Анализ пакетов на коммутаторе сети
Контрмеры: предотвращение перенаправления АВР
Как вы увидели в предыдущем разделе, не составляет никаких проблем генерировать ложные ответы ARP и модифицировать таблицу ARP на большинстве узлов локальной сети. Где это только возможно, задавайте статические записи таблицы ARP, особенно на важных системах. Стандартный прием заключается в задании статических записей АКР, определяющих взаимодействие брандмауэра и пограничных маршрутизаторов. Это можно реализовать следующим образом.
[shadow] arp – s crush 00:00:С5:74:ЕА:ВО [shadow] arp – a crush (10.1.1.1) at 00:00:05:74:ЕА:ВО [ether] PERM on ethO
Обратите внимание на флаг PERM, который является признаком статической записи ARP.
Использование постоянных статических маршрутов для внутренних сетевых узлов является не самой распространенной практикой в мире. Поэтому можно применять утилиту arpwatch, предназначенную для отслеживания пар АКР-адрес/IР-адрес и уведомления о любых обнаруженных изменениях.
Для активизации этого режима запустите утилиту arpwatch, указав при этом интерфейс, мониторинг которого нужно осуществлять:
[crush].arpwatch – i rl0
Как видно из следующего примера, утилита arpwatch обнаружила работу утилиты arpredirect и поместила соответствующую запись в журнал /var/log/messages.
May 21 12:28:49 crush: flip flop 10.1.1.1 0:50:56:bd:2a:f5 (0:0:c5:74:ea:bO)
Поскольку подобную деятельность выявить не очень легко, то такой мониторинг будет полезен при ее идентификации.
snmpsniff
Если ваш компьютер находится в сегменте сети с множественным доступом, то совсем неплохо ее "прослушать" и узнать, что же в ней происходит. Воспользуйтесь мощным анализатором пакетов SnifferPro компании Network Associates или запустите утилиту snmpsniff, разработанную Нуно Леитао (Nuno Leitao, nuno.leitao@convex.pt). а затем посмотрите, какую информацию вы получили.
Утилита snmpsniff – это прекрасное средство для перехвата не только строк доступа, но и запросов SNMP. Достаточно запустить ее с указанными ниже параметрами, чтобы практически гарантированно получить нечто интересное.
[root@kramer snmpsniff-0.9b]#. /snmpsniff.sh snmpsniffer: listening or .ethO (05:46:12) 172.31.50.100(secret) › > 172.31.50.2 (ReqID:1356392156) GET: <.iso.org.dod.internet.ragmt.mib-2.system.1.0>(NULL) = NULL (05:46:12) 172.31.50.2(secret) › > 172.31.50.100 (ReqID:1356392156) RESPONSE (Err:0): <.iso.org.dod.internet.mgmt.mib-2.system.1.0> (Octet String) = OCTET STRING – (ascii): Cisco Internetwork Operating System Software..IOS (tin) 3000 Software (IGS-I-L), Version 11.0(16), RELEASE SOFTWARE (fcl)..Copyright (c) 1986-1997 by Cisco Systems, Inc…Compiled Tue 24-Jun-97 12:20 by jaturner
Как видно из приведенного выше фрагмента, злоумышленнику удалось узнать одну из строк доступа (secret), которая может оказаться строкой доступа, позволяющей не только получать, но и записывать данные на маршрутизатор 172.31.50.2 с помощью SNMP. Теперь злоумышленник сможет получить доступ не только к устройствам вашей сети, но и попробовать взломать еще одну "жертву" – компьютер с IP-адресом 172.31.50.100.
Контрмеры: защита трафика SNМР
Одна из защитных мер, позволяющих предотвратить перехват трафика SNMP, заключается в его шифровании. В обоих версиях этого протокола, SNMP\2 и SNMPvS, имеется возможность применения алгоритмов шифрования и стандарта DES для шифрования конфиденциальной информации. Альтернативный подход заключается в реализации защищенного канала на базе частной виртуальной сети (VPN – Virtual Private Network). При использовании клиентского программного обеспечения VPN, разработанного компанией Entrust (http://www.entrust.com) или компанией NortelNetworks (http://www.nortelnetworks.com), гарантируется шифрование трафика между клиентским узлом и концом канала VPN.