Агаву на кактус или массовая уязвимость уровня всего ДЦ

kostich · 09.04.2008, 20:34

Немного отхожу от шока, но настроение в целом прибавилось. Собственно в очередной истории с инжектом на один из сайтов был слегка шокированы т.к. возможность кражи их вирусами была исключена. И вот он хит сезона - возможность проведения атак типа arp poisoning cache внутри агавовской 89.108.80.0 - 89.108.95.255.

Т.е. если по русски, то практически любой из подключенных к этой сети может завернуть через свой хост трафик практически любого подключенного к этой сети. Любой из клиентов может убедиться в этом используя утилиту ettercap, которая как раз и предназначеня для проверки качества безопасности сети.

Не долго думая мы попробовали набрать: ettercap -a ./etter.conf -i em0 -T -M arp:remote /89.108.80.1/ /89.108.65.143/ и наши глаза вылезли из орбит.

АГАВУ НА КАКТУС!

И т.к. я не могу доказать, что мои конфиденциальные данные были украдены именно так, то и претензий к Агаве в очередной раз предъявлять не буду. Прошлый раз у них нашли массовый дырявый шаред. Прошу заметить, что атаки уровня arp poisoning cache известны с момента появления первых свичей.

Вис бест регардс,
Константин Ефимович

Andreyka · 09.04.2008, 21:59

Команду лучше сотри, а то сейчас пойдут пионеры слушать трафик

Pilat · 09.04.2008, 22:28

Как страшно жить...

У меня появился вопрос. А вообще уровень компьютерной грамотности снизился или повысился за последние годы в среде имеющих отношение к администрированию ?

amso · 09.04.2008, 22:43

а у многих дц отношение к сетке под коло, как к офисной, только что свитчи не д-линк.

Цитата:

Сообщение от Pilat

У меня появился вопрос. А вообще уровень компьютерной грамотности снизился или повысился за последние годы в среде имеющих отношение к администрированию ?

такое, как правило, сложилось как раз у старых "вояк", сначала плевали на это, а потом сети поразрастались

Dolph · 09.04.2008, 22:49

странно, ARP-poison это болезнь виндовых машин. Никсы, на сколько помню, не меняют физический адрес уже известного им устройства.

Лечится все путем прописывания статичных ARP-записей

amso · 09.04.2008, 23:02

Цитата:

Сообщение от Dolph

странно, ARP-poison это болезнь виндовых машин. Никсы, на сколько помню, не меняют физический адрес уже известного им устройства.
Лечится все путем прописывания статичных ARP-записей

еще скажите, что юниксам необходим ребут после смены адресов

Вы что-то путаете. В условиях ДЦ это и остальные арп-фокусы лечатся только умными свитчами 2/2+

kostich · 09.04.2008, 23:06

Цитата:

Сообщение от Andreyka

Команду лучше сотри, а то сейчас пойдут пионеры слушать трафик

не будут... одновременно слушать сложно.

kostich добавил 09.04.2008 в 22:54

Цитата:

Сообщение от Dolph

Лечится все путем прописывания статичных ARP-записей

лечится это либо VLAN-ами, либо L2/L3 ACL на свичах терминирующих клиента... на тему остальных ДЦ с аналогичным бардаком вежливо умолчу... где-то доступно /24, а где-то /17.

Цитата:

AGAVA Firewall входит в число самых эффективных файрволов. Файрвол блокирует внешние атаки, утечку информации, действия злоумышленников в локальной сети, предоставляет полный контроль над всей сетевой активностью.

Виды защиты:
[...]
# Защита от ARP атак, позволяющих перехватить любую информацию, передающуюся по сети.

Zaqwr · 10.04.2008, 10:39

Цитата:

Сообщение от Andreyka

Команду лучше сотри, а то сейчас пойдут пионеры слушать трафик

такого чуда в инетернетии полно, если бы хотели уже давно послушали...
kostich, а скажите пожалуйста, у вас как реагирует машина на то, что меняется mac на какой либо машины чей мак уже присутствует в arp таблице, в логи ничего не пишет, хотя вроде должна!?

Zaqwr добавил 10.04.2008 в 09:46

Цитата:

Сообщение от kostich

лечится это либо VLAN-ами, либо L2/L3 ACL на свичах терминирующих клиента

кстати насколько мне известно, acl на свичах достаточно сильно загружает cpu данного девайса (наверное не ко всем свичам это относится, но всёже), что в последствии без сомнений скажется на его производительности не в лучшую сторону... а vlan для каждой машины, это соответствующие затраты на потери ip... а лучше всего сразу предлагать клиентам, статически прописывать мак дефолтного гейта

kostich · 10.04.2008, 11:14

Цитата:

Сообщение от Zaqwr

такого чуда в инетернетии полно, если бы хотели уже давно послушали...
kostich, а скажите пожалуйста, у вас как реагирует машина на то, что меняется mac на какой либо машины чей мак уже присутствует в arp таблице, в логи ничего не пишет, хотя вроде должна!?

никак не реагирует т.к. MAC адрес при этой атаке не меняется....

Zaqwr · 10.04.2008, 11:43

kostich, да? я думал что меняется arp таблица на атакуемой машине, а что тогда происходит?
и трафик при такой атаке попадет только исходящий от атакуемой машины?

09.04.2008, 20:34	#1
kostich newbie Регистрация: 24.03.2004 Сообщений: 2,183 Репутация: 40983	Агаву на кактус или массовая уязвимость уровня всего ДЦ Немного отхожу от шока, но настроение в целом прибавилось. Собственно в очередной истории с инжектом на один из сайтов был слегка шокированы т.к. возможность кражи их вирусами была исключена. И вот он хит сезона - возможность проведения атак типа arp poisoning cache внутри агавовской 89.108.80.0 - 89.108.95.255. Т.е. если по русски, то практически любой из подключенных к этой сети может завернуть через свой хост трафик практически любого подключенного к этой сети. Любой из клиентов может убедиться в этом используя утилиту ettercap, которая как раз и предназначеня для проверки качества безопасности сети. Не долго думая мы попробовали набрать: ettercap -a ./etter.conf -i em0 -T -M arp:remote /89.108.80.1/ /89.108.65.143/ и наши глаза вылезли из орбит. АГАВУ НА КАКТУС! И т.к. я не могу доказать, что мои конфиденциальные данные были украдены именно так, то и претензий к Агаве в очередной раз предъявлять не буду. Прошлый раз у них нашли массовый дырявый шаред. Прошу заметить, что атаки уровня arp poisoning cache известны с момента появления первых свичей. Вис бест регардс, Константин Ефимович __________________ Защита от DDOS любой мощности, разработка высоконагруженных решений, администрирование FreeBSD серверов. Последний раз редактировалось kostich, 09.04.2008 в 20:49.

09.04.2008, 21:59	#2
Andreyka Linux Guru Регистрация: 19.02.2005 Адрес: Odessa Сообщений: 4,862 Репутация: 63343 Социальные сети	Ответ: Агаву на кактус или массовая уязвимость уровня всего ДЦ Команду лучше сотри, а то сейчас пойдут пионеры слушать трафик __________________ Чудо-VDS, которые держат высокую нагрузку. Предложение ограничено!

09.04.2008, 22:28	#3
Pilat Академик Регистрация: 08.03.2007 Сообщений: 1,518 Репутация: 48011	Re: Агаву на кактус или массовая уязвимость уровня всего ДЦ Как страшно жить... У меня появился вопрос. А вообще уровень компьютерной грамотности снизился или повысился за последние годы в среде имеющих отношение к администрированию ?

09.04.2008, 22:49	#5
Dolph ночивек Регистрация: 08.04.2008 Сообщений: 395 Репутация: 7511	Ответ: Агаву на кактус или массовая уязвимость уровня всего ДЦ странно, ARP-poison это болезнь виндовых машин. Никсы, на сколько помню, не меняют физический адрес уже известного им устройства. Лечится все путем прописывания статичных ARP-записей

10.04.2008, 11:43	#10
Zaqwr It'шник Регистрация: 08.08.2007 Адрес: Зеленодырск Сообщений: 570 Репутация: 9028	Ответ: Агаву на кактус или массовая уязвимость уровня всего ДЦ kostich, да? я думал что меняется arp таблица на атакуемой машине, а что тогда происходит? и трафик при такой атаке попадет только исходящий от атакуемой машины? Последний раз редактировалось Zaqwr, 10.04.2008 в 12:48.

Опции темы
Версия для печати Отправить по электронной почте

Реклама