[ selector @ 24.02.2010. 09:42 ] @
Koje su mogucnosti analize konekcija u switch-ovanoj mrezi - konkretan zadatak: odredjivanje IP adrese hosta i IP adrese destinacije odnosno host 212.xxx.xxx.xxx ima konekciju na 209.85.135.99?
[ Danijel Krmar @ 24.02.2010. 14:18 ] @
Ne bi bilo loše da objasniš šta tebi treba, možda je do mene ali mi nije jasan tvoj post.

Za analizu saobraćaja je najbolji program Wireshark, a ako hoćeš da vidiš topologiju mreže možeš da koristiš program The Dude. S druge strane ako koristiš Cisco switch-eve pomoću CDP-a možeš da dobiješ detaljne informacije o drugim switch-evima, između ostalog i IP adrese.

Opet, nisam siguran da li je išta od toga ono što tebi treba.
[ selector @ 24.02.2010. 15:42 ] @
sorry za manjak informacija.
mislim na analizu network-a gde nisi administrator i nemas pristup switch-evima, vec si samo 'obican' korisnik.
ima li alternative arp spoofing-u, i koje bi bile prevencije?

thanx
[ Danijel Krmar @ 24.02.2010. 19:23 ] @
Aj da pretpostavimo da si u Windowsu. Za analizu saobraćaja, a i detekciju ARP spoofing-a možeš da koristiš Wireshark. Pri tome taj program možeš da koristiš kao limited user, ali je za njegov rad nepohodan podignut winpcap driver, a to je moguće samo iz administratorskog naloga.

Za unixoide postoji program arpwatch koji ti javlja ako dođe do promene ARP tabele i postoji arptables kojim možeš da zabraniš pristup određenom hostu.

Način da se zaštitiš od ARP spoofinga je analiza saobraćaja i da koristiš statičku ARP tabelu komandom arp -s ako se radi o manjoj mreži. Port security na switch-evima takođe može biti od pomoći.

[Ovu poruku je menjao Danijel Krmar dana 24.02.2010. u 22:03 GMT+1]
[ selector @ 25.02.2010. 11:04 ] @
problem je kako analizirati kao obican korisnik mreze, a ne admin, kada imas pristup tabelama odnosno switchew-ima.
[ someone_bl @ 25.02.2010. 13:36 ] @
ja i dalje ne znam sta ti hoces da analiziras, i stace ti uopste ARP ?

Hoces da sa svog racunara pratis ko sa kog racunara gdje surfa odnosno zapocinje konekcije prema vanjskim i unutrasnjim hostovima pa bi sad da ti mi napisem jedan tri klik tutorial za to ?

E toga nema kao sto nema ni uputstava za bilo kakave maliciozne radnje.
[ selector @ 26.02.2010. 09:52 ] @
Citat:
someone_bl: ja i dalje ne znam sta ti hoces da analiziras, i stace ti uopste ARP ?

Hoces da sa svog racunara pratis ko sa kog racunara gdje surfa odnosno zapocinje konekcije prema vanjskim i unutrasnjim hostovima pa bi sad da ti mi napisem jedan tri klik tutorial za to ?

E toga nema kao sto nema ni uputstava za bilo kakave maliciozne radnje.


pazi ovo: prvo kazes "ja i dalje ne znam sta ti hoces" a onda na-u potpunosti ukapirano pitanje, drska izjava da ti u stvari treba da pises tutorijal. niko ovde ne trazi turorijal!
diskusija je jasna:
Koje su moguce metode za analizu switch-ovanog net-a i koje su prevencije. Svako iskustvo je dragoceno!
[ srndach @ 26.02.2010. 10:07 ] @
... nema teorije ako nisi admin da uradis bilo sta sto se tice snifovanja u mrezi ...
... to i jeste posao network admina ... izmedju ostalog ...
[ Danijel Krmar @ 26.02.2010. 11:08 ] @
Citat:
selector:diskusija je jasna:
Koje su moguce metode za analizu switch-ovanog net-a i koje su prevencije. Svako iskustvo je dragoceno!


Ne, diskusija nije uopšte jasna. Prvo spominješ analizu mreže, pa onda odjednom ARP Spoofing. Nama nije jasno šta ti hoćeš i šta tebi treba, barem meni nije.

Rečeno ti je već da kao običan korisnik ne možeš da snifuješ mrežu, jednostavno svi ti drajveri koji mogu da hvataju pakete (kao što je winpcap) zahtevaju administratorska prava. Probaj konkretno da kažeš šta hoćeš da uradiš, možda ćemo ti onda moći pomoći.
[ selector @ 26.02.2010. 12:54 ] @
naravno da mozes da snifujes mrezu -- pr: arp spoofing(passive sniffing).
cilj mi je bio otvaranje diskusije o mogucnostima anliziranja mreze, protoka saobracaja, i dao sam primer pracenja konekcija ko sa koga racunara-gde surfuje. sto mislim da je malicioznom user-u najinteresantnije.
posto mi je problem arp spoofing-a poznat, pitao sam za alternative i njihove preventive, jer nijedan system nije 100% siguran, i moj licni cilj je usavrsavanje sigurnosti system-a za koji sam odgovoran.

[ igor.vitorac @ 26.02.2010. 13:26 ] @
Sta koristis od mrezne opreme na tvojoj mrezi?
[ srndach @ 26.02.2010. 13:50 ] @

http://en.wikipedia.org/wiki/ARP_spoofing

http://sync-io.net/go/www/Products/anti-arpspoof.aspx

[ selector @ 26.02.2010. 13:55 ] @
Catalyst!
[ Danijel Krmar @ 26.02.2010. 17:07 ] @
Ne znam ni za jedan program koji pristupa mrežnim uređajima, a da možeš da ga koristiš kao običan korisnik. Ettercap i dSniff koji su najčešći za ARP spoofing zahtevaju takođe root privilegije kako bi uopšte mogli da pristupe mrežnom uređaju.

Što se zaštite tiče, na Catalyst switch-evima postoji nešto što se zove DHCP Snooping, dok na novijim postoji još i Dynamic ARP Inspection. U princupu DAI zavisi od DHCP Spooninga, ali može i bez toga koristeći ARP ACL-ove. DAI radi na principu trusted i untrusted portova. Korišćenje statičnih ARP tabela takođe smanjuje prostor za napad.
[ igor.vitorac @ 27.02.2010. 21:41 ] @
Citat:
selector: Catalyst!


Sa njim mozes odlicno da zastitis mrezu, i da mirno spavas.
Kreni od www.cisco.com, tamo ces naci dosta informacija koje su javno dostupne. Ako ti neke metode zastita nisu jasne, pitaj.


[ ccie3b @ 01.03.2010. 15:06 ] @
Ako nisi administrator, a hoces da uradis nesto tipa SPAN (tj. da snifujes svicovani saobracaj izmedju dve stanice, a nijedna od te dve nije tvoja), mozes da uradis sledece:

1) nadjes na netu softver koji generise veliki broj paketa sa razlicitim MAC adresama, da bi napunio CAM tabelu svica sa MAC adresama
2) posle toga svic radi "unknown unicast flooding" (bradcast) svog saobracaja jer mu je CAM tabela puna beskorisnih unosa
3) sav taj saobracaj dolazi i do tvog porta na kome sa Wireshark-om snifujes sve sta dolazi
3) napravis filter koji vadi samo pakete izmedju dve adrese koje su ti interesantne i to je to

[ igor.vitorac @ 01.03.2010. 15:17 ] @
Ako se konfiguracija switch-a odradi kako treba, ovo nece biti izvodljivo.
[ miodragpro @ 01.03.2010. 23:10 ] @
Neki od mehanizama koji bi sprecili snifovanje L2 mreze a po preporuci velikog Cisca iz San Franciska su:
1.Za upravljanje switcha preko protokola za upravljanje koristiti siguran protokol kao sto je SNMPv3-u koji u odnosu na protokole SNMPv1 i SNMPv2c podatke ne salje u plain-text formatu.
2.Iskljuciti bilo koji aktivan servis na switch-u ukoliko nije nephodan.
3.Koristiti konfiguraciju port security da ograničimo broj dozvoljenih MAC adresa koje port može da nauči.
4.Ne slati korisnicke podatke preko native VLAN-a na IEEE 802.1q trunk portu.
5.Administrativno iskljuciti bilo koje neiskoriscene portove.
6.Koristiti STP sigurnosne mehanizme kao sto su Root Guard i BPDU Guard.
7.Omoguciti DHCP snooping i Dynamic ARP. Inspection (DAI) radi sprecavanja man-in-the-middle napada.

I onda smo sigurni i tacka,valjda??

[Ovu poruku je menjao miodragpro dana 02.03.2010. u 09:45 GMT+1]