Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Open netwerk enkel broadcast

21-02-2013, 19:53 door jesper0438, 8 reacties
Hallo,

Nu viel mijn netwerk uit op een vage manier (doet het nu gelukkig weer) en toen zag ik spontaan een open netwerk staan die er nog nooit heeft gestaan. Dit bekijk ik elke dag. Toen verbond ik mezelf met dat netwerk en gebruikte ik wireshark eens om te kijken wat het allemaal deed , niet dat ik er erg veel verstand van heb maar oké.Nu zag ik dit hier zowat alleen maar gebruik werd gemaakt om te broadcasten (who has en tell) met bijbehorende protocool ARP, Kan iemand uitleggen wat dit verder inhoud aangezien ik op school enorm veel verschillende protocollen tegenkom (ICT/ Netwerkbeheer).
Mvg, Jesper.
Reacties (8)
21-02-2013, 21:55 door Anoniem
Je hebt geen leraar die het je kan vertellen?
21-02-2013, 23:22 door Anoniem
Is dit een huiswerk vraag ?

Serieus, als je op een opleiding ICT/Netwerkbeheer zit en je weet niet wat ARP is, dan moet je óf _iets_ anders gaan studeren, óf de studie _ergens_ anders gaan volgen , want dit hoort gewoon basis kennis te zijn op een ICT/Netwerk beheer opleiding. (Het is februari,niet eens het begin van een schooljaar).

Er zijn wel veel protocollen, maar ARP is de meest belangrijke , ongeveer direct na "IP" .
(dit is niet het niveau 'veel knopjes in een auto en zomertijd van de dashboard klok instellen', maar 'gas/stuur/rem' .)

En dan is er, naast je schoolboek ook nog google.

OK.

Op een ethernetwerk stuur je ethernet frames met als afzender en bestemming mac adressen. (48 bit getallen).
Elk ethernet apparaat heeft een eigen, wereldwijd uniek mac adres.
Je kunt ook frames sturen aan "alle" ethernet devices binnen hetzelfde (v)lan . Dat heet broadcast, met adres ff:ff:ff:ff:ff:ff (48 bits op '1', wat je meestal hexadecimaal weergeeft).

Het IP protocol stuurt IP pakketten naar IP adressen. Die pakketten gaan over verschillende soorten netwerken, ingepakt in het formaat van zo'n netwerk. Dat kan ethernet zijn, maar het kan ook een seriële lijn zijn met PPP als formaat,of iets anders).
Om een IP pakket naar een ander IP adres te sturen over ethernet, moet het systeem dus opzoeken/weten/leren welk ethernet adres hoort bij het apparaat met het gezochte IP adres.

Dat opzoek protocol heet ARP (Adress Resolution Protocol). Omdat de vrager het antwoord nog niet weet (ja duh, daarvoor is het een vraag) wordt dus een broadcast gedaan aan "alle" ethernet apparaten op het LAN wie een bepaald IP adres heeft.
Het antwoord hoeft niet gebroadcast te worden, want de vrager staat er direct als afzender bij, en het antwoord kan dus rechtstreeks naar de vrager gestuurd worden.
22-02-2013, 09:05 door Anoniem
Zie https://en.wikipedia.org/wiki/Address_Resolution_Protocol.

PS je kunt in Wireshark ervoor kiezen om jouw netwerkkaart in "promiscuous mode" te zetten. Alleen dan zie je ook unicast verkeer dat niet voor jouw eigen PC bestemd is.
22-02-2013, 10:10 door SirDice
http://nl.wikipedia.org/wiki/Address_Resolution_Protocol

Essentieel onderdeel van IPv4 op ethernet.
22-02-2013, 12:13 door jesper0438
Dit vak hebben we nog niet het hele jaar gehad ,en het is geen huiswerk nee. We zijn bezig met TCP/IP. Ik heb ARP eens in een les voorbij zien komen maar ik onthoud ook niet alles. Bedankt voor de antwoorden.
22-02-2013, 14:32 door SirDice
Door Anoniem: Zie https://en.wikipedia.org/wiki/Address_Resolution_Protocol.

PS je kunt in Wireshark ervoor kiezen om jouw netwerkkaart in "promiscuous mode" te zetten. Alleen dan zie je ook unicast verkeer dat niet voor jouw eigen PC bestemd is.
Niet als je op een switch zit aangesloten.
22-02-2013, 16:26 door Erik van Straten
Door SirDice:
Door Anoniem (dat was ik): PS je kunt in Wireshark ervoor kiezen om jouw netwerkkaart in "promiscuous mode" te zetten. Alleen dan zie je ook unicast verkeer dat niet voor jouw eigen PC bestemd is.
Niet als je op een switch zit aangesloten.
Ik heb op verschillende netwerken, zowel met Cisco als HP switches, tot procenten aan gelekte unicast pakketten voorbij zien komen (compleet met vertrouwelijke data waaronder fragmenten van documenten in smb verkeer maar ook pop3 en ftp wachtwoorden). Dat is te voorkomen door bijv. Cisco's "port security" aan te zetten, maar by default staat dat uit, en als je het aanzet leidt dat vaak tot administratieve rompslomp.

Ik heb ooit (zo'n 11 jaar geleden) een op een packet-drivers gebaseerd (DOS) programma geschreven (dat op een afgedankte Pentium-I PC konden draaien). Dat programma registreerde, volledig passief, alle gelekte unicast pakketjes - die je niet zou moeten ontvangen. Dit om dit probleem inzichtelijk te maken...

Reken je niet rijk, elke keer als de infrastructuur meent een topology change te detecteren zie je dat switches hun CAM tabel flushen en weer landzaamaan gaan leren (dat doet de CPU en het leerproces heeft geen hoge prio; pas zodra een afzenderadres geleerd is vindt switching meestal plaats in ASICs, hardware dus). Zonder Port Security zullen unicast pakketjes bestemd voor een NIC waarvan het MAC-adres nog niet geleerd is op alle switchpoorten worden uitgestuurd.

En dan heb ik het nog niet over actieve aanvallen (ettercap, dsniff, cain & abel) of een defecte NIC die random afzendadressen (in een ander VLAN notabene) stond te spugen waardoor CAM tabellen, voor alle VLAN's, overliepen. Een switch is geen security device!

Met de volgende filterstring zie je alle unicast pakketjes in Wireshark:
!(eth.addr[0:1] & 1)
Idem, maar als je de laatste 6 bytes vervangt door het MAC-adres van je PC, worden pakketjes van/naar jouw PC onderdrukt in de weergave:
!(eth.addr[0:1] & 1) && !(eth.addr == 00:11:22:33:44:55)
Mijn ervaring: hoe duurder de switches (en hoe groter de infrastructuur - meestal gaat dat samen) en hoe minder beduget er is voor een veilig netwerk en bijbehorend beheer, hoe meer unicast verkeer je ziet...
22-02-2013, 16:35 door SirDice
Door Erik van Straten: Een switch is geen security device!
VLANs ook niet ;-)

Verder heb je helemaal gelijk. Er lekt wel eens wat.. Een volgelopen CAM tabel geeft ook leuke effecten. De meeste switchen gaan dan in een "fail-open" stand. Dan wordt het effectief gezien een hub ipv een switch.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.