Noen her som har tips til prog for å spore opp IP-sniffere på lokalnett?
LOGG INN
... eller du kan registrere deg nå
Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang.
Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
|
18
1117
|
Enkelt google søk endte opp med dette, er ikke sikekr om det er akkuratt det du leter etter men det er iallefall ett alternativ.
http://www.softpedia.com/get/Network...-Sniffer.shtml
Velkommen som bruker på nFF btw.
http://www.softpedia.com/get/Network...-Sniffer.shtml
Velkommen som bruker på nFF btw.
Nettet her er outsourcet fra en tredjepart...
Pinging blir benyttet støtt og stadig her for å sjekke f.eks printere på andre siden av bygget etc.
Har en bruker på nettet her som har sniffet opp IP`ene til noen av de tynne klientene, og ettersom adm passordet på de klientene har vært simpelt og at det har vært det samme i flere år, så har det vært null stress for han å komme seg inn på dem for endre div i oppsett og shadowing.
Vil finne ut av hvem dette kan være, før passordet på klientene blir endret og verifisering av fjernstyring blir aktivert.
Pinging blir benyttet støtt og stadig her for å sjekke f.eks printere på andre siden av bygget etc.
Har en bruker på nettet her som har sniffet opp IP`ene til noen av de tynne klientene, og ettersom adm passordet på de klientene har vært simpelt og at det har vært det samme i flere år, så har det vært null stress for han å komme seg inn på dem for endre div i oppsett og shadowing.
Vil finne ut av hvem dette kan være, før passordet på klientene blir endret og verifisering av fjernstyring blir aktivert.
Sist endret av Espdahls; 11. april 2008 kl. 13:36.
Hvis en person kan koble seg til på et punkt der data passerer, og kjører sitt interface i promiscuous mode, eller har klart å span'e ut en port i en switch...er dette omtrent umulig å merke.
Hindre sniffing baserer seg i stor grad på å sørge for at man har kontroll på nettverket, ikke enabler switchporter man ikke bruker, ikke lar folk installere programmer som gir slike muligheter (de fleste snifferprogrammer må installeres som lokal administrator for å få korrekt tilgang til NIC) osv.
Hindre sniffing baserer seg i stor grad på å sørge for at man har kontroll på nettverket, ikke enabler switchporter man ikke bruker, ikke lar folk installere programmer som gir slike muligheter (de fleste snifferprogrammer må installeres som lokal administrator for å få korrekt tilgang til NIC) osv.
Eneste løsningen jeg kan se ville vært å hatt noe intelligent software på switcher og\eller routere hvis det er på forskjellige nett som fanger opp ICMP trafikken.
Ellers kan du f.eks speile porter mot en wireshark klient som står og sniffer på nettverket og plukker opp hvor ICMP trafikken kommer fra.
Som carrier sier kan det være relevant å kjøre inn 802.1x autentisering på portene, og nekte uautoriserte brukere å koble seg inn i nettet.
Det er jo forholdsvis enkelt å nekte en applikasjon å kjøre og eventuelt nekte brukere å installere applikasjoner fra et godt administrert windows domene.
Ellers kan du f.eks speile porter mot en wireshark klient som står og sniffer på nettverket og plukker opp hvor ICMP trafikken kommer fra.
Som carrier sier kan det være relevant å kjøre inn 802.1x autentisering på portene, og nekte uautoriserte brukere å koble seg inn i nettet.
Det er jo forholdsvis enkelt å nekte en applikasjon å kjøre og eventuelt nekte brukere å installere applikasjoner fra et godt administrert windows domene.
Sitat av AtXbYeA
Trikset er ikke å ta folk igrunn, trikset er å ha det såpass sikkert at slikt ikke skjer, og ha rutiner som overvåker det som skjer, sånn kan du også forebygge framtidige ting.
Vis hele sitatet...
Men i praksis er slike setninger bare luft.
Hva er egentlig definisjonen av et slikt sikkerhetsnivå, hva er omfanget av slike rutiner, hvordan implementerer man slik overvåking, hva skal slik overvåking egentlig se etter, hva slags fremtidige "ting" skal man egentlig forebygge.
Det blir litt det samme som å si "vi skal ha det sikkert nok".
Men hva er "sikkert nok"? Det er det få som klarer å definere...
Et virusutbrudd i året? Kun 500.000 i tap? Kun 5% avvik i SLA avtale pga sikkerhetsbrudd?
Og hvordan setter man opp disse systemene som skal klare å hindre alt som overskrider dette?
Er ikke meningen å skyte på deg...er bare en utblåsning pga generell frustrasjon over hvor mange som sier ting som på papiret ser fornuftig ut, men som egentlig ikke sier noe som helst.
Litt som at "for å unngå å kollidere, må du kjøre fornuftig i trafikken". Selvsagt må man det...men hva betyr det i praksis...?
Jeg ser poenget ditt, men trikset er at det er gitte regler som burde følges uansett.
Har man først et større nettverk burde man basere seg på sentral administrasjon, og her kan man i 99% av tilfellene restriktere brukere fra å installere sine egne programmer (som muligens ville hjulpet i denne situasjonen).
Man burde også ha det ønskelig dersom man har sensitiv data å kreve maskinautentisering før brukerautentisering (802.1x f.eks) slik at man ikke får uønskede maskiner inn i i nettverket som ikke er underlagt dine regler og policier.
Dersom man faktisk er ultrakritisk til brukertilgang støtter 95% av alle switcher idag VLAN og føler man et behov for å dele soner av brukere burde man virkelig implementere dette.
Virusprogramvare med sentral administrasjon er jo utrolig enkelt og ved litt tweaking av eventlog'er og lignende kan man fort få beskjed om når en virus realtimescan er stoppet fra å kjøre (noe brukeren ikke burde ha tillatelse til å gjøre fra starten av).
Se på dette som en utdypning.
Har man først et større nettverk burde man basere seg på sentral administrasjon, og her kan man i 99% av tilfellene restriktere brukere fra å installere sine egne programmer (som muligens ville hjulpet i denne situasjonen).
Man burde også ha det ønskelig dersom man har sensitiv data å kreve maskinautentisering før brukerautentisering (802.1x f.eks) slik at man ikke får uønskede maskiner inn i i nettverket som ikke er underlagt dine regler og policier.
Dersom man faktisk er ultrakritisk til brukertilgang støtter 95% av alle switcher idag VLAN og føler man et behov for å dele soner av brukere burde man virkelig implementere dette.
Virusprogramvare med sentral administrasjon er jo utrolig enkelt og ved litt tweaking av eventlog'er og lignende kan man fort få beskjed om når en virus realtimescan er stoppet fra å kjøre (noe brukeren ikke burde ha tillatelse til å gjøre fra starten av).
Se på dette som en utdypning.
Det finnes flere applikasjoner som oppdager sniffere, men de ganske begrenset.
antisniff ble i sin tid laget av l0pth, og er kanskje det mest kjente. Men du vil nok ha problemer med å finne dette programmet nå.
ettercap med pluginen arp_cop - som navnet sier, oppdager arp-injections, som jeg gjetter er brukt i ditt nettverk.
Jeg anbefaler deg å lese punkt 2.5 her:
http://web.archive.org/web/200502211...ffing-faq.html
antisniff ble i sin tid laget av l0pth, og er kanskje det mest kjente. Men du vil nok ha problemer med å finne dette programmet nå.
ettercap med pluginen arp_cop - som navnet sier, oppdager arp-injections, som jeg gjetter er brukt i ditt nettverk.
Jeg anbefaler deg å lese punkt 2.5 her:
http://web.archive.org/web/200502211...ffing-faq.html
|
|