« poprzedni punkt  następny punkt »


2. Zjawisko sniffingu

Sniffing czyli węszenie jest zagrożeniem biernym. Polega na odczytywaniu danych przez węzeł, dla którego nie były one przeznaczone. Możliwość taka jest dostępna w wielu urządzeniach (np. analizator sieci). Urządzenia wykorzystujące sniffing są pożyteczne i konieczne. Mogą być jednak wykorzystywane w złych zamiarach. Np. do przechwytywania haseł, odczytywania poczty, odczytywania przesyłanych rekordów baz danych. Często węszenie stanowi etap wstępny przed przystąpieniem do ataku aktywnego.

Wszystkie interfejsy sieciowe w segmencie sieci mają dostęp do wszystkich transmitowanych w nich danych. Każdy interfejs powinien mieć inny adres. Istnieje też przynajmniej jeden adres rozgłoszeniowy (broadcast) odpowiadający wszystkim interfejsom. Normalnie, interfejs reaguje tylko na pakiety, które w polu adresowym mają jego adres, lub adres rozgłoszeniowy.

Sniffer przełącza interfejs w tryb podsłuchu, dzięki czemu interfejs może analizować każdy pakiet w danym segmencie sieci. Jest to bardzo przydatne narzędzie w rękach administratora, służące do ustalania przyczyn nieprawidłowego działania sieci. Można ustalić udział poszczególnych protokołów w ruchu sieciowym, udział poszczególnych hostów w generowaniu i odbieraniu pakietów.

Oprogramowanie umożliwiające sniffing jest w tej chwili łatwo dostępne w Internecie. Oznacza to, że mogą z niego korzystać również potencjalni intruzi. Sniffing danych z sieci prowadzi do utraty tajności pewnych informacji, które powinny zostać tajne. Powszechnie stosowane praktyki obejmują m.in.:

Walka ze sniffingiem polega na właściwej segmentacji sieci. W idealnej sytuacji każdy komputer powinien należeć do osobnego segmentu. Ideał taki miało zapewnić stosowanie przełączników zamiast koncentratorów ( w sieci 10BASE-T). Jednak okazało się, że nie jest to rozwiązanie skuteczne. W celu wypełniania swoich zadań przełącznik musi przechowywać tabelę wszystkich adresów MAC maszyn, które podłączone są w każdym jego porcie. Jeśli na jednym porcie pojawi się duża ilość adresów i zapełni tabelę adresów przełącznika, to przełącznik traci dane o położeniu poszczególnych maszyn. Jest to taka sama sytuacja, jak ta, gdy do przełącznika podłączony zostanie nowy komputer. Dopóki nie wiadomo, w którym porcie jest podłączony, przełącznik musi przesyłać kopie przeznaczonych dla niego ramek do wszystkich swoich portów. Określa się to mianem przeciążenia (flooding). Program dsniff zawiera funkcję macof, która umożliwia przeciążenie przełącznika losowymi adresami MAC.

Inne rozwiązanie polega na wykorzystaniu pojęcia zaufania pomiędzy komputerami. Komputery ufające sobie mogą znajdować się w tym samym segmencie. Wykorzystuje się zabezpieczenia systemu operacyjnego oraz wiarygodność osób mających dostęp do pomieszczeń i komputerów. Zaufanie, to nie tylko kwestia etyki ale również umiejętności administratora i użytkownika.

Aby stworzyć segmenty godne zaufania, należy ustawić bariery pomiędzy segmentami bezpiecznymi i niezabezpieczonymi gdyż niektóre segmenty pozostaną niezabezpieczone.

W charakterze bariery można wykorzystać bridge. relacja zaufania może być jedno lub dwukierunkowa (wzajemna). W przypadku jednokierunkowej, komputery mniej bezpieczne ufają bardziej bezpiecznym lecz nie odwrotnie.

Poniżej przedstawiono kilka przykładów pozyskania danych przekazywanych w fazie uwierzytelnienia.


« poprzedni punkt  następny punkt »