Windows - статьи




Обознался MAC-адресом! - часть 4


Такая атака основана на невозможности проверить правильность возвращенного сервером DNS ответа. Так что с точки зрения безопасности предпочтительнее использовать WINS.

Адреса сетевых карт под угрозой

Мы говорили, что на самом нижнем уровне адресации лежит физический адрес сетевой карты. Беда в том, что в то время, когда драйвер сетевой карты попытается определить MAC-адрес сетевого устройства, чтобы подписать пакет, будут задействованы доверительные отношения. А именно: ARP-протокол.

Можно ли методами, аналогичными тем, которые используют "p"- и "h"-узлы, сделать работу протокола ARP безопасной? Ответ отрицательный. На сегодняшний момент нет даже попыток создать что-то наподобие сервера MAC-адресов. С другой стороны, существуют еще кое-какие (более хлопотные, чем использование централизированного механизма) способы повышения безопасности сети. Главные возможности заложены в системной утилите arp, которая поставляется с ОС Windows. С помощью этой утилиты можно жестко задать таблицу ARP-адресов. То есть системный администратор может написать скрипт (вроде того, что приведен ниже), чтобы компьютер хакера не смог в результате широковещательного запроса прислать свой MAC-адрес для другого IP-адреса:

rem очищаем всю таблицу
arp -d *
rem жестко задаем mac-адреса
arp -s 192.168.0.1 00-aa-bb-cc-dd-e1
...
arp -s 192.168.0.9 00-aa-bb-cc-dd-e9

К сожалению, такой скрипт нужно будет прописать на каждом хосте. А если в каком-нибудь компьютере вы поменяете сетевую карточку или ее IP-адрес, придется произвести соответствующие изменения на всех компьютерах сети. Согласны ли вы платить такую цену за безопасность? Кстати, это еще не все...

Липовые физические адреса

В самом начале развития локальных сетей была предпринята попытка создать уникальную идентификацию сетевых устройств по их аппаратному (MAC) коду. Каждый производитель имел свой диапазон таких адресов и следил, чтобы сетевые устройства с одинаковым аппартным адресом в одной локальной сети не встречались.




Содержание  Назад  Вперед