sniffer

reimassupilami
(usa Slackware)

Enviado em 02/03/2006 - 10:34h

pessoal, não tenho conhecimento muitissimo avançado com redes e administração de redes, mas lendo um artigo a respeito de segurança segui um tutorial sobre snifer, bem interessante... um programinha simples pegou os pacotes da rede, entre eles estava nada mais nada menos do que as senhas de minhas contas de email, q são acessadas pelo thunderbird!!! fiquei impressionado com tamanha vulnerabilidade no meu sistema...

então a questão é: tem algum recurso que posso utilizar pra criptografar essas informações para impedir que algum snifer pegue?

professordavid
(usa Ubuntu)

Enviado em 02/03/2006 - 21:28h

eu defendo a opinião de trancar a máquina no firewall e ip's indesejados... mas tem vários programinhas que ajudam a criptografar os dados da rede.. vou pesquisar alguns e posto aqui na comunidade quando testar, Ok

reimassupilami
(usa Slackware)

Enviado em 03/03/2006 - 08:31h

concordo, eu mantenho um firewall legal no servidor, teoricamtente protegendo bem, apesar de sabermos q nada é 100% seguro... mas minha preocupação, pelo menos no momento, não é tanto de fora, mas derepente um usuário dentro da rede mesmo rodar um programinha sniffer em algum pc e pegar senhas dos outros, sabemos q isso não é lá tão dificil hoje em dia...

de qualquer forma, que regras vc sugere para fazer esses bloqueios q vc citou?

se encontrar ae os programas posta pra gente, please...

bgmolinari
(usa Debian)

Enviado em 03/03/2006 - 08:56h

Os dados que você visualizou são os dados da sua maquina, o sniffer instalado em sua maquina irá capturar todos os dados que saem ou chegam até a sua placa de rede. Se em sua rede você utiliza switchs nenhum outro computador conseguira visualizar esses dados, somente a sua maquina e o firewall por onde todos os dados passam antes de sair para a internet.
Mas caso você utilize HUBs ai sim todas as maquina conseguiram visualizar o trafego das outras.

reimassupilami
(usa Slackware)

Enviado em 03/03/2006 - 09:28h

na minha rede usamos dois switchs interligados... dae todo trafego passa por eles e depois pelo servidor proxy pra depois passar para internet... então isso quer dizer que de um pc não é possivel pegar informações vindas ou recebidas em outras maquinas? pra isso o sniffer teria que estar rodando no servidor, por onde todo trafego passa, está certo?

bgmolinari
(usa Debian)

Enviado em 03/03/2006 - 09:34h

Exatamente, as maquinas só conseguiram capturar os pacotes enviados por/para elas e os dados transmitidos em broadcast. E no servidor por onde passam todos os dados você conseguira visualizar os pacotes de todas as maquinas.

reimassupilami
(usa Slackware)

Enviado em 03/03/2006 - 09:38h

certo, agora ficou claro... eu estava fazendo uma idéia erra disso mesmo, caramba...

vc disse que se usasse hub dae um pc poderia capturar pacotes das outras, isso porque hubs trabalham enviando todos pacotes para todas maquinas, né isso? ja o switch envia diretamente para a maquina de destino... estou certo?

gabriel.bezerra
(usa Gentoo)

Enviado em 13/03/2006 - 00:48h

Sobre o hub e switch: há um método de driblar o switch, é o de infectar a tabela arp.

No padrao ethernet(redes locais)a comunicação é feita pelo endereço mac, e nao pelo ip, há só traduçao de ip para mac no emissor e no receptor(o sistema traduz usando a tabela de macs dele: arp); então, se eu mentir para o seu pc dizendo que tenho o ip de outro e mentir para o outro dizendo que tenho o seu ip, posso capturar todos os pacotes que trafegam entre vcs.

É bem difícil se livrar de um sniffer, acho que o melhor mesmo é ir para a criptografia.

reimassupilami
(usa Slackware)

Enviado em 13/03/2006 - 08:19h

hum, entendi, isso mesmo q eu queria saber, então tem uma forma de burlar a coisa... certo...

agora, quanto à criptografia, o que posso fazer para implantar isso na minha rede? tem como criptografar tudo?

bgmolinari
(usa Debian)

Enviado em 15/03/2006 - 11:27h

Antes da criptografia você ainda tem algumas alternativas.
Uma delas proteção pode ser realizada pelo próprio switch, em alguns switch existem definições de segurança onde determinado MAC address só pode acessar a rede de determinada porta e todas as informações enviadas a este MAC address só são retransmitidas para essa porta especifica evitando assim que os dados sejam encaminhados a outra estação.
Ainda pode-se utilizar a solução que uso atualmente na minha rede, os endereços IPs são "amarrados" aos MAC address da estações, e se o servidor detecta alguma alteração de MAC para um determinado IP ele barra o trafego de informações para esse IP evitando a captura de dados. Nessa solução eu utilizo a dupla arpwatch+iptables.

reimassupilami
(usa Slackware)

Enviado em 15/03/2006 - 12:30h

nossa, cara, bastante interessante essa solução de amarrar o mac ao ip... gostaria muito de saber com se implementa isso, pode me dar umas dicas, ou algum artigo a respeito?

removido
(usa Nenhuma)

Enviado em 17/03/2006 - 10:21h

uma dica

Caso vc note ou desconfia q alguma ponte, switch, hub, gateway, esteja monitorando o trafego por um Sniffer vc pode modificar a tabela de rotas da sua maquina. vc pode colocar dinamicamente uma roda caso vc saiba uma confiavel. diminuindo o custo dela.

Para ver sua tabela de rotas -> $ route print
$ route h -> para mais opções.

espero q ajude.