צהריים טובים,
בארגון אצלנו קיימים 2 סוגי רשתות נפרדות כאשר לכל רשת Switch משלה.
מצאתי מחדל אצלנו בארגון(אני לא אנקוב בשם מסיבות ברורות) שיש Switch שלא נמצא בארון עם מנעול ולא מחוברים אילו מחשבים , אין מחשבים בחדר הספציפי הזה שמחוברים לדומיין של הרשת הזו פשוט הם "הכינו תשתית" במקרה ויהיה צורך להתחבר לרשת הזו.

דאגתי כבר למנעול עם ארון והתראתי על כך למנהל הרשת האחראי.
השאלה שלי היא כזו, בהנחה שהתעבורה אינה מוצפנת גורם מתוך הארגון בעל גישה פיזית יכול לבצע Sniffing Attack וניתוח הפרוטוקולים גם אם הוא לא חבר בדומיין(מדובר ברשת מסוג Windows 2003).
הוא יכול פשוט להתחבר בתור אדמיניסטרטור מקומי להתקין כרטיס רשת ולהתחיל לפעול.

השאלה שלי היא כזאת - המרחב הגיאוגרפי הוא של החברה הוא גדול , יותר מידי גדול אפילו .
האם ישנה תוכנה או בכלל יכולת ניטור והתראה שברגע שבנאדם מחבר את הכבל רשת לסוויץ' מנהל הרשת מקבל התראה כלשהי?

שאלה שנייה- איך התוכנה הבאה יכולה למנוע Sniffing Attack בדיוק או חיבורים לסוויצ'?

SwitchSniffer is a program that can scan your switched LAN for up hosts and can reroute and collect all packets without the target users recognition. It can also detect the arp-spoofer program and block user definable session like firewall.

1. Overview
SwitchSniffer is a program that can scan your switched LAN for up hosts and can reroute and collect all packets without the target users" recognition. It can also detect the arpspoofer program running on the network and block user definable sessions like firewall. If you use this program in tandem with any sniffer program, you can capture and see the users IDs and passwords on a switched network.

1.1 Features:
It can pull and collect all the packets on the LAN.
It can scan and show the active hosts on the LAN within a very short time.
While spoofing ARP tables, it can act as another gateway (or ip-forwarder) without other users" recognition on the LAN.
It can collect and forward packets by selecting inbound, outbound, and both to be sent to the Internet.

An ARP table is recovered automatically in a little time (about 30 seconds). But, this program can keep spoofing continuously with a periodic time.
Although one or more network interface cards are installed on a computer, this program can scan and spoof by selecting one of NICs.
It can get traffic information about the amount of data transferred to and from the internet including I session information.
It can detect which computer is running an arpspoofer program on the local network.
It can scan all hosts automatically on the network.
It has a feature which filters or blocks sessions, local hosts and remote hosts.
It can cure arp-cache poisoning.

1.2 Benefits:
It can find out the hidden hosts on local area network.
It can check out if abnormal hosts are connected on the wireless network.
It protect your network from abnormal users.
It can check out if there are abnormal packets on the local network.
It can view users/passwords, chat sessions and web sessions etc., on the switch network
by other application.
. You can use the network without blocking of arp-spoofer.

תודה רבה

אם הסוויצ' לא בשימוש בכלל כרגע, אז למה לחבר אותו כבר לרשת?

אם מדובר בסוויץ' מנוהל, אתה יכול לכבות את הפורטים שלו, או לכבות את הפורט
בסוויץ' (או ראוטר) שהוא מחובר אליו. וברגע שצריך - מפעילים את הפורטים הרצויים.

אם הסוויץ' לא מנוהל, אפשר פשוט לנתק את הכבל מהסוויץ' או ראוטר שאליו הוא מחובר,
ולחבר מתי שצריך.

אם משום מה לא רוצים לכבות אלא רק לקבל התרעה, והסוויץ' תומך ב-snmp לרוב
ניתן לעשות את זה.

לגבי התוכנה;
אם הבנתי נכון, התוכנה הזו מבצעת ARP Poisioning בעצמה - משמע, היא משתלטת
על טבלת הARP, מזייפת אותה, ובעצם עושה את הסוויצ'ינג
לMAC Addresses האמיתיים בעצמה.
אפשר להבין מכך שהתוכנה מודעת לכל הכתובות, מזוייפות או אמיתיות, ולכן יכולה לחסום
זיופים כאלה ממקור חיצוני.

החיסרון בשימוש בתוכנה כזו, היא שהמחשב שמריץ את התוכנה הזו הוא חיוני לתפקוד הרשת -
אם תנתק אותו - הרשת תפסיק לפעול לזמן מה, עד אחסון מחדש של טבלאות הARP.

אם הסוויצ' עצמו הוא טיפש, אני לא רואה איך כל תוכנה שהיא יכולה למנוע גישה לפורטים שלו.

תודה רבה לך על ההסבר המעמיק
השכלתי

בהנחה ואתה מתכוון לדומיין של מיקרוסופט (כמשתמע מדיבורך על 2003), ולא על מושג דומיין בתקשורת נתונים.

הדומיין של מיקרוסופט הוא כמה שכבות טובות מעל שכבת תקשורת הנתונים (2) - איפשהוא שם למעלה באיזור 7 (למרות שחלק מהפעילות מתרחשת בין 4-6 גם). מכאן שאין לו שום השפעה או יכולת לגבי מידת אבטחת הרשת שלך.

נמשיך - ארון תקשורת סגור זה נחמד - אבל למה שבנאדם שרוצה לעשות נזק ילך ויחבר את עצמו למתג במרכז, שם הוא יכול להתגלות, אם הוא פשוט יכול להשתמש בכל כבל רשת שמגיע לכל שקע בארגון? נקודה למחשבה...

אבטחה אמיתית - יש כאלה דברים - תלוי לאן אתה רוצה להגיע:
1. בראש ובראשונה, לדעתי, חובה להפריד בין השרתים לשאר החברה, כך שיהיה ניתוב ביניהם. כל הגישה אל סגמנט ה switching של השרתים תהיה בארונות נעולים, ולא יהיה כזה דבר שקע פתוח בארגון לסגמנט הזה. אם יש שרתים שאינם בשליטת הגוף שעליו סומכים מבחינת אבטחת מידע, יש להפריד גם אותם לסגמנט נפרד. אני באופן אישי גם הייתי מחלק את המחלקות, או אפילו את הצוותים אם אפשר, ל VLAN פרטי. המצב האידאלי הוא VLAN לעובד - אבל זה קצת סיוט לתחזק. או שלא. בכל אופן, ברגע ששקע מסויים שייך ל VLAN מסויים (כשהפורט מוגדר כ untagged - חשוב מאוד...) - הנזק המקסימלי שגורם עוין יכול לעשות הוא למשוך תעבורה בתוך ה VLAN של עצמו. ככל שה VLAN מתפרס על פני פחות שקעים - המזיק הפוטנציאלי יכול "להתעסק" עם פחות שקעים בדרך.
2. MAC Security - גורמים לסוויצ' "ללמוד" משוואה שבה על כל פורט יושב MAC מסויים - ושום תעבורה אחרת לא תעבור אם היא הגיע מ MAC אחר. לא שאי אפשר לזייף MAC, אבל ככה צריך לעשות גם את זה, גם לשבת באותו VLAN ועל אותו פורט (לדוגמא, חיבור hub/switch לשקע בקיר ואליו את המחשב המקורי ואת המחשב של ה"עויין", וגם... לנטרל את המחשב השני שה MAC שייך לו בזמן גניבת התעבורה - מה שקצת בעייתי כי הוא ישים לב...)

אני יכול להמשיך (לדוג' - RADIUS Authentication לפני כניסה ל VLAN שאפשר להגיע ממנו לאנשהוא בכלל) - אבל נראה לי שהנ"ל טוב בשביל התחלה...

נמאס לכם לזכור סיסמאות? לחצו כאן!