1.2. Пассивная защита от перехвата данных, передаваемых по сети

1.2.1. Применение свитчей и маршрутизаторов для защиты от перехваты данных

Свитчи для защиты сетевого трафика, "глушение свитчей" (switch jamming), ARP-отравление (ARP poisoning), утилиты HUNT, AntiSwitch, Cain&Abel

Один из самых простых способов, который могут использовать сетевые администраторы для защиты данных, передаваемых по сети - построить сеть на свитчах вместо хабов. В теории свитчи обеспечивают надежную защиту от перехвата большинства данных, передаваемых в сети, поскольку свитч организует виртуальный канал между парами компьютеров в сети. Однако эта защита достаточно легко обходится за счет недостатков протокола ARP и реализаций самих свитчей. Существует множество способов получить доступ к трафику сети на свитчах:

·        самый старый и ненадежный способ - это так называемое "глушение свитчей" - switch jamming (другое название - MAC flooding). Он основан на том, что ресурсы свитча небеспредельны и после переполнения таблиц ARP-адресов он переходит в режим обычного хаба. Существует реализация switch jamming (на *nix) - проект HUNT, который находится в каталоге "Антисвитчинг" на компакт-диске. Однако в последнее время с увеличением мощности свитчей применение этого способам все более проблематично;

·        второй способ - манипуляции с кэшем протокола ARP на свитче (учитывая полную незащищенность этого протокола). Существует несколько реализаций этого метода - с ретрансляцией трафика и без и т.п. Общее название таких методов - ARP-отравление (ARP poisoning). Существует множество утилит, которые позволяют достаточно надежно реализовать такой метод борьбы со свитчами. В каталоге "Антисвитчинг" присутствуют две такие утилиты - AntiSwitch (с русским интерфейсом и описанием) и ARPToxin (утилита командной строки с английским интерфейсом). Кроме того, такие средства встроены во многие снифферы, например, Cain и EtterCap;

·        третий способ - самый простой - использование возможностей самого свитча. Большинство современных свитчей позволяют выполнять удаленное администрирование при помощи протокола SNMP или Telnet. При этом во многих организациях администраторы не меняют пароль свитча по умолчанию. Таким образом, открывается возможность перенастроить свитч, переведя его в режим хаба или организовать зеркалирование всего трафика на определенный порт (большинство свитчей имеют такую возможность). Список дефолтовых паролей свитчей - в каталоге "Антисвитчинг".

Если есть средства нападения, то существуют и средства активной защиты. Для обнаружения любых манипуляций с протоколом ARP можно использовать утилиту ACiD (ARP Change intrusion Detector), которая находится на компакт-диске в каталоге "Антисвитчинг".

Таким образом, применение свитчей хотя и обеспечивает повышение уровня безопасности в сети (и производительности), но тем не менее средства для перехвата трафика в сети на свитчах вполне доступны и даже встроены в некоторые снифферы, поэтому полагаться только на свитчи не следует.

Намного надежнее применение маршрутизаторов, которые вообще не пропускают "лишний" трафик из одного сегмента в другой. Есть некоторые виды экзотических средств для исправления таблиц маршрутизации (особенно по протоколам dynamic routing, типа RIP), но эти средства малоэффективны. Поэтому если есть необходимость основательно защитить трафик какой-то группы компьютеров, эту группу можно перевести в отдельный физический сегмент и поставить роутер. Однако на практике использование маршрутизаторов и физического сегментирования в небольших организациях не всегда оправданно, кроме того, часто к серверу необходимо обращаться клиентам из многих сегментов.

Экзотический способ полной защиты сети от прослушивания - использование оптоволоконных каналов (например, Ethernet 1 и 10 Гбит), поскольку такая сеть работает на других принципах и для перехвата трафика в ней обычно необходимы дополнительные аппаратные устройства.

Получить учебные материалы по этому курсу