[MASOCH-L] RES: sniffer em rede LAN

Rodrigo Colen Silva rodrigocolenbh at yahoo.com.br
Thu Jul 1 16:13:27 BRT 2010 

Senhores,
Boa tarde!

Existem algumas features nos switches cisco que impedem estes tipos de
ataques.
* No livro da cisco press de preparação para o exame BCMSN tem a descrição
de varias.

Vai aqui algumas features que vão ajudar a aumentar a segurança na sua rede:
(* esta ajuda a impedir a interceptação de pacotes na rede).

DHCP snooping - Evita ataques onde uma maquina responde as requisições de
DHCP.
Ip source guard - Evita que warms ou "alguém" use endereços ip falsos para
fazer ataques de DoS.
* Dynamic arp inspection: Evita que outra maquina responda a requisições ARP
e se coloque "no meio" para capturar os dados e então enviá-los ao
verdadeiro destino, este tipo de ataque pode acontecer durante muito tempo
sem ser percebido.
Private vlans: permite que você diga com quem cada host fala dentro de uma
mesma vlan, por exemplo as portas nos switches podem falar somente com a
porta do gateway e não uma com as outras.
Uso de 802.1x (PEAP/TLS): Utilizar estas técnicas de segurança permite você
autenticar o host que vai se conectar a sua rede e ainda permite
criptografar a comunicação.
Uso de IPSEC: permite comunicação segura na rede.

Basicamente o que posso te dizer é que existem inúmeros meios de garantir a
segurança nas redes, as principais delas passam por: 
Autenticação (garantir que o usuário ou computador tem autorização para
comunicar na rede).
Criptografia (torna os dados confidenciais): Garantir que os dados (mesmo se
capturados na rede) não terão valia alguma pois estarão criptografados.
Garantir a integridade dos dados: Ou seja garantir que em um ataque qualquer
um host ofensor não consiga alterar os dados enviados pelo host legitimo.

Bom por final, utilizar controle de acessos, garantir que as senhas sejam
sempre trocadas, garantir que senhas não trafeguem na rede sem estar
criptografadas, instruir os usuários sobre a engenharia social (dizem que a
melhor forma de saber a senha de alguém é perguntando).

Existem inúmeras outras opções, mas acredito que um mix destas te garante
segurança de tal forma que um invasor vai desistir de tentar pegar qualquer
coisa na sua rede.

Att
Colen

-----Mensagem original-----
De: masoch-l-bounces at eng.registro.br
[mailto:masoch-l-bounces at eng.registro.br] Em nome de Claudio Corrêa Porto
Enviada em: quinta-feira, 1 de julho de 2010 12:18
Para: Mail Aid and Succor, On-line Comfort and Help
Assunto: Re: [MASOCH-L] sniffer em rede LAN

Alexandre,

Vou resumir, pois não é tão simples assim... Para tentar se didático, o
wireshark não pega, mas um sniffer do tipo ettercap pega sim, pois utiliza
uma estratégia diferente com ARP poisoning. O próprio ettercap consegue
detectar se tem alguém rodando um outro ARP poisoning na rede.

Você pode minimizar isto com algum gerneciamento, por exemplo, fixando o MAC
das estações nas portas dos switches, criando vlans (se for o caso), e até
mesmo instalando um IDS para detectar atividades espúrias pela rede. É o
tipo de problema que deve ter uma abordagem multidisciplinar, incluindo
lançar mão de punição administrativa pela violação das normas de segurança
da empresa.

Por outro lado pode ser alguma atividade provocada por um vírus ou worm
tentando rodar portscan em reder remotas e locais.

Abraço!
-- 
Atenciosamente,
Claudio Corrêa Porto
+55 11 9985-6816
+55 11 4169-5885

Antes de imprimir pense no meio ambiente. Imprima somente o necessário e
utilize papel reciclado.




Em 1 de julho de 2010 08:29, Alexandre J. Correa - Onda Internet <
alexandre at onda.psi.br> escreveu:

> Caros,
>
> Tem um cliente meu que está com um problema, está desconfiando de
> espionagem (sniff) na rede, a rede dele tem 2 switchs 48 portas da cisco
> (nao recordo o modelo mas sao gerenciaveis).
>
> Existe alguma maneira de isolar, ou fazer algo para que sniffer de rede,
> tipo wireshark nao pegue nada de trafego.. alias com switch isso ja
resolve
> porque nao tem aquele tanto de broadcast nas portas (igual acontece com
> hub)..
>
> Mas se alguem tiver alguma ideia de como posso sugerir uma melhoria na
> segurança da rede dele, fico grato :)
>
> Uma das alternativas que vou indicar é o uso de windows NAP com 802.1x,
> somente maquinas certificadas acessam a rede, isso ja vai diminuir
bastante
> problema.
>
> até !
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Sócio-Administrador
>
> Onda Internet
> www.onda.net.br
>
> IPV6 Ready !
> www.ipv6.onda.net.br
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list