Proteger rede local de sniffers

[estanisgeyer]

Bom dia...

Como posso proteger uma rede local contra sniffers, quais ferramentas utilizar?
Como detecto em uma rede, uma placa de rede em modo promíscuo?

Att.

Marcelo Estanislau.

[osmousf]

Kra sugiro vc combater sniffers através de firewall no seu servidor.
De uma olhada em iptables
na underlinux mesmo, tem um ótimo documentário de Iptables, escrito pelo eryberto.

[mistymst]

Sinto muito te dizer, mas firewall nao tem nada haver em combater sniffers.


A solucao mais efetiva (e BASICAMENTE unica) contra sniffers e a utlizacao de switches.

[estanisgeyer]

Vc diz em dividir a rede, colocando um switch?
Existe outra maneira para contornar isso?

[chvt]

estanisgeyer,

Eu recomendo que você passe periodicamente na sua rede local, o RootCheck 0.4 que pode ser baixado no site:

http://www.ossec.net/rootcheck/files...eck-0.4.tar.gz

[chvt]

Você pode também baixar, as seguintes ferramentas:

Anti Sniff

http://www.securitysoftwaretech.com/.../download.html

Neped

http://apostols.org/AposTols/snapshots/neped/neped.c

ARP Watch

ftp://ftp.ee.lbl..gov/arpwatch.tar.Z

[mistymst]

Placa de rede promiscua o nosso colega jah respondeu, mas voce pode ver assim tambem...

root@master:~# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:00:21:4D:AF:BC
inet addr:192.168.66.1 Bcast:192.168.66.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:121628 errors:0 dropped:0 overruns:0 frame:0
TX packets:137656 errors:0 dropped:0 overruns:0 carrier:0
collisions:124 txqueuelen:100
RX bytes:51432230 (49.0 Mb) TX bytes:152947134 (145.8 Mb)
Interrupt:11 Base address:0xd000


root@master:~# ifconfig eth0 promisc
root@master:~# ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:00:21:4D:AF:BC
inet addr:192.168.66.1 Bcast:192.168.66.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:122062 errors:0 dropped:0 overruns:0 frame:0
TX packets:138129 errors:0 dropped:0 overruns:0 carrier:0
collisions:124 txqueuelen:100
RX bytes:51620262 (49.2 Mb) TX bytes:153433991 (146.3 Mb)
Interrupt:11 Base address:0xd000


pronto agora ela eh uma PROMISCUA! (safada).


----

Sim, para parar o sniffer na sua rede voce prescisa compra switches inves de hubs... nao vou explicar muito a fundo, basta voce saber que um switch envia pacotes apenas pra maquina certa enquanto que o hub envia para todas que estao conectadas no hub, cabe a maquina "certa" catar o pacote, mas nem sempre isso acontece... CLARO

Nao vou explicar tecnicamente, APENAS COMPRE UM SWITCH

[Pombalonga]

Dah p/ ter uma proteção razoável ligando com switches apenas as partes da rede que tem um trafego precizando de segurança, tipo: gerencia de rede (coibir o roubo da senha de root), servidores, como sua base de dados e os terminais das pessoas que a manipulam diretamente (coibir o roubo de dados importantes ou a modificação de dados na base).
Terminas de acesso puro e simples, daqueles q soh servem de mahquina de digitaçaum e p/ navegaçaum, e que naum taum no mesmo domínio de colizaum que os dados q valem apena serem protegidos naum precizam de tanta segurança, sai muito caro.
Uma boa configuraçaum de firewall pode sim te ajudar em caso de alguem de fora tentar instalar um sniffer na sua rede, eles soh naum ajudam muito nas invasões internas.

[Kakaroto]

E ae blz, proteger uma rede local sem acesso a internet contra sniffers e facil, por ex: em uma empresa porq não é qualquer usuário q tem conhecimentos avançados sobre TCP-IP, agora proteger uma rede local com acesso a internet, ai começa ficar dficil, como a galera ja disse o uso do rootcheck e uma boa opção mas não confie muito da uma olhada nesse link de um kamarada meu http://unsekurity.virtualave.net/tex...arootcheck.txt, outra coisa tornar sua rede 100% segura(eu diria) impossivel, mesmo q vc queiria tomar todas as medidas cabiveis a um admin de rede, existe milhões de vulnerabilidades não só o sniffing, diria ataques de SQL injection em q não dependem do admin da rede e sim do webmaster ou o analista de sistemas da sua empresa, outra coisa mencionada, o uso de swicth !!! , pode ser desde q vc tenha sorte de não sofrer um ataque de arpspoof (arp poisoning), bem direcionado se não me engano tem um artigo no underlinux sobre isso da uma procurada, deixar a rede segura, ate hj nunca vi mais oq vc pode fazer criar uma politica de segurança q adote certas diretrizes q dificultem o invasor, eu diria fique sempre atualizado sobre tudo um bom lugar pra vc se atualizar www.linuxsecurity.com e leia muito como funciona determinado protocolos e serviços qndo for resolver algum problema de segurança a respeito, vc saberá como o serviço funciona e se comporta OK espero ter ajudado qualquer coisa tamo ae

falow

Kakaroto