Защити свою локалку

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #042, стр. 042-088-2

Возможен другой вариант: в сети, построенной на хабах, халявщик будет иметь полный доступ к ресурсам, находящимся до его роутера. Если он запросит узел, который расположен в другом сегменте, шлюз обратится к своей ARP-таблице за правилом соответствия MAC и IP. Обнаружив, что айпишник не соответствует физическому адресу, роутер не выполнит запрос хакера.

Но халявный инет возможен даже при активной ARP-привязке. Для этого хакеру необходимо подменить MAC-адрес. По стандарту Ethernet MAC от сетевухи прошит в микросхему и не может быть заменен, однако на уровне ОС подмена возможна. Для этого взломщик обращается к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<network adapter>\Parameters и меняет значение поля NetworkAddress. После ребута сетевуха будет уже с новым маком. В WinXP справится даже ребенок: в настройке сетевого соединения необходимо выбрать настройку карточки и прописать заветный MAC. Ребут не нужен. Несмотря на то, что управляемые коммутаторы логируют изменение MAC, юзер может сделать замену при выключенной сетевушке или выдернутом кабеле.

Хакер предварительно сканирует сеть, ищет жертву и без проблем узнает ее сетевые реквизиты. Обращается к ветке реестра... и юзает халявный инет.

Выявить факт подмены при правильных действиях хакера довольно проблематично. Точнее, сам факт выясняется после того, как юзер увидит системное оповещение о двойном использовании IP-адреса в сети. Зафайрволенного до зубов героя провайдер находит следующим образом. Сеть физически разделяют на две части. Затем, если линк до героя-хакера не пропадает, еще на две. И так до обнаружения последнего Jack'а. Если провайдера вынуждают идти на такие меры, последствия будут плачевными для хакера :).

Становится модным устанавливать программы-авторизаторы, которые блокируют замену сетевых реквизитов. То есть любой клиент не получит ни байта интернета, пока не запустит авторизатор. Последний коннектится к маршрутизатору и отправляет ему свой личный пароль. После этих действий на шлюзе заносится правило файрвола, разрешающее юзать интернет. Таким образом, чтобы поиметь халяву, хакеру необходимо знать пароль на авторизатор, что значительно затрудняет подмену реквизитов. Тем не менее, случаи бывают, с такими хакерами провайдер особо не церемонится, а отключает физически.

Приводить здесь рутинную настройку софта для защиты от хакеров нет смысла. В интернете полно статей о том, как настроить ARP и авторизатор. Скажу только, что статические привязки добавляются с помощью команды arp –s ip-addr mac-addr, а сорцы авторизатора ты можешь найти на сайте www.nag.ru. А самой лучшей защитой, которой придерживаются многие провайдеры, является переход на управляемые коммутаторы и последующая привязка порта к определенному MAC-адресу.