PDA

Bekijk Volledige Versie : Network (password) sniffing bij colo centers



rhoekman
26/01/04, 23:48
Uhm, geloof dat na de crash deze post is verdwenen.. Even opnieuw dan maar..

Omdat je tegenwoordig al voor één tientje al een server kan plaatsen in een colo-center wordt de dreiging ook groter dat hackers/crackers een bak neer te zetten en wachtwoorden gaan sniffen. Met bijvoorbeeld Ettercap, DSNIFF en Ethereal is dat een fluitje van een cent.

Mijn vraag is (en was) wat kan je hier tegen doen? Zijn er ISP's die standaard je MAC adres op een poort 'hard' erin zetten?

Wat referenties:

ETTERCAP: http://ettercap.sourceforge.net/
http://www.securitypronews.com/securitypronews-24-20030623EtterCapARPSpoofingandBeyond.html (Ettercap in de praktijk)

DSNIFF: http://www.monkey.org/~dugsong/dsniff/
ETHEREAL: http://www.ethereal.com/

Toon
27/01/04, 10:58
Vlan my friend, vlan...

rhoekman
27/01/04, 13:23
En dat gebruikt elke ISP, standaard? Ook al is er een VLAN. Wanneer ik in de zelfde VLAN zit kan ik nog steeds de broadcasts sniffen, niet?

PimEffting
27/01/04, 17:10
Toon doelt dan ook op het aanmaken van verschillende VLANs voor verschillende klanten, vermoed ik.

Myrdhin
27/01/04, 18:14
Origineel geplaatst door Toon
Vlan my friend, vlan...
De enige manier is dan voor elke klant een VLAN aanmaken. Daarmee verspil je dus per klant minimaal 2 IP adressen. En je moet een router erbij aanschaffen die dat allemaal kan routeren.

Ik heb ettercap getest met ARP sniffing en dat zorgde er ook voor dat de testservers niet meer bereikbaar waren omdat al het verkeer omgeleid werd.

ARP sniffing werkt op die manier dat ettercap de switch bestookt met de MAC adressen van de andere apparaten waardoor al het verkeer naar de verkeerde switchpoort gestuurd wordt, i.e. die waar ettercap achter zit. Dit is te verhelpen door de switch zo te configureren dat ie maar 1 MAC adres accepteert achter de poort. Zitten wel een aantal nadelen aan:
- Je kunt maar 1 server op die poort aansluiten, dus niet via een hub of switch meerdere servers.
- Je moet telkens bij het wisselen van netwerkadapter (nieuw MAC adres) het opnieuw instellen. Dit komt achter niet vaak voor lijkt me.

PimEffting
27/01/04, 23:17
Veel switches hebben tegenwoordig ook auto-learning. Het echte erectiewaardig spul heeft mogelijkheden om dit te beperken tot een aantal changes per periode X (Allied Telesyn heeft dat als ik mij niet vergis).

sander
28/01/04, 18:58
sniffen gaat zelf op mijn chello modem , had een x voor de gein een dagje dnsiff aanstaan , had gelijk alle pop3 wachtwoorden van hier uit de buurt.

in colo's kan dit dan ook zeker voorkomen ,

gelukkig is er sftp spop3 etc

dus encrypte de zooi , en natuurlijk ipsec :)

rhoekman
28/01/04, 23:50
hmm encryptie en klanten die dat willen/kunnen instellen (vanuit een positie gezien als webhoster) Ik geloof dat hier dan een enorme opvoedkundige taak ligt ;)