fbpx

Jak bronić się przed sniffingiem?

Udostępnij

Spis treści

Co zrobić, aby wykryć i uniknąć podsłuchiwania?

W pierwszej części dowiedzieliśmy się czym jest sniffing, jakie są jego rodzaje, gdzie można go wykonać, a teraz czas na to co zrobić, aby jedynie skończyło się na nieudanej próbie atakującego. Warto zaznaczyć, że poprzez sniffing rozumiemy nawet zwykły keylogger będący dostarczony na stację użytkownika. Takim przykładem może być biblioteka pynpu, która ma kontrolować i monitorować podłączone urządzenia.

Wykorzystanie XArp

Warto wspomnieć o aplikacji zabezpieczającej przed atakami na ARP – XArp. Niestety projekt oficjalnie został porzucony, ale Internet nie zapomina. Mechanizm wykrywania opiera się na dwóch technikach: modułach inspekcyjnych i wykrywaczach. Moduły inspekcyjne przeglądają pakiety ARP i sprawdzają ich poprawność oraz aktualność w odniesieniu do zbudowanych przez siebie baz danych. Następuje korelacja i weryfikacja IP– MAC, aktywnie zostaje wykryta obecność atakujących. Mechanizm wykrywa ataki ARP i zachowuje prywatność danych. Monitoruje nawet całe podsieci pod kątem ataków.

Obrona przed ARP Posoning

Wdrożenie Dynamic ARP Inspection (DAI) może okazać się skuteczne przeciwko atakom zatruwania. DAI to funkcja bezpieczeństwa, która weryfikuje pakiety ARP w sieci. Gdy DAI aktywuje się w sieci VLAN wszystkie porty są domyślnie uznawane za niezaufane. DAI weryfikuje pakiety ARP za pomocą tabeli powiązań DHCP Snooping. Tabela powiązań DHCP Snooping składa się z adresów MAC, adresów IP i interfejsów VLAN uzyskanych przez nasłuchiwanie wymiany komunikatów DHCP. Dlatego przed włączeniem DAI należy włączyć DHCP Snooping. W przeciwnym razie nawiązanie połączenia między urządzeniami VLAN w oparciu o ARP nie jest możliwe.

Szyfrowanie komunikacji

Najpopularniejszym, ale nie najskuteczniejszym jest zastosowanie mechanizmów kryptograficznych i szyfrowania komunikacji. Implementacja protokołów takich jak HTTP Secure (HTTPS), Secure Shell (SSH) wersji 2, Transport Layer Security (TLS) w wersji 1.3 i różnych innych zapobiega m.in. atakom typu ARP spoofing, szyfrując dane przed transmisją i uwierzytelniając je po ich odebraniu.

Obrona przed DHCP Starvation i Rogue Server

Port security – ogranicza maksymalną liczbę adresów MAC na danym porcie przełącznika. Po przekroczeniu limitu przełącznik odrzuca kolejne żądania adresów MAC (pakiety) ze źródeł zewnętrznych, co zabezpiecza serwer przed atakiem DHCP starvation. Natomiast Rogue Server może powstrzymać funkcja DHCP snooping. Po jej skonfigurowaniu przełącznik nie pozwala innym portom na odpowiadanie na pakiety DHCP Discover wysyłane przez klientów. Dlatego nawet atakujący, któremu udaje się zbudować fałszywy serwer DHCP i łączy się z przełącznikiem nie może odpowiadać na pakiety DHCP Discover.

Oprogramowanie antywirusowe oraz VPN

Na koniec warto wskazać najbardziej podstawowe z perspektywy użyteczności sposoby na obronę przed podsłuchiwaniem; są to oprogramowanie klasy AV oraz VPN. Oprogramowanie antywirusowe często posiada wbudowane reguły mogące w sposób aktywny zapobiegać sniffingowi. Identyfikuje podejrzaną komunikację, np. zatruwanie ARP oraz usuwa malware umożlwiający atakującym utrzymanie dostępu. VPN natomiast poprzez zastosowanie swojej architektury również może stanowić swego rodzaju ochronę. Ruch pomiędzy klientem a serwerem jest szyfrowany, a dodatkowo umożliwia anonimizację adresu IP.