Концентратор — это простейшее сетевое устройство, который получая пакет на один из своих портов ретранслирует его на все остальные. При этом все машины подключённые к этому концентратору получают отправленный пакет. При использования этих устройств существенно снижается пропускная способность сегмента сети. Но что гораздо важнее с точки зрения информационной безопасности, то что любой из желающих может прослушать трафик подключившись к нему. Как происходит атака на концентратор?
Атака на концентратор
Для этого можно просто подключить к концентратору несколько машин и запустить загрузочный диск Back Track или любой другой дистрибутив Linux, хоть OpenSuse.
И с помощью программы Wireshark указываем интерфейс и нажимаем старт…
Если этой программы нет, то её можно установить через терминал введя команды:
- команда — sudo apt-get install wireshark;
- sudo apt-get update;
- sudo add-apt-repository ppa:wireshark-dev/stable.
Для проверки, чтобы убедиться в этом заходим с любой машины подключенной к данному концентратору. И пробуем зайти на какой нибудь социальный сайт. Ну и авторизируемся и лучше вводим данные (не настоящие). Получаем ответ с сервера что неверный электронный адрес или пароль, но мы здесь не за этим.
Переходим в окно Wirehark и просматриваем трафик http, который передавался с локальной машины на веб сервер. И там можно увидеть логин и p@ssw0rd.
В логе @ заменён шестнадцатеричным кодом UTF-8. Но и его можно расшифровать, это вопрос лишь времени и необходимости. Безусловно социальные сети используют шифрование при передачи данных. Но тем не менее при помощи прослушивания трафика хакер может получить много для себя полезной информации.
В логе @ заменён шестнадцатеричным кодом UTF-8. Но и его можно расшифровать, это вопрос лишь времени и необходимости. Безусловно социальные сети используют шифрование при передачи данных. Но тем не менее при помощи прослушивания трафика хакер может получить много для себя полезной информации …
Атака — passive fingerprint
Например по тем серверам, к которым обращался компьютер, какая OS установлена. Какие обновления были установлены, не говоря уже о приложениях. Такие атаки называются «passive fingerprint«
Но и у концентратора есть хорошая сторона, например использование концентраторов для внутреннего подключения узлов кластера. Дело в том, что узлам кластера постоянно нужно обмениваться сообщениями (Im alive). «Я живой» эти сообщения передаются узлами друг-другу.
Так как концентратор не составляет САМ-таблицы, которые обладают некоторым временем жизни. И при выходе из строя одного узла, второй узел узнаёт об этом по истечении жизни 1 узла.
Для критичных бизнес-приложений, таких как электронная почта. Корпоративная база данных, веб сайт, простой продолжительностью в несколько секунд крайне вреден. А для карьеры системного администратора просто опасен. Так, что использование концентратора в кластерных системах вполне оправданно…
Для того, чтобы данных угроз, необходимо использовать коммутаторы. О которых мы как то уже рассказывали — коммутатор.
В случае, если же в вашей сети есть концентраторы и пока вы от них не можете отказаться. То можно в целях безопасности — заблокировать программными средствами возможность прослушивания трафика.
Проще всего это лишить пользователей административных привилегий на рабочих станций. Так же необходимо запретить работу сетевой карты в режиме получать весь трафик, а не для данной машины …