Nem snifferelhető csomag http-n keresztül
2013-01-25T12:03:51+01:00
2013-01-25T17:31:11+01:00
2022-07-19T01:30:55+02:00
zolexander
Szeretnék egy tűzfalat csinálni. Ehhez kellene nekem egy olyan rész, ami megakadályozza TCP/Ip protokolon keresztül a snifferelés lehetőségét. Lehetőleg nem szeretnék külön hardware-t üzemeltetni erre a célra( switch). Hogyan lehet elérni, hogy ne tudjon valaki egy hálózatban a másik adatforgalmát elérni? Van erre alapbeállítás egy router-ben? Ha nincs akkor hogyan tudom megoldani ezt. Ha kell újraírhatok minden kimenő csomagot csak nem tudom milyen paramétert kellene beírni még hozzá, hogy más ne férjen hozzá az adatforgalomhoz. Ez http protokolon keresztül kellene. TLS protokolnál tudom ez alapértelmezett, de http-n, tehát normál kapcsolatnál hogy lehet ezt megtenni? Szeretnék biztosítani egy védelmet a nem https protokolon menő csomagok számára, hiszen alapértelmezetben bárki láthatja az adatot
Mutasd a teljes hozzászólást!
A forgalmad átirányítása ellen az egyik lehetséges megoldás, hogy rögzíted a router MAC címét a gépedben:
arp -s <router IP-címe> <router MAC-címe>

Másik megoldás, hogy ezt a routerben teszed meg a kliensekkel szemben - például.

Harmadrészt vannak olyan alkalmazások, amelyek az ilyesmi eltérítéseket detektálják - ilyen például az xARP (de szerintem sok 3. féltől származó tűzfal, Internet-biztonsági csomag - vírusirtó+tűzfal kombó - tartalmaz ilyet).

Illetve mivel egy szobában vagy az elkövetővel - előveszed a "fa testápolót" (vagy párnát/összecsavart vízes törülközőt/valamelyik végtagodat) és felhívod a figyelmét arra, hogy ezen eszköz(ök) használatát fogod alkalmazni vele szemben, ha nem viselkedik megfelelően. Tudom csúnya, terrorizáló/önbíráskodó fellépés, de hatásos.
Mutasd a teljes hozzászólást!

  • Rossz úton jársz. A csomagok bárhol sniffelhetők (még csak ráhatásod sincs, hogy milyen eszközökön, országokon mennek keresztül a csomagjaid a forrástól a célig). A lehallgatás ellen védekezz VPN-nel vagy egyéb titkosítási módszerrel (IPSec, SSL, stb.)
    Mutasd a teljes hozzászólást!
  • Nekem csak a routerig kellene. Utána már nem nagyon érdekelne, hogy min keresztül megy át, azt úgyse tudom megakadályozni. De a router-től a gépig kellene
    Mutasd a teljes hozzászólást!
  • A "routertől a gépig" csak egy UTP kábel van, azt nyilván senki sem fogja lehallgatni. Ha pedig mások csatlakoznak a router LAN switch portjaira, nos, alapból nem látnák (hiszen switch), de ha fifikásabb az illető, akkor bizonyos módszerekkel elérheti, hogy mégis lássa a csoamagokat. Ezt nem tudod megakadályozni. Ilyen az internet protokoll.
    Mutasd a teljes hozzászólást!
  • Hát én tavaly a koliban a szobatársam feszt capturált minden jelszavamat( már ami nem tls protokolon ment) ezért szoktam le a freemail-ről a citromail-ről, az indamail-ről és egy két simplemachine forumról. Pedig én LAN-ról neteztem ő pedig wifi-ről. Aztán megtanultam én is ezt, és kb mindenki adatforgalmát "láttam" a router-ig
    Erre szeretnék megoldást egy saját magam írt tűzfallal. Nekem az is megoldás ha legalább detektálom sniffert
    Mutasd a teljes hozzászólást!
  • A tűzfal nem erre való, fogalomzavarban szenvedsz. Mondom újra: rossz úton jársz, amit szeretnél, azt nem lehet megvalósítani.
    Mutasd a teljes hozzászólást!
  • Kérdés, hogy a LAN HUB-ra vagy switchre épül? A switch csak a megadott ip-re továbbít csomagot, így nem könnyű lehallgatni, kivéve persze ha spec. beállításokkal eléred, hogy minden lábán ismételje a csomagot. Ekkor úgy viselkedik mint egy hub. HUB-ot viszont már elég régóta nem használnak már, így szerintem egy rosszul beállított switch okozza ezt, vagy szándékosan így állították be egyéb kontroll miatt.
    Tenni az ottani RG tudna ellene.
    Mutasd a teljes hozzászólást!
  • Pongyola vagyok, bocs: nem ip-re továbbít, a switchet nem érdekli az ip, hanem MAC-re.
    Mutasd a teljes hozzászólást!
  • A forgalmad átirányítása ellen az egyik lehetséges megoldás, hogy rögzíted a router MAC címét a gépedben:
    arp -s <router IP-címe> <router MAC-címe>

    Másik megoldás, hogy ezt a routerben teszed meg a kliensekkel szemben - például.

    Harmadrészt vannak olyan alkalmazások, amelyek az ilyesmi eltérítéseket detektálják - ilyen például az xARP (de szerintem sok 3. féltől származó tűzfal, Internet-biztonsági csomag - vírusirtó+tűzfal kombó - tartalmaz ilyet).

    Illetve mivel egy szobában vagy az elkövetővel - előveszed a "fa testápolót" (vagy párnát/összecsavart vízes törülközőt/valamelyik végtagodat) és felhívod a figyelmét arra, hogy ezen eszköz(ök) használatát fogod alkalmazni vele szemben, ha nem viselkedik megfelelően. Tudom csúnya, terrorizáló/önbíráskodó fellépés, de hatásos.
    Mutasd a teljes hozzászólást!
  • Köszi a tippet. Tudom, hogy ez már a fatestápoló jó megoldás lenne. Engem meglepett, hogy hubra volt a szintünk switch-e állítva valami miatt. Ezt tudtam én is. Viszont most úgy döntöttem írok egy sajátot( a tűzfalakban, hogy ez be van építve, nem vagyok teljesen meggyőzve, használtam Avast-ot, Eset Smart Security-t, használtam a Windows 7 Ultimate tűzfalát( valódi rendszergazdai beállításokkal, sokmindent tiltottam amit csak lehetséges, és tudtam, hogy érdemes) Használtam linux-ot( ötféle disztróval, iptables tűzfallal méghozzá elég kemény beállításokkal), de mégis valahogy le tudta szedni az adatot. Tudom, hogy csinálta, mert megnéztem stikában a gépe programjait, a programoknak utánanéztem amiket használt, nem volt túl nagy ördöngőség kezelni őket( persze én rögtön megtaláltam a linux-os verzióját, azok még jobbak is voltak mint amit használt a gyerek a sima xp-n). De akkor is ,azért ennyi tűzfal lenne xar... Egyik tűzfal sem jelzett semmit. Pedig iptables-ben minden portot lezártam, az arp cím alapértelmezetten rögzitve volt a hálózatban( tehát nem lehetett átállítani sem ezt próbáltam) A router-ek sem voltak állíthatóak.
    Néha a gyerek random port-scannelést csinált mindenféle ip címekről, ezt már jelezte az eset, a linux meg bannolta, de ekkor jött egy új ip cím. Aztán valahonnan megjelent egy nagyon furcsa ISA csomag, ami beszippantotta az adataimat. Nagyon érdekes volt látni, hogy volt csomagom nincs csomagom, az ISA csomagban meg ott virit a saját csomagom fejléce.
    Mutasd a teljes hozzászólást!
  • Fogd már fel, értsd már meg, hogy a tűzfalnak SEMMI köze nincs a network sniffinghez! Továbbra is rossz ajtón kopogtatsz.

    IPSec, VPN, SSL. Neked ezek nyújthatnak védelmet. Más nem.
    Mutasd a teljes hozzászólást!
  • Amit írsz, az jó az ARP poisoning (aktív támadás!) ellen, de a passzív lehallgatás (legyen az HUB, mirrored switch port, akármi) ellen nem véd. Ott tényleg csak a fa testápoló marad.
    Mutasd a teljes hozzászólást!
  • " Viszont most úgy döntöttem írok egy sajátot( a tűzfalakban, hogy ez be van építve, nem vagyok teljesen meggyőzve"
    Az általánosan elterjedt csomagszűrő tűzfalakban (mint a Windows beépítettje, illetve az iptables is) - amelyk az ISO/OSI réteg 3./4. rétegében tevékenykednek nem is fogsz tudni ilyen szűrést alkalmazni.

    Az ilyen jellegű támadások kivédését már ARP-spoofing/-poisoning elleni, behatolásdetektáló (IDS) modullal felvértezett tűzfalak hivatottak detektálni/kiszűrni.

    Mutasd a teljes hozzászólást!
  • Elárulnád, hogy milyen megoldást találtál az elfogadott hozzászólásban? Mert számomra abból csak a fa testápoló tűnik ÉRTELMES work-aroundnak (megoldást direkt nem írok), attól még továbbra is le fogják hallgatni a csomagjaidat...

    De ha megnyugtat a boldog tudatlanság, akkor lelked rajta...
    Mutasd a teljes hozzászólást!
  • Lehet én értettem félre valamit javíts ki akkor ha megkérhetlek. A linux tűzfala a csomagszűrő( iptables), nem egy sniffer véletlenül, amely a saját ip címet állítja be feltételnek és az alapján a "házirend" szabályai szerint engedi be a kerneltől a prosszusig a folyamatot. Én értem, tényleges védelmet csak az adatok titkosításával lehetséges. Lehet rossz ajtón kopogtatok, csak szerettem volna kipróbálni, hogy "távolról" lemásolom az iptables tűzfalát( ha akarnám megnézném,de minek, ha ezt az elvet ismerhetem. ) Megírni. Aztán gondoltam, hogy érdemes lenne ilyen védelmet csinálni, hiszen azért gáz, hogy amikor netezek és ne adj isten nézegeti az adataimat azok ott viritanak a Wireshark képernyőjén. Tudom a passzív ellen mit sem ér főleg ha valaki a Wifi-n keresztül hallgatózik úgy, hogy még csak nem is csatlakozott a hálózathoz( sajnos mikre nem jó az airodump-ng )
    Bár utóbbi is küldene ARP csomagot a kapcsolat fenn tartására, és ezt szerettem volna főképpen védeni. illetve azt, hogy unom, hogy amikor egyszer úgy feltörték az itthoni routeremet, hogy volt jelszó- nincs jelszó( nem tudom, hogy csinálta de 15 karakteres jelszavam volt számmmal betűvel), akkor utána néztem, hogy elég keményen nyomták az ARP poisson-t.
    Mutasd a teljes hozzászólást!
  • Egyben erre is meg a privátodra is.

    A csomagszűrő az nem "sniffer", hanem csomagszűrő. Az egyik IP csomagokkal, a másik pedig egy mélyebb hálózati rétegben Ethernet keretekkel dolgozik.

    Persze, írhatsz saját csomagszűrőt, tűzfalat, IDS-t, sőt akár cloud oprendszert is magadtól, elvégre a most létező hasonló komponenseket is megírták valakik.:) Más kérdés, hogy egyedül egy élet is kevés lenne a szakma kitanulására. Továbbá célszerű lenne először az alapfogalmakat tisztáznod, mert ezekkel hadilábon állsz.

    Van rengeteg szakirodalom, uccu neki, aztán talán össze tudsz drótozni valamit. Szerintem továbbra is fordítva ülsz a lovon, de ha ennyi szabadidőd van, vagy csak ennyire érdekel, akkor hajrá.

    Szerk.: az iptables / csomagszűrő mániádhoz annyit, hogy ugye ismered a mondást a szöggel és a kalapáccsal?:) Na akkor csak óvatosan.
    Mutasd a teljes hozzászólást!
  • Nézd, ha a csomag elhagyja a géped, arra több ráhatásod nincs. Ha a hálózat aktív eszközei minden csomagot mindenkinek továbbítanak, már csak egy hallgatózó módba állított ethernet interfész kell valamelyik portra és elkap minden csomagot.
    Tehetsz fel bármilyen tűzfalat akkor is. Ilyen ez a popszakma
    Mutasd a teljes hozzászólást!
  • Üdv!

    Először is subscript.
    B-)
    Hogy irígylem megboldogult fiatalsááágomat amikor még ilyenekkel tudtam én is szórakozni.

    Amúgy idővel majd csak megtudja hogy mi micsoda és még néha jól is fogja mondani. Nem kell ezen kiakadni, fejlődésnek hívták.

    Amúgy a router -be is lehet beépíteni akár kulcscserés és jelszavas és ugrókódos vpn -t. Az már véd a belső hálózat sniff-el szembe.

    Bár ha a fentiek szerint a router -t nincs aki védje - az már másképp megy. Én mondjuk nem cloud hanem fw oprendszer írására bíztatnám ha már itt tartunk... B-)

    Egy router os összedobása során megtanulná hogy ki kivel van... B-)
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd