Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony 2. Sniffing pasywny

Podobne dokumenty
Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony

Problemy z bezpieczeństwem w sieci lokalnej

Metody zabezpieczania transmisji w sieci Ethernet

Problemy z bezpieczeństwem w sieci lokalnej

Spoofing. Wprowadzenie teoretyczne

BEZPIECZEŃSTWO W SIECIACH

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

ZAKŁAD SYSTEMÓW ROZPROSZONYCH. Politechnika Rzeszowska BEZPIECZEŃSTWO I OCHRONA INFORAMCJI

Metody ataków sieciowych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Laboratorium nr 4 Ataki aktywne

MODEL WARSTWOWY PROTOKOŁY TCP/IP

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

Konfiguracja programu pocztowego Outlook Express i toŝsamości.

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Przekierowanie portów w routerze - podstawy

Instrukcja do laboratorium z przedmiotu Sieci Ethernet i IP Bezpieczeństwo sniffery, podsłuchiwanie

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

ARP Address Resolution Protocol (RFC 826)

Router programowy z firewallem oparty o iptables

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

4. Podstawowa konfiguracja

SZYBKI START MP01. Wersja: V1.0 PL

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

The OWASP Foundation Session Management. Sławomir Rozbicki.

z paska narzędzi lub z polecenia Capture

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Protokoły sieciowe - TCP/IP

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Rodzaje, budowa i funkcje urządzeń sieciowych

Laboratorium Sieci Komputerowych - 2

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Przyczyny awarii systemów IT

Bezpieczeństwo w sieci lokalnej - prezentacja na potrzeby Systemów operacyjnych

MASKI SIECIOWE W IPv4

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Sprawozdanie nr 4. Ewa Wojtanowska

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach?

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Sieci komputerowe - administracja

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Wireshark analizator ruchu sieciowego

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

ZiMSK. VLAN, trunk, intervlan-routing 1

FAQ Systemu EKOS. 1. Jakie są wymagania techniczne dla stanowiska wprowadzania ocen?

SIECI KOMPUTEROWE. Podstawowe wiadomości

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

INSTRUKCJA OBSŁUGI Program konfiguracji sieciowej Net configuration Drukarka A11

Snifery wbudowane w Microsoft Windows

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Wykład 3 Sniffing cz. 3. OBRONA przed sniffingiem

Kancelaria Prawna.WEB - POMOC

NSA GB HDD. Skrócona instrukcja obsługi. 1-wnękowy serwer mediów. Domyślne dane logowania. Adres WWW: nsa310 Hasło: 1234

Instrukcja konfiguracji funkcji skanowania

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

instrukcja instalacji modemu SpeedTouch 605s

Konfiguracja własnego routera LAN/WLAN

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

9. Internet. Konfiguracja połączenia z Internetem

Zadania z sieci Rozwiązanie

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Uwagi dla użytkowników sieci bezprzewodowej

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

System Kancelaris. Zdalny dostęp do danych

UNIWERSYTET EKONOMICZNY WE WROCŁAWIU. Sprawozdanie. Analizator sieciowy WIRESHARK. Paweł Jarosz Grupa 20 IiE

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

PORADNIKI. Atak SMB Man-In-The-Middle

INSTRUKCJA PODŁĄCZENIA KAMERY IP SERII LV VSS

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

OCHRONA PRZED RANSOMWARE

ZAKŁADANIE POCZTY ELEKTRONICZNEJ - na przykładzie serwisu

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Urządzenia sieciowe. Tutorial 1 Topologie sieci. Definicja sieci i rodzaje topologii

Przesyłania danych przez protokół TCP/IP

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Temat: Sieci komputerowe.

Przełączanie i Trasowanie w Sieciach Komputerowych

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Instrukcja programu Wireshark (wersja 1.8.3) w zakresie TCP/IP

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Pomoc dla r.

Transkrypt:

Zagrożenia bezpieczeństwa danych w lokalnych sieciach komputerowych ataki i metody obrony 2. Sniffing pasywny Sniffing pasywny charakteryzuje się tym, że jest niemal niemożliwy do wykrycia, ponieważ polega on jedynie na nasłuchiwaniu danych przepływających w całej sieci, bez ingerowania w odbierane pakiety. W sieciach LAN opartych na koncentratorach (ang. hub) sniffing możliwy jest po ustawieniu karty sieciowej w tryb mieszany (ang. promiscuous), dzięki czemu odbierać będzie ona cały ruch sieciowy, a nie tylko ten adresowany do niej, oraz po zmodyfikowaniu kilku procesów (w systemie opartym na jądrze Linux) w celu ustalenia przekierowywania i przekazywania pakietów w sieci. W przypadku sieci bezprzewodowych procedura jest podobna, aczkolwiek aby karta sieciowa przechwytywała cały ruch sieciowy, należy przełączyć ją w tryb monitorowania (ang. monitor mode), co pozwala na odbieranie wszystkich dostępnych ramek wokół odbiornika. Sniffing pasywny możliwy jest w sieciach LAN opartych o koncentratory, ponieważ działają one w pierwszej warstwie modelu ISO/OSI (warstwie fizycznej) i przesyłają sygnał z jednego portu na wszystkie pozostałe, nie analizują ani adresu IP, ani też adresu MAC. Prowadzenie podsłuchu pasywnego jest również możliwe w sieciach bezprzewodowych, ponieważ wszystkie dane

przesyłane są w eterze. Głównie narażone są niezabezpieczone sieci WiFi oraz te zabezpieczone kluczem WEP, który można złamać w ciągu kilku minut. Programy do analizowania ruchu w sieciach tzw. sniffery są darmowe i powszechnie dostępne w sieci Internet. Do najpopularniejszych należą: tcpdump udostępnia przechwytywanie i zapisywanie pakietów; Ettercap potężny sniffer do przechwytywania i analizowania ruchu oraz do wykonywania zaawansowanych ataków; Wireshark zaawansowane narzędzie do przechwytywania i zapisywania danych krążących po sieci; Snort wykorzystywany przez administratorów sieci; posiada szeroki zakres mechanizmów detekcji włamań; dsniff pakiet zaawansowanych narzędzi do przechwytywania danych i wykonywania ataków. Rys. 1. Przechwycony login i hasło użytkownika logującego się do poczty w serwisie O2 z wyłączonym połączeniem SSL. Większość danych przesyłanych w sieci jest przesyłana w postaci jawnego tekstu, łatwego do przechwycenia przez intruza nasłuchującego pasywnie. Informacje, jakie mogą go interesować, zestawione są poniżej. Nazwy kont i hasła (Rys. 1) narażone są tu serwisy i programy niekorzystające z szyfrowanego połączenia opartego na protokole SSL. Szczególnie narażone są programy klienckie FTP i pocztowe, korzystające z niezaszyfrowanego połączenia poprzez protokół POP3. Dopiero od niedawna szyfrowane połączenie wykorzystują popularne serwisy społecznościowe, takie jak Facebook i Nasza Klasa. Wcześniej informacje o logowaniu przesyłane były jawnym tekstem. Serwisy Facebook i Nasza Klasa szyfrują połączenie podczas logowania, więc nazwy kont i hasła nie przesyłane są jawnie. Jednak po zalogowaniu serwisy te nie podtrzymują zaszyfrowanego połączenia, narażone zatem pozostają dane plików cookie. Adresy MAC oraz IP, które mogą być wykorzystane do podszycia się pod hosta, np. w zabezpieczonej sieci bezprzewodowej, gdzie filtrowane są adresy fizyczne MAC (Rys. 2).

Komunikaty oraz kontakty przesyłane przez komunikatory typu Gadu-Gadu, Windows Live Messenger. Dopiero od wersji 10 Gadu-Gadu wprowadziło szyfrowanie SSL (Rys. 3). Identyfikatory sesji wykorzystywane do ataku session hijacking, podczas którego atakujący przejmuje konto ofiary (Rys. 4). Adresy odwiedzonych stron internetowych. Treści odwiedzonych stron internetowych. Rys. 2. Adres IP oraz adres MAC użytkownika w sieci przechwycone za pomocą programu Wireshark. Rys. 3. Przechwycona rozmowa oraz opisy kontaktów w komunikatorze Kadu.

Rys. 4. Przechwycony identyfikator sesji użytkownika zalogowanego do serwisu Jango. Firesheep jest wtyczką do przeglądarki Mozilla Firefox, dzięki której możliwe jest przejęcie danych konta użytkownika wielu popularnych serwisów internetowych, między innymi: Facebook, Twitter, Windows Live oraz Google [4]. Wtyczka wykorzystuje sniffing pasywny i możliwy dzięki temu dostęp do identyfikatorów sesyjnych. Twórca wtyczki Eric Butler napisał ją, aby udowodnić, jak słabo zabezpieczone są dane sesji logowania oraz jak bezużyteczne jest stosowanie szyfrowanego połączenia wyłącznie podczas fazy logowania. Na Rys. 5 widać, że obsługa wtyczki jest banalnie prosta i nie wymaga żadnej technicznej wiedzy oraz dodatkowych snifferów. Jedyne co musi zrobić intruz, to włączyć przechwytywanie i czekać, aż w okienku pojawią się przechwycone konta użytkowników tej samej sieci. Następnie, po wybraniu któregoś z takich kont zostanie on zalogowany z uprawnienia danego użytkownika. Rys. 5. Interfejs wtyczki Firesheep (źródło: [4]).

3. Sniffing aktywny Sieci LAN oparte o przełączniki (ang. switch) są odporne na sniffing pasywny, dzięki temu, że przełączniki pracują w drugiej warstwie modelu ISO/OSI i filtrują one pakiety względem adresów przeznaczenia. Zatem wszystkie pakiety krążące w sieci nie są widoczne dla wszystkich, a jedynie dla ich adresatów. Jednak z pomocą intruzowi przychodzi wówczas sniffing aktywny [1,2] i jego główna broń atak typu Man in the Middle (MITM). Atak ten, jak sama nazwa wskazuje, stawia intruza pośrodku, a więc między dwiema stronami połączenia. W omawianych sieciach lokalnych są to użytkownik i lokalna brama sieciowa (ang. gateway), do której skierowane są bezpośrednio pakiety wysyłane od i do użytkownika. W tej metodzie intruz nie tylko może przechwytywać pakiety, ale także je modyfikować, co pozwala nawet na rozszyfrowanie teoretycznie bezpiecznych protokołów SSH i SSL. Główne techniki tego ataku to: MAC spoofing, MAC flooding, ARP spoofing, DNS spoofing. MAC spoofing Technika ta jest wykorzystywana w sieciach LAN opartych o przełączniki, które przechowują dynamicznie w tablicy CAM adresy MAC hostów i porty, do których są podłączone. Atak polega na zmianie adresu MAC intruza na adres MAC ofiary. Intruz chcąc się podszyć pod ofiarę, wysyła pakiet sieci Ethernet, w którym jako nadawcę podaje adres MAC ofiary, natomiast jako adresata swój adres MAC. Przełącznik odbierze taki pakiet i zaktualizuje tablicę CAM, w której do jednego portu przypisane zostaną komputery ofiary i intruza. Jest to rzadko wykorzystywana technika ze względu na to, że intruz musiałby ciągle wysyłać zmodyfikowane pakiety i być szybszy od ofiary, jeśli zatem nie nadążałby ze zmienianiem pakietów, przechwytywałby tylko częściowe dane. Skuteczność tej metody jest ograniczona również przez to, że nie może ona oszukać nowoczesnych przełączników, w których dane tablicy CAM zapisywane są statycznie. MAC flooding Wspomniana wcześniej tablica CAM ma ograniczoną wielkość i kiedy ona się przepełni, przełącznik nie będzie miał już gdzie zapisywać następnych odwzorowań, więc zacznie działać jak zwykły koncentrator, wysyłając pakiety na wszystkie porty, dzięki czemu taki przełącznik podatny będzie na sniffing pasywny. Aby przepełnić tablicę CAM, intruz musi wysłać mnóstwo pakietów z różnymi adresami źródłowymi. Może posłużyć się narzędziem Macof z pakietu dsniff, które potrafi wygenerować 155 tysięcy adresów MAC na minutę. ARP spoofing Jest to najefektywniejsza technika, w której atakowany jest bezpośrednio komputer ofiary oraz brama. Atak wykorzystuje protokół ARP (ang. adress resolution protocol), a dokładniej tablicę ARP, która przechowuje dynamicznie w pamięci podręcznej systemu operacyjnego odwzorowania adresów MAC i przypisanych do nich adresów IP w lokalnej sieci. Podczas połączenia użytkownika z bramą, jego komputer wysyła do wszystkich komputerów w sieci żądanie ARP-Request, w którym przedstawia swój adres IP i adres MAC, oraz żąda adresu MAC bramy. Brama wysyła odpowiedź ARP-Reply, informując o swoim adresie MAC, a komputer użytkownika zapisuje w tablicy ARP odpowiednie odwzorowanie.

Aby móc przechwytywać dane przepływające od ofiary do bramy, intruz rozgłasza sfałszowane odpowiedzi ARP-Reply, podając swój adres MAC przypisany do adresu IP bramy. Analogicznie w drugą stronę aby przechwytywać dane przypływające od bramy do użytkownika, intruz wysyła sfałszowane odpowiedzi, podając swój adres MAC przypisany do adresu IP ofiary. Na Rys. 6 przedstawiono działanie narzędzia Arpspoof, należącego do pakietu dsniff, na którym widać proces ciągłego rozgłaszania sfałszowanej odpowiedzi ARP-Reply, przypisującej adres sprzętowy MAC intruza do adresu IP bramy. Rys. 6. Działanie programu Arpspoof. Kolejnym krokiem intruza jest uruchomienie sniffera i przechwytywanie pakietów. Przewagą tego ataku jest możliwość modyfikacji odbieranych pakietów i przekazywaniu ich dalej do ofiary, dzięki czemu możliwe jest rozszyfrowanie danych w połączeniach wykorzystujących protokół SSL. Wykorzystuje się do tego celu program SSLStrip (autorstwa Moxiego Marlinspike a), który w bezpiecznych połączeniach pełni funkcję pośrednika proxy, co w praktyce wygląda tak, że zmienia on bezpieczne połączenie protokołem HTTPS na protokół nieszyfrowany HTTP, a sam zachowuje połączenie szyfrowane [3]. W efekcie ofiara, myśląc, że używa bezpiecznego połączenia HTTPS, używa tak naprawdę zwykłego połączenia poprzez protokół HTTP, co wykorzystuje intruz do przechwycenia danych ofiary. Należy dodać, że większość użytkowników komputera nie zwraca uwagi na to, czy w pasku URL widnieje HTTPS, czy HTTP. Rys. 8 i Rys. 9 przedstawiają etap logowania do systemu Moodle i widoczne połączenie nieszyfrowane poprzez protokół HTTP. Natomiast na Rys. 10 widać nazwę konta i hasło przechwycone za pomocą programu SSLStrip.

Rys. 8. Działanie programu SSLStrip zmieniającego połączenie szyfrowane na nieszyfrowane. Rys. 9. Działanie programu SSLStrip ofiara wpisuje nazwę konta i hasło. Rys. 10. Przechwycona nazwa konta i hasło ze strony pierwotnie wykorzystującej szyfrowane połączenie. DNS spoofing Technika DNS spoofing polega na podsłuchiwaniu zapytań ofiary do serwera nazw DNS i wysyłaniu własnych spreparowanych pakietów, zanim ofiara otrzyma je z właściwego serwera nazw. W praktyce wygląda to w ten sposób, że intruz najpierw wykorzystuje atak ARP spoofing, aby móc przechwytywać i modyfikować pakiety, a następnie tworzy listę domen, które będą przekierowywane i przypisuje im adres IP serwera, na który ma nastąpić przekierowanie. Listy te są przykładowo konfigurowane w takich narzędziach, jak Ettercap, czy dnsspoof z pakietu dsniff,

i wystarczy je edytować, wpisując domeny i adresy serwerów. Wykorzystując jedno z powyższych narzędzi, intruz może przekierować ofiarę na własny serwer lokalny, na którym spreparował np. stronę logowania do poczty elektronicznej lub banku. Może również przekierować pożądaną domenę na dowolny zewnętrzny serwer. Rys. 11 ilustruje udany atak przy użyciu programu Ettercap, którego efektem jest przekierowanie strony www.microsoft.com na adres www.ubuntu.pl. Rys. 11. Udany atak DNS spoofing użytkownikowi, który wywołał stronę http://microsoft.com, wyświetlana jest inna strona www.ubuntu.pl. Jak widać na rysunku, w pasku URL pozostał adres wpisany przez ofiarę, co powoduje, że taki atak jest bardzo trudny do wykrycia przez zwykłego użytkownika, jeśli tylko intruz odpowiednio spreparuję pożądaną witrynę. Zadanie to wcale nie jest trudne, gdyż w Internecie znajduje się wiele programów do zapisywania witryn WWW na własny dysk. Przykładem takiego narzędzia jest dodatek do przeglądarki Mozilla Firefox o nazwie Scrapbook. 4. Obrona przed sniffingiem Obrona przed sniffingiem nie jest rzeczą łatwą, gdyż podsłuch działa pasywnie, zbierając informacje przesyłane w sieci. Odpowiednio skonfigurowany sniffer staje się niemal niemożliwy do wykrycia. Najgorzej wypadają sieci bezprzewodowe, ponieważ dane krążą w nich jako fale radiowe. Środkiem zabezpieczającym jest w nich autoryzacja dostępu oraz szyfrowanie. Nie należy pozostawiać niezabezpieczonej sieci bezprzewodowej, ponieważ dane przesyłane są w niej w sposób jawny i błędem również jest myślenie, że wokół mojego domu nie ma nikogo, kto chciałby mnie podsłuchiwać. W powszechnej sprzedaży są mobilne zestawy do odbioru Internetu, które mocuje się na dachu samochodu. Pozwalają one wyłapać stacje oddalone nawet o kilka kilometrów. Należy się też wystrzegać szyfrowania kluczem WEP (ang. wired equivalent privacy), który można złamać w kilka minut. Trzeba też pamiętać, że nawet do zaszyfrowanej sieci dostęp może mieć kilku autoryzowanych użytkowników, którzy mogą podsłuchiwać swoich sąsiadów.

W sieciach LAN dużą rolę odgrywają urządzenia sieciowe: przełączniki i koncentratory. Należy pamiętać, że koncentratory nie sprawdzają danych pod względem adresowania, więc do podsłuchu wystarczy przełączenie karty sieciowej w tryb mieszany (ang. promiscuous). Wybierając przełączniki (ang. switch) zamiast koncentratorów, powinno się zadbać o wybór urządzenia, które wykorzystuje statyczną tablicę CAM. Przełączniki przekazują dane tylko do tego portu, do którego podłączony jest host będący adresatem pakietów. Przełączniki są więc bezpieczniejsze od routerów, które wysyłają pakiety do wszystkich podłączonych kart sieciowych, co sprawia, że są one podatne na podsłuch. Dlatego też lepiej unikać routerów przy konfigurowaniu małych sieci domowych. Intruz może podsłuchiwać komputery z własnego segmentu sieci, więc im więcej segmentów, tym mniejsza ilość danych podatnych na podsłuch. Dużą rolę w kwestii bezpieczeństwa danych w lokalnych sieciach komputerowych odgrywa administrator sieci, który powinien monitorować stan sieci i odpowiednio reagować w przypadkach wykrycia sniffingu. Istnieją specjalne narzędzia z rodziny systemów wykrywania i zapobiegania włamaniom IDS (ang. Intrusion prevention and Detection System), które bogate są w mechanizmy detekcji różnych ataków na sieć w czasie rzeczywistym. Najpopularniejszym systemem tej klasy jest Snort, który dostępny jest za darmo na stronie projektu http://www.snort.org. Niestety, praktyka wskazuje, że w większości przypadków na administratora sieci nie można liczyć i zwykły użytkownik musi radzić sobie sam. Jednym ze sposobów obrony przed atakiem typu ARP spoofing jest ustawienie na własnym komputerze statycznej tablicy ARP dla bramy. W systemie Linux oraz MS Windows XP wykonuje się to poleceniem: arp -s <ip_bramy> <mac_bramy>. Natomiast w systemach MS Windows Vista i MS Windows 7 są to polecenia: netsh -c "interface ipv4", set neighbors "Connection_name" "ip_bramy" "mac_bramy". Powyższa metoda działa tylko w jedną stronę od użytkownika do bramy i nie gwarantuje bezpieczeństwa danych przesłanych od bramy do użytkownika. Zwiększyć bezpieczeństwo mogą niektóre zapory sieciowe (ang. firewall) potrafiące chronić komputer użytkownika przed nieodpowiednimi zmianami w tablicy ARP oraz atakami typu MAC flooding, MAC spoofing czy ARP spoofing. Jednym z darmowych programów posiadających taką funkcjonalność jest Comodo Firewall (www.comodo.com). Należy także z rozsądkiem korzystać z publicznych sieci bezprzewodowych i mieć na uwadze, to że sieci takie są mocno narażone na podsłuch, przez co logowanie się na konta bankowe, czy pocztowe niesie za sobą wysokie ryzyko przechwycenia nazwy konta i hasła. Również osiedlowe sieci oferujące dostęp do Internetu stanowią zagrożenie dla bezpieczeństwa danych, ponieważ dzielą się na segmenty, do których podłączona jest zazwyczaj spora liczba hostów. Sposobem na poprawienie bezpieczeństwa w takich sieciach jest dodatkowa segmentacja polegająca na dołączeniu do danej sieci dodatkowego przełącznika lub routera. Podczas łączenia się z bankami i innymi serwisami, gdzie dochodzi do uwierzytelniania użytkownika, należy przyglądać się, czy połączenie jest szyfrowane protokołem SSL. Bardziej zaawansowani użytkownicy w swoich sieciach mogą posłużyć się bezpieczniejszą komunikacją typu VNP (ang. Virtual Private Network).

Literatura 1. Graves K., Official certified ethical hacker review guide, Wiley Publishing, 2007. 2. Gregg M., Hack the stack: using snort and ethereal to master the 8 layers of an insecure network, Syngress Publishing, 2006. 3. Hackin9, magazyn, nr 10, 2009. 4. Sosnowska J., Firesheep wtyczna do Firefoksa umożliwiająca włamanie na większość kont, http://technologie.gazeta.pl/internet/1,104530,8569472,firesheep wtyczka_do_ Firefoksa_umozliwiajaca_wlamanie.html (dokument dostępny 11 maja 2011 r.).

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres