Hirdetés

  2. Fórumok
  3. OS, alkalmazások
  4. CIS - Comodo Internet Security
Legfrissebb anyagok
PROHARDVER! témák
Mobilarena témák
IT café témák
GAMEPOD témák
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2017-12-01 16:34

    PROHARDVER!

    "Sokan hiányolták, hogy a CIS topiknak nincs első hsz-e, ráadásul tényleg hasznos lenne egy összefoglaló a programhoz, ezért most megszületett, használjátok egészséggel, remélem, néhányotoknak könnyít az életén és a "Sárkány" használatán!

Új hozzászólás Aktív témák

  • #9640 knor82 csendes tag honda 1993 #9635
    Új Válasz #9640
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    knor82

    csendes tag

    válasz honda 1993 #9635 üzenetére

    Az, hogy a "windows" részéről mit blokkol, azt nem tudom (eredeti vagy kalóz változat?).

    Minden IP-vel kommunikáló eszköz fenntart egy ARP táblát, amelyben ethernet címek tárolódnak a hozzájuk tartozó IP címekkel. Ez alapján történik az eszközök által az elküldendő adatkeretek címzése. Ha egy állomás egy adott IP címmel rendelkező állomással akar kommunikálni és nem tudja az ethernet címet, egy ARP kérést küld a hálózatra, amelyet az adott IP címmel rendelkező állomás megválaszol majd. Az ARP kérés ethernet broadcast formájában minden eszközhöz eljut, de megválaszolni alapesetben csak a cél-IP címmel rendelkező eszköz fogja. Az ARP táblában lévő címpárok Windows esetében általában 2 percig, Linux esetében 30 másodpercig, IP telefonok esetében akár 30-40 percig is megmaradnak, ha nem történik kommunikáció. Egy újabb ARP válasz felülírja a korábbi bejegyzést.

    Az ARP mechanizmus kompromittálásával lehetséges bármely két kommunikáló fél közé beékelődni és észrevétlenül lehallgatni a teljes kommunikációt. Továbbá az ún. gratuitous ARP válaszok elfogadásának engedélyezése nem a cél-IP címmel rendelkező eszköztől érkezik, hanem egy harmadik kommunikáló féltől, mintegy segítségként.

    Védekezés: A védekezés a Dinamikus ARP ellenőrzés (Dynamic ARP Inspection=DAI) segítségével lehetséges, amely egy összetett mechanizmus. Feltétele, hogy rendelkezásre álljon egy minden DHCP történést rögzítő táblázat (DHCP binding table), amelyet az ethernet kapcsolók építenek fel a DHCP forgalom monitorozásával. A DAI megvizsgál és összevet mindent ARP kérést és választ a DHCP binding táblázatban található információval, és amennyiben egy ARP válasz nem az ARP-tulajdonostól (azaz az IP cím jogos tulajdonosától) származik, az eldobásra kerül. A jogosult ARP-tulajdonos egy olyan port, amelyen lévő eszköz a DHCP-táblában megtalálható a megfelelő ethernet és IP címmel.

    Az olyan portokon, ahol DHCP-t nem használó eszköz van, "megbízható", azaz trusted állapotba kell konfigurálni és így azon DAI ellenőrzés nem történik, mert különben nem tudna kommunikálni az ilyen eszköz, mivel nem szerepel a DHCP-táblában. Fontos kiegészítő lépés lehet még a védelem érdekében, ha letiltjuk az eszközökön az un. gratuitous ARP (3. féltől érkező) ARP válaszok elfogadását. Erre az IP telefonok konfigurációs beállítása általában lehetőséget ad.

    (az ARP tábla és mechanizmus leírását innen emeltem át: http://www.lemonet.hu/halozati-biztonsag-novelese )

Új hozzászólás Aktív témák