http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/proslushivanie-v-kommutiruemyx-setyax-ethernet/ http://www.microfinance.uz/proslushivanie-v-kommutiruemyx-setyax-ethernet/#comments Mon, 06 Oct 2008 07:20:34 +0000 admin http://www.microfinance.uz/proslushivanie-v-kommutiruemyx-setyax-ethernet/ Вследствие очень широкого распространения топологии сетей Ethernet, построенных на коммутаторах, необходимо немного рассказать и о прослушивании трафика в таких ситуациях. Технология построения сетей множественного доступа на активном оборудовании — концентраторах (англ. hub) и коммутаторах (англ. switch) — позволяет подключать каждую сетевую карту не к единому сетевому кабелю, а к этому концентраторному оборудованию своим собственным кабелем. Оба типа устройств “прозрачны” на канальном уровне, то есть прохождение через них кадра канального уровня никак не сказывается на его содержимом и не может быть обнаружено программами-снифферами.
Повторители выполняют единственную функцию копирования кадра, пришедшего по одному из подключенных к нему кабелей, во все остальные сетевые кабели. А вот коммутаторы выполняют роль “интеллектуального” перенаправления этого кадра. На каждом сетевом порту поддерживается список МАС-адресов, от которых в последнее время приходили пакеты с этого сетевого кабеля. Чаще всего на другой стороне кабеля находится один единственный компьютер, в этом случае список для данного порта будет состоять из одного МАС-адреса. Но если к коммутатору подключается другой коммутатор или повторитель, количество адресов в списке возрастает.
Перенаправление кадра, пришедшего на коммутатор, производится по следующему алгоритму: если МАС-адрес получателя обнаружен в списке для какого-нибудь из портов коммутатора, пакет отправляется только по этому направлению, если же адрес не найден, то пакет копируется во все подключенные сетевые кабели, как в повторителе. Коммутаторы в несколько раз снижают нагрузку на сетевой носитель, и, как следствие, очень ощутимо увеличивают быстродействие локальной сети в целом. Также, как казалось бы, они надежно защищают от прослушивания трафика: пакет не попадает на сетевые карты других абонентов — он идет только из кабеля отправителя в кабель получателя.
Но уязвимость все же была обнаружена. Оказалось, что у многих известных производителей сетевого оборудования логика работы коммутаторов такова, что, если на каком-либо из портов происходит переполнение списка МАС-адресов, то коммутатор начинает временно работать в режиме повторителя относительно всех своих портов, дабы не привести к полному разрыву сети относительно этих не поместившихся в список МАС-адресов, т. е. для превращения такого коммутатора в повторитель программе-генератору пакетов достаточно через определенный интервал времени устраивать в сети “шторм” из произвольных сетевых пакетов с произвольными различными МАС-адресами. Далее она будет получать все пакеты, идущие по сети через атакованный коммутатор.
Мерами защиты от подобной атаки являются:
□ постоянный мониторинг сети на предмет МАС-штормов;
□ анализ регистрационного журнала коммутатора, если таковой ведется данным устройством;
□ активация на всех портах, к которым подключены одиночные хосты, режима ограничения количества МАС-адресов или даже установка фиксированного разрешенного МАС-адреса, если какой-либо из этих режимов поддерживается коммутатором.
Еще одна возможность прослушивания коммутируемого Ethernet-трафика основана на специфике и ошибках протокола STP (Spanning Tree Protocol). STP используется коммутаторами для обнаружения и блокирования петель в сегментах, состоящих из нескольких коммутаторов. В адрес подавляющего большинства современных реализаций этого протокола есть возможность отправить сфальсифицированный служебный STP-пакет, после которого коммутатор на несколько секунд перейдет в режим повторителя относительно всех своих портов.
До сих пор речь шла о прослушивании незащищенного, нешифрованного трафика. Однако, если пакеты криптографически защищены даже на сетевом уровне, то это не означает, что прослушивание такого информационного потока абсолютно бесполезно. Во-первых, шифрованный пакет есть предмет для криптоанализа. Во-вторых, на основе знаний об объемах трафика и периодичности сетевой активности можно сделать определенные выводы о работе сети. И в-третьих, это возможность проводить статистический и корреляционный анализ шифрованного трафика с нешифрованным (например, пакетами службы сервера имен), который также может представить злоумышленнику полезную информацию.

]]> http://www.microfinance.uz/proslushivanie-v-kommutiruemyx-setyax-ethernet/feed/ 0