элементарно, в результате чего без проблем уводятся пароли на почту, статистику, ICQ и т.п.

Пару лет назад программ-сниферов под винды было мало, но со временем ситуация изменилась. От программы не требуется ничего сложного: снифер переключает сетевую карту в promisc-режим. В этом положении адаптер принимает абсолютно все пакеты, не проверяя соответствие MAC-адреса. В этих пакетах встречаются различные пароли :).

По сути, снифинг – это преступление. Но выявить факт прослушивания очень сложно. Бегать по клиентам и смотреть работу их сетевой карточки гиморно, поэтому единственным верным решением является переход на коммутаторы. Коммутатор не повторяет сигнал, а направляет его по назначению (сравнивает MAC-адреса). В результате хакер ничего не уловит, а пользователи будут в безопасности. Если же перейти на коммутаторы пока затруднительно, есть смысл использовать SSL в сервисах. На статистику пускать только через HTTPS, авторизаторы (о них подобнее ниже) снабдить OpenSSL-поддержкой, FTP, Mail и прочие ресурсы также подвергать секурной обработке. После такой модернизации злоумышленнику останется кусать локти.

В реальной жизни снифание – довольно типичное явление в локальных сетях, однако особого вреда сети не приносит, поэтому отлов преступников не производится. Тех, кто совершает подобные действия, даже хакерами не назовешь, так как им далеко до реальных взломщиков :).

Подмена сетевых реквизитов

При подключении к сети клиенту выдают информацию, которая содержит IP-адрес, DNS-серверы, пароль на почтовый ящик и другие данные. Проще говоря, он получает листок с информацией о прописке в сети. То есть у каждого клиента есть собственный IP и MAC-адреса.

Поюзав инет и поняв, что выкачивание тонны вареза – удовольствие дорогое, юзер может попробовать заюзать халявный инет путем замены своих реквизитов (реквизиты: IP и MAC-адреса). В самом запущенном случае ему достаточно сменить IP-адрес (в установках сетевого соединения) и радоваться халявному доступу. Маршрутизатор будет считать трафик по смененному IP, а не по истинному адресу хакера. Однако этот прием не сработает в большинстве сетей: админы делают жесткую привязку IP-адреса к MAC-адресу сетевой карты.