+ Responder ao Tópico



  1. #1
    estanisgeyer
    Visitante

    Padrão Proteger rede local de sniffers

    Bom dia...

    Como posso proteger uma rede local contra sniffers, quais ferramentas utilizar?
    Como detecto em uma rede, uma placa de rede em modo promíscuo?

    Att.

    Marcelo Estanislau.

  2. #2

    Padrão Proteger rede local de sniffers

    Kra sugiro vc combater sniffers através de firewall no seu servidor.
    De uma olhada em iptables
    na underlinux mesmo, tem um ótimo documentário de Iptables, escrito pelo eryberto.



  3. #3

    Padrão Proteger rede local de sniffers

    Sinto muito te dizer, mas firewall nao tem nada haver em combater sniffers.


    A solucao mais efetiva (e BASICAMENTE unica) contra sniffers e a utlizacao de switches.

  4. #4
    estanisgeyer
    Visitante

    Padrão Proteger rede local de sniffers

    Vc diz em dividir a rede, colocando um switch?
    Existe outra maneira para contornar isso?



  5. #5
    chvt
    Visitante

    Padrão Proteger rede local de sniffers

    estanisgeyer,

    Eu recomendo que você passe periodicamente na sua rede local, o RootCheck 0.4 que pode ser baixado no site:

    http://www.ossec.net/rootcheck/files...eck-0.4.tar.gz

  6. #6
    chvt
    Visitante

    Padrão Proteger rede local de sniffers




  7. #7

    Padrão Proteger rede local de sniffers

    Placa de rede promiscua o nosso colega jah respondeu, mas voce pode ver assim tambem...

    [email protected]:~# ifconfig eth0
    eth0 Link encap:Ethernet HWaddr 00:00:21:4D:AF:BC
    inet addr:192.168.66.1 Bcast:192.168.66.255 Mask:255.255.255.0
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:121628 errors:0 dropped:0 overruns:0 frame:0
    TX packets:137656 errors:0 dropped:0 overruns:0 carrier:0
    collisions:124 txqueuelen:100
    RX bytes:51432230 (49.0 Mb) TX bytes:152947134 (145.8 Mb)
    Interrupt:11 Base address:0xd000


    [email protected]:~# ifconfig eth0 promisc
    [email protected]:~# ifconfig eth0
    eth0 Link encap:Ethernet HWaddr 00:00:21:4D:AF:BC
    inet addr:192.168.66.1 Bcast:192.168.66.255 Mask:255.255.255.0
    UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
    RX packets:122062 errors:0 dropped:0 overruns:0 frame:0
    TX packets:138129 errors:0 dropped:0 overruns:0 carrier:0
    collisions:124 txqueuelen:100
    RX bytes:51620262 (49.2 Mb) TX bytes:153433991 (146.3 Mb)
    Interrupt:11 Base address:0xd000


    pronto agora ela eh uma PROMISCUA! (safada).


    ----

    Sim, para parar o sniffer na sua rede voce prescisa compra switches inves de hubs... nao vou explicar muito a fundo, basta voce saber que um switch envia pacotes apenas pra maquina certa enquanto que o hub envia para todas que estao conectadas no hub, cabe a maquina "certa" catar o pacote, mas nem sempre isso acontece... CLARO

    Nao vou explicar tecnicamente, APENAS COMPRE UM SWITCH

  8. #8
    Pombalonga
    Visitante

    Padrão Na pratica c num precisa por switch em tudo!!!

    Dah p/ ter uma proteção razoável ligando com switches apenas as partes da rede que tem um trafego precizando de segurança, tipo: gerencia de rede (coibir o roubo da senha de root), servidores, como sua base de dados e os terminais das pessoas que a manipulam diretamente (coibir o roubo de dados importantes ou a modificação de dados na base).
    Terminas de acesso puro e simples, daqueles q soh servem de mahquina de digitaçaum e p/ navegaçaum, e que naum taum no mesmo domínio de colizaum que os dados q valem apena serem protegidos naum precizam de tanta segurança, sai muito caro.
    Uma boa configuraçaum de firewall pode sim te ajudar em caso de alguem de fora tentar instalar um sniffer na sua rede, eles soh naum ajudam muito nas invasões internas.



  9. #9
    Kakaroto
    Visitante

    Padrão Proteger rede local de sniffers

    E ae blz, proteger uma rede local sem acesso a internet contra sniffers e facil, por ex: em uma empresa porq não é qualquer usuário q tem conhecimentos avançados sobre TCP-IP, agora proteger uma rede local com acesso a internet, ai começa ficar dficil, como a galera ja disse o uso do rootcheck e uma boa opção mas não confie muito da uma olhada nesse link de um kamarada meu http://unsekurity.virtualave.net/tex...arootcheck.txt, outra coisa tornar sua rede 100% segura(eu diria) impossivel, mesmo q vc queiria tomar todas as medidas cabiveis a um admin de rede, existe milhões de vulnerabilidades não só o sniffing, diria ataques de SQL injection em q não dependem do admin da rede e sim do webmaster ou o analista de sistemas da sua empresa, outra coisa mencionada, o uso de swicth !!! , pode ser desde q vc tenha sorte de não sofrer um ataque de arpspoof (arp poisoning), bem direcionado se não me engano tem um artigo no underlinux sobre isso da uma procurada, deixar a rede segura, ate hj nunca vi mais oq vc pode fazer criar uma politica de segurança q adote certas diretrizes q dificultem o invasor, eu diria fique sempre atualizado sobre tudo um bom lugar pra vc se atualizar www.linuxsecurity.com e leia muito como funciona determinado protocolos e serviços qndo for resolver algum problema de segurança a respeito, vc saberá como o serviço funciona e se comporta OK espero ter ajudado qualquer coisa tamo ae

    falow

    Kakaroto