Ole.Tange.dk - Sniffing

Sniffing

Ca. 934 ord.

Af Ole Tange

Med sniffing kan man aflytte trafik på netværket. Det er endda ret enkelt. Heldigvis findes der værktøjer, der besværliggør sniffing.

Sniffing - også kaldet aflytning - er en metode til at få ulovlig adgang til at læse netværkstrafik. Med sniffing kan man aflytte trafikken og opsnappe passwords, e-mails, www og trafik til og fra netværksdrev.

Opsnapper man passwords, kan man misbruge disse til at få ulovlig adgang til andre systemer. Kigger man efter mail, vil man både kunne se, hvad andre skriver, og hvem de skriver til. Hvis man aflytter web-trafik vil man kunne se de sider, som andre går ind på - også selvom de er beskyttet med passwords. Holder man øje med netværksdrev, kan man se indholdet af filer, der bliver hentet eller gemt via netværket.

Man kan sniffe al trafik, som kommer forbi den netværksledning, som man sidder på. I praksis vil det sige al trafik på det pågældende lokalnet, medmindre der aktivt er gjort noget for at sikre sig.

En sniffer er et program

Selve snifningen foregår ved at man installerer et program - en sniffer - der lytter til trafikken på netværket. Programmet indsamler så al den information, der suser forbi på nettet.

De lidt mere avancerede programmer kan sættes op til at sortere i informationen. Man kan således bede den om kun at kigge efter passwords, eller kun at se efter breve, der indeholder chefens navn.

Teknisk foregår sniffingen ved, at programmet lytter på ens netkort. Det kræver derfor adgang til en maskine på nettet for at kunne sniffe. Ved fjendtlig sniffing kan dette være i form af en bærbar PC eller i form af en cracket maskine.

Den bærbare PC kan være indsmuglet af en person, der har adgang til organisationen, fx en gæst. Han skal blot bruge et uopmærksomt øjeblik for at kunne sætte den bærbare et sted, hvor der er adgang til netværket.

Den crackede maskine kan være en arbejdsstation, hvor en medarbejder har hentet (et sjovt) program, der uheldigvis indeholder en trojansk hest. Når medarbejderen kører programmet, vises noget sjovt på skærmen, mens programmet installerer som medarbejderen ikke kommer til at mærke noget mere til.

Når programmet har sniffet nok, kan det fx sende de opsamlede oplysninger via Internet til hackerens anonyme postbox.

De 2 eksempler viser, at det er ret svært, at sikre sig 100% mod sniffing. Heldigvis kan man begrænse snifferens kraft på flere måder.

Begræns sniffing

Sniffing kan begrænses på to måder:

Ved at kryptere data
Ved at alle data ikke kommer forbi alle maskiner

Hvis man krypterer data, er det ligemeget, om trafikken kan aflyttes, idet dataene er forvansket til ukendelighed. Kryptering kan laves på flere måder. Man kan bruge de færdige programmers indbyggede kryptering, eller man kan få al sin netværkskommunikation krypteret.

Hvis man bruger den indbyggede kryptering, skal man dog være opmærksom på, at en stor del standardprogrammel i dag ikke krypterer særlig godt. Det er dog bedre end ingenting og sikkert rigeligt til daglig brug.

Hvis man krypterer netværkstrafikken, skal modtageren være istand til at dekryptere trafikken igen. Dette kan fx gøres med VPN (Virtual Private Network), der er en standardfunktion i mange firewalls i dag.

Opdel nettet

I stedet for at kryptere dataene, kan man sørge for, at dataene slet ikke kommer forbi uvedkommende maskiner på lokalnettet. Dette giver en sikkerhed for trafikken inden for ens eget netværk, men ingen sikkerhed, hvis trafikken går over et offentligt netværk (fx Internettet). Opdeling kan foregå med følgende netværkskomponenter:

En router
En secure hub
En switch

Router

En router deler nettet op i ben. Indenfor disse ben kan aflytningen foregå uhindret, men man hindrer aflytning af et andet ben.

Routeren bruges for det meste, hvis man vil dele sit net op i sikre og usikre ben. Dette kunne fx være et administrationsben, et undervisningsben og et internetben. Ved en sådan opdeling kan en maskine på undervisningsbenet ikke aflytte en maskine på administrationsbenet.

Secure hub

En secure hub virker næsten som en almindelig hub. Men i stedet for at gentage signalet på alle porte sendes/gentages signalet kun til de relevante maskiner, mens et støjsignal sendes ud til de andre.

Hvis snifferen er på en anden maskine, vil den derfor kun modtage støj. Hvis snifferen er på ens egen maskine kan trafikken dog stadig aflyttes.

Switch

En switch virker næsten som en secure hub. Men i stedet for at sende et støjsignal ud på de andre porte kan switchen sende data ud på disse. Trafikken på en maskines netværksledning er altså altid maskinen selv.

Switchen giver samme sikkerhed som en secure hub, men giver desuden en performancegevinst, idet flere transmissioner kan være i gang på samme tid.

Et tveægget sværd

Ud over at være et effektivt værktøj for hackere, der gerne vil aflytte trafikken for at få fortrolige oplysninger, kan snifferen også bruges af netværksadministratoren til fejlfinding. Det er specielt interessant, hvis man har et overbelastet netværk. Her kan snifferen sættes til at kigge på trafikmønstre. Den kan så identificere hvilken maskine, der belaster nettet, og hvilken trafik, der sendes ud.

Specielt er snifferen god til at finde usædvanlige trafikmønstre, som kan være tegn på hackere.

Husk sniffing ved køb af nyt

Snifferen bruges mest af crackere. Det er derfor vigtigt, at man er klar over risikoen og sikrer sig mod angreb, Hvis man skal ud og anskaffe nye netværkskomponenter, bør man vælge de produkter, der beskytter mod sniffing.

Sidst ændret Sun Apr 21 17:38:01 2002




f i r m a e t support foredrag andet p e r s o n e n cv portrætter s a g e r spamsagen linux links k o n t a k t kontakt		Sniffing Ca. 934 ord. Af Ole Tange Med sniffing kan man aflytte trafik på netværket. Det er endda ret enkelt. Heldigvis findes der værktøjer, der besværliggør sniffing. Sniffing - også kaldet aflytning - er en metode til at få ulovlig adgang til at læse netværkstrafik. Med sniffing kan man aflytte trafikken og opsnappe passwords, e-mails, www og trafik til og fra netværksdrev. Opsnapper man passwords, kan man misbruge disse til at få ulovlig adgang til andre systemer. Kigger man efter mail, vil man både kunne se, hvad andre skriver, og hvem de skriver til. Hvis man aflytter web-trafik vil man kunne se de sider, som andre går ind på - også selvom de er beskyttet med passwords. Holder man øje med netværksdrev, kan man se indholdet af filer, der bliver hentet eller gemt via netværket. Man kan sniffe al trafik, som kommer forbi den netværksledning, som man sidder på. I praksis vil det sige al trafik på det pågældende lokalnet, medmindre der aktivt er gjort noget for at sikre sig. En sniffer er et program Selve snifningen foregår ved at man installerer et program - en sniffer - der lytter til trafikken på netværket. Programmet indsamler så al den information, der suser forbi på nettet. De lidt mere avancerede programmer kan sættes op til at sortere i informationen. Man kan således bede den om kun at kigge efter passwords, eller kun at se efter breve, der indeholder chefens navn. Teknisk foregår sniffingen ved, at programmet lytter på ens netkort. Det kræver derfor adgang til en maskine på nettet for at kunne sniffe. Ved fjendtlig sniffing kan dette være i form af en bærbar PC eller i form af en cracket maskine. Den bærbare PC kan være indsmuglet af en person, der har adgang til organisationen, fx en gæst. Han skal blot bruge et uopmærksomt øjeblik for at kunne sætte den bærbare et sted, hvor der er adgang til netværket. Den crackede maskine kan være en arbejdsstation, hvor en medarbejder har hentet (et sjovt) program, der uheldigvis indeholder en trojansk hest. Når medarbejderen kører programmet, vises noget sjovt på skærmen, mens programmet installerer som medarbejderen ikke kommer til at mærke noget mere til. Når programmet har sniffet nok, kan det fx sende de opsamlede oplysninger via Internet til hackerens anonyme postbox. De 2 eksempler viser, at det er ret svært, at sikre sig 100% mod sniffing. Heldigvis kan man begrænse snifferens kraft på flere måder. Begræns sniffing Sniffing kan begrænses på to måder: Ved at kryptere data Ved at alle data ikke kommer forbi alle maskiner Hvis man krypterer data, er det ligemeget, om trafikken kan aflyttes, idet dataene er forvansket til ukendelighed. Kryptering kan laves på flere måder. Man kan bruge de færdige programmers indbyggede kryptering, eller man kan få al sin netværkskommunikation krypteret. Hvis man bruger den indbyggede kryptering, skal man dog være opmærksom på, at en stor del standardprogrammel i dag ikke krypterer særlig godt. Det er dog bedre end ingenting og sikkert rigeligt til daglig brug. Hvis man krypterer netværkstrafikken, skal modtageren være istand til at dekryptere trafikken igen. Dette kan fx gøres med VPN (Virtual Private Network), der er en standardfunktion i mange firewalls i dag. Opdel nettet I stedet for at kryptere dataene, kan man sørge for, at dataene slet ikke kommer forbi uvedkommende maskiner på lokalnettet. Dette giver en sikkerhed for trafikken inden for ens eget netværk, men ingen sikkerhed, hvis trafikken går over et offentligt netværk (fx Internettet). Opdeling kan foregå med følgende netværkskomponenter: En router En secure hub En switch Router En router deler nettet op i ben. Indenfor disse ben kan aflytningen foregå uhindret, men man hindrer aflytning af et andet ben. Routeren bruges for det meste, hvis man vil dele sit net op i sikre og usikre ben. Dette kunne fx være et administrationsben, et undervisningsben og et internetben. Ved en sådan opdeling kan en maskine på undervisningsbenet ikke aflytte en maskine på administrationsbenet. Secure hub En secure hub virker næsten som en almindelig hub. Men i stedet for at gentage signalet på alle porte sendes/gentages signalet kun til de relevante maskiner, mens et støjsignal sendes ud til de andre. Hvis snifferen er på en anden maskine, vil den derfor kun modtage støj. Hvis snifferen er på ens egen maskine kan trafikken dog stadig aflyttes. Switch En switch virker næsten som en secure hub. Men i stedet for at sende et støjsignal ud på de andre porte kan switchen sende data ud på disse. Trafikken på en maskines netværksledning er altså altid maskinen selv. Switchen giver samme sikkerhed som en secure hub, men giver desuden en performancegevinst, idet flere transmissioner kan være i gang på samme tid. Et tveægget sværd Ud over at være et effektivt værktøj for hackere, der gerne vil aflytte trafikken for at få fortrolige oplysninger, kan snifferen også bruges af netværksadministratoren til fejlfinding. Det er specielt interessant, hvis man har et overbelastet netværk. Her kan snifferen sættes til at kigge på trafikmønstre. Den kan så identificere hvilken maskine, der belaster nettet, og hvilken trafik, der sendes ud. Specielt er snifferen god til at finde usædvanlige trafikmønstre, som kan være tegn på hackere. Husk sniffing ved køb af nyt Snifferen bruges mest af crackere. Det er derfor vigtigt, at man er klar over risikoen og sikrer sig mod angreb, Hvis man skal ud og anskaffe nye netværkskomponenter, bør man vælge de produkter, der beskytter mod sniffing.
		Sidst ændret Sun Apr 21 17:38:01 2002