Problema com sniffer de rede Wireless

[cidadelink]

Pessoal é o seguinte .., estou com problemas com programas (sniffers) que estão rastreando minha rede wireless e capturando conversas do msn etc... alguem ja teve esse problema? sabe como bloquear ? ja ativei a função block-relay do ap mas não adiantou...

[SysRq]

Pessoal é o seguinte .., estou com problemas com programas (sniffers) que estão rastreando minha rede wireless e capturando conversas do msn etc... alguem ja teve esse problema? sabe como bloquear ? ja ativei a função block-relay do ap mas não adiantou...

A _unica_ maneira de evitar isto é usando encriptação.
WEP, WPA, tunelamento com IPSEC, etc.
O WEP E WPA são muito fáceis de usar pois geralmente basta configurar seus rádios para usa-los.
O WPA é recomendável sobre o WEP que tem vulnerabilidades já divulgadas.
Mas ao contrário da WPA, o WEP está em todos os rádios a venda no Brasil e ainda é muuuito melhor do que nada.
Se puder use WPA, senão habilite o WEP com a maior chave permitida pelo seu equipamento.

Sem encriptação seu tráfego está escancarado p/ qualquer um.

[]'s

[ruyneto]

Mesmo com WEP acho que é a melhor maneira é fazer VPN entre seus clientes e seu servidor pode ser o mais complicado mas com certeza os sniffers não vao mais funcionar em sua rede.

falows

[nataniel]

Pessoal é o seguinte .., estou com problemas com programas (sniffers) que estão rastreando minha rede wireless e capturando conversas do msn etc... alguem ja teve esse problema? sabe como bloquear ? ja ativei a função block-relay do ap mas não adiantou...

cidade,

Realmente um sniffer em um HUB (todo AP é um HUB ligando todos os clientes, isso falando de modo grosseiro) é um problema.

As formas citadas são as duas mais plausíveis só que usar criptografia diminui a capacidade do seu rádio em quase 60%, ou seja, se antes você conseguia atender 60 clientes com um rádio agora você ira atender a 25~30 clientes. Além de que as requisições demoram mais para serem processadas (devido ao processo de cript/decript).

A segunda opção via VPN é mais interessante já que não exige do seu rádio um procedimento mais avantajado e sim de um servidor. Minha dica fica na utilização de PPPoE para que seus clientes loguem em seus servidores antes de começarem a usar.

Infelizmente o PPPoE Server consome bastante CPU e Memória em um server e por isso, pelos testes que realizei, em um Celeron 2500 com 1 Gb de RAM eu consegui logar 45 clientes numa boa... Infelizmente não pude deixar rodando por muito tempo o servidor e nem os clientes logados por muito tempo para ter certeza de que os processos e memoria não iriam consumir tudo na maquina. Ficou ligado durante 6 horas com uma media de 22 clientes logados e consumia em torno de 30% do CPU. No momento do pico de 45 clientes chegou a 50% do CPU.

Att,

Nataniel Klug

[dougfunny]

ola, caros amigos, mtas sugestoes boas, tb acho q vc poderia colocar um anti-snifer na sua rede, para protecao, algo como o portsentry ou o snort, isso resolveria tb seu problema.

[nataniel]

ola, caros amigos, mtas sugestoes boas, tb acho q vc poderia colocar um anti-snifer na sua rede, para protecao, algo como o portsentry ou o snort, isso resolveria tb seu problema.

doug,

Na verdade não faria a menor diferença pois o sniffer roda em modo promiscuo na interface do cliente, ou seja, digamos que eu, Nataniel Klug, sou cliente da rede wireless do Doug que usa APs em modo bridge.

Eu coloco minha interface wireless em modo promiscuo e recebo todas as informações que qualquer um dos clientes (do mesmo AP/SSID/Cartão se estiver habilitado o block relay ou de TODOS os clientes do Doug se todos os APs estiverem em modo bridge indo para um unico gateway).

O SNORT e o PortSentry funcionam sobre as chains do servidor e não seriviriam neste caso porque o sniffer nem ao menos chega no gateway, ele vai direto aos clientes.

Teste na sua rede. Coloque um HUB e ligue vários computadores. Depois ligue o seu SNORT no gateway dessa rede. Rode um sniffer num dos micros clientes e veja que todo o trafego dos clientes de todas as portas do HUB sao captados por ti.

Alguns switchs bloqueiam isso, mas sao caros pra caramba.

Att,

Nataniel Klug

[ruyneto]

Nataniel so uma coisa qualquer switch bloqueia isso já que os switchs fazem redirecionamento por mac de destino, ou seja eles so mandam pacotes para o destino, a unica coisa de broadcast que ele faz é pra procurar o endereço de destino fora isso ele so manda pro destino, inclusive já testei num desses hub/switch bem barato e ele não manda pacotes para todos nao.

falows

[nataniel]

Nataniel so uma coisa qualquer switch bloqueia isso já que os switchs fazem redirecionamento por mac de destino, ou seja eles so mandam pacotes para o destino, a unica coisa de broadcast que ele faz é pra procurar o endereço de destino fora isso ele so manda pro destino, inclusive já testei num desses hub/switch bem barato e ele não manda pacotes para todos nao.

falows

ruy,

Eu estava me referindo a switchs baratos tipo Encore ENH908 e esses modelos. Eu testei no meu aqui dentro da empresa agora e pegou tudo... hahahaha... Desgraça de coisa ruim...

Então na teoria qualquer switch tem que bloquear, mas na pratica eu nunca vi esses switchs baratos fazerem isso (pelo menos os LG e esse Encore que eu tenho aqui).

Att,

Nataniel Klug

[dougfunny]

certo nataniel, hehe, veja bem, SW para "ficar" q nem hubs eh mto simples, apenas estoure a tabela de macs das portas e ja era, vc tem um hub na sua rede, dai vc pode fazer snifer normal, agora veja bem, para verificar se uma maq esta como snifer na rede, eh simples, vc manda pacotes q nao sao para elas se ela responder eh pq esta em modo promiscuo.

fabiano

[SysRq]

certo nataniel, hehe, veja bem, SW para "ficar" q nem hubs eh mto simples, apenas estoure a tabela de macs das portas e ja era, vc tem um hub na sua rede, dai vc pode fazer snifer normal, agora veja bem, para verificar se uma maq esta como snifer na rede, eh simples, vc manda pacotes q nao sao para elas se ela responder eh pq esta em modo promiscuo.

fabiano

Não conheço nenhum sniffer que tenha este comportamento de responder pacotes endereçados a outro IP ou MAC. Seria um falha grave do programador não?
Sniffers são passivos por definição. Para detecta-los é preciso um método bem mais complicado, que involve gerar estatisticas dos tempos de resposta medios de todas as maquinas da rede e detectar flutuações neste tempo quando se injeta uma grande quantidade de pacotes para um destino inexistente .

[lordangel]

tire as hub de sua rede e coloque swiths isso ajuda....ela nao permite que sniffers capturem pacotes...

[The-shadow]

ola, caros amigos, mtas sugestoes boas, tb acho q vc poderia colocar um anti-snifer na sua rede, para protecao, algo como o portsentry ou o snort, isso resolveria tb seu problema.

Conste-se que o snort é um sniffer
sim.. é verdade.. reparem que ele funciona com o ethx em modo promiscuo
embora seja um sniffer "bom" da fita :P

[nataniel]

ola, caros amigos, mtas sugestoes boas, tb acho q vc poderia colocar um anti-snifer na sua rede, para protecao, algo como o portsentry ou o snort, isso resolveria tb seu problema.

Conste-se que o snort é um sniffer
sim.. é verdade.. reparem que ele funciona com o ethx em modo promiscuo
embora seja um sniffer "bom" da fita :P

Shadow,

Realmente tanto o Snort quanto o nTop e outros do gênero são sniffer em modo promiscuo.

Agora o Snort, que têm um padrão de bloqueio, irá ver todo o tráfego que chega na eth0 mas não poderá impedir que o cliente1 e o cliente2 ligados ao mesmo hub/switch naquela interface fiquem bloqueados para alguma coisa a não ser que tenha que passar por ele.

As comunicações dos sniffers do cliente1 nunca seria bloqueadas por um servidor gateway nessa rede a não ser que os clientes usem túneis IP até o servidor (o que não é o caso).

Att,

Nataniel Klug

[The-shadow]

Sim colega.. eu sei... o snort tem função de IDS e nao de anti-sniffer..
de qq modo um sniffer é sp um problema para todos os administradores.. ainda hoje n consegui arranjar um metodo para evitar sniffers em redes locais.. sem ter de recorrer ao uso de VPN's =/

de qq modo, visto que em redes wireless qq um pode sniffar o trafego.. o meslhor mm é recorrer a uma VPN...
no key, no sniff

Um abraço[]

[nataniel]

Sim colega.. eu sei... o snort tem função de IDS e nao de anti-sniffer..
de qq modo um sniffer é sp um problema para todos os administradores.. ainda hoje n consegui arranjar um metodo para evitar sniffers em redes locais.. sem ter de recorrer ao uso de VPN's =/

de qq modo, visto que em redes wireless qq um pode sniffar o trafego.. o meslhor mm é recorrer a uma VPN...
no key, no sniff

Um abraço[]

Exato... PPPoE na veia... hahahahaha

Att,

Nataniel Klug

[antoniobrandao]

Prezados,


Em relação 'a detecção dos sniffers, realmente é dificil fazer. Existem algumas técnicas por exemlo observar (sniffar) consultas DNS reverso à hosts que vc acessa (alguns sniffers resolvem os nomes de maquinas).
Porém, um sniffer completamente passivo não é detectável.

Minhas duvidas:

1. Caso ligue a opção "client isolation" presente em alguns APs não resolveria o problema?

2. A segmentação da rede, evitando ligar, por exemplo, 3 Aps/Setoriais em um switch e/ou hub e sim numa máquina com 3 placas de redes em suberede diferentes já diminui o tráfego que o sniffer tem acesso. Ele acessaria apenas o segmento onde ele está e ainda aumentaria muito a performance da rede, estou certo?

[]s

Antonio Brandao

[SysRq]

Antonio,

Os sniffers são detectaveis, mesmo os passivos. Existe um pruduto comercial o antisniff e tambem um projeto GPL em http://sniffdet.sourceforge.net/.
A técnica de analise de latencia dos hosts é a mais eficiente e portanto a que dá melhores resultados.

Sobre suas dúvidas, no caso 1 os pacotes continuam sendo enviados em um meio físico aberto (o ar) ao qual todos tem acesso, portanto não impe
de o uso de sniffers.
No caso 2, se o sniffer está fixo realmente diminui um pouco a exposição, mas se ele está em um notebook...
E no seu exemplo, o uso de um roteador ao invés de um hub com certeza melhora bastante o desempenho.

[]'s

[Claudio vaqueiro]

Po cara usa uma vpn ou ou pppoe e resolve tua bronca,dep[ois vc pensa com mais calma !!!!

[Pirigoso]

Basta ativar o controle de MAC do AP + ESSEID escondido que seu AP passa despercebido pelos snifer

[etherlink]

Voce poderia opitar em usa VPN+IPSEC ou entaum usando um servidor pppoe+radius para fazer autenticacao isso ajuda bastante contra sniffer de em Wireless.