Spis treści
Co zrobić, aby wykryć i uniknąć podsłuchiwania?
W pierwszej części dowiedzieliśmy się czym jest sniffing, jakie są jego rodzaje, gdzie można
go wykonać, a teraz czas na to co zrobić, aby jedynie skończyło się na nieudanej próbie
atakującego. Warto zaznaczyć, że poprzez sniffing rozumiemy nawet zwykły keylogger
będący dostarczony na stację użytkownika. Takim przykładem może być biblioteka pynpu,
która ma kontrolować i monitorować podłączone urządzenia.
Wykorzystanie XArp
Warto wspomnieć o aplikacji zabezpieczającej przed atakami na ARP – XArp. Niestety
projekt oficjalnie został porzucony, ale Internet nie zapomina. Mechanizm wykrywania
opiera się na dwóch technikach: modułach inspekcyjnych i wykrywaczach. Moduły
inspekcyjne przeglądają pakiety ARP i sprawdzają ich poprawność oraz aktualność w
odniesieniu do zbudowanych przez siebie baz danych. Następuje korelacja i weryfikacja IP–
MAC, aktywnie zostaje wykryta obecność atakujących. Mechanizm wykrywa ataki ARP i
zachowuje prywatność danych. Monitoruje nawet całe podsieci pod kątem ataków.
Obrona przed ARP Posoning
Wdrożenie Dynamic ARP Inspection (DAI) może okazać się skuteczne przeciwko atakom
zatruwania. DAI to funkcja bezpieczeństwa, która weryfikuje pakiety ARP w sieci. Gdy DAI
aktywuje się w sieci VLAN wszystkie porty są domyślnie uznawane za niezaufane.
DAI weryfikuje pakiety ARP za pomocą tabeli powiązań DHCP Snooping. Tabela powiązań
DHCP Snooping składa się z adresów MAC, adresów IP i interfejsów VLAN uzyskanych przez
nasłuchiwanie wymiany komunikatów DHCP. Dlatego przed włączeniem DAI należy
włączyć DHCP Snooping. W przeciwnym razie nawiązanie połączenia między urządzeniami
VLAN w oparciu o ARP nie jest możliwe.
Szyfrowanie komunikacji
Najpopularniejszym, ale nie najskuteczniejszym jest zastosowanie mechanizmów
kryptograficznych i szyfrowania komunikacji. Implementacja protokołów takich jak HTTP
Secure (HTTPS), Secure Shell (SSH) wersji 2, Transport Layer Security (TLS) w wersji 1.3 i
różnych innych zapobiega m.in. atakom typu ARP spoofing, szyfrując dane przed transmisją
i uwierzytelniając je po ich odebraniu.
Obrona przed DHCP Starvation i Rogue Server
Port security – ogranicza maksymalną liczbę adresów MAC na danym porcie
przełącznika. Po przekroczeniu limitu przełącznik odrzuca kolejne żądania adresów MAC
(pakiety) ze źródeł zewnętrznych, co zabezpiecza serwer przed atakiem DHCP starvation.
Natomiast Rogue Server może powstrzymać funkcja DHCP snooping. Po jej
skonfigurowaniu przełącznik nie pozwala innym portom na odpowiadanie na pakiety DHCP
Discover wysyłane przez klientów. Dlatego nawet atakujący, któremu udaje się zbudować
fałszywy serwer DHCP i łączy się z przełącznikiem nie może odpowiadać na pakiety DHCP
Discover.
Oprogramowanie antywirusowe oraz VPN
Na koniec warto wskazać najbardziej podstawowe z perspektywy użyteczności sposoby na
obronę przed podsłuchiwaniem; są to oprogramowanie klasy AV oraz VPN.
Oprogramowanie antywirusowe często posiada wbudowane reguły mogące w sposób
aktywny zapobiegać sniffingowi. Identyfikuje podejrzaną komunikację, np. zatruwanie
ARP oraz usuwa malware umożlwiający atakującym utrzymanie dostępu. VPN natomiast
poprzez zastosowanie swojej architektury również może stanowić swego rodzaju ochronę.
Ruch pomiędzy klientem a serwerem jest szyfrowany, a dodatkowo umożliwia
anonimizację adresu IP.