Caino e Abele Sniffando contro APR

0

Recentemente ho svolto un audit di sicurezza sul posto di lavoro (sanzionato ovviamente) e ho visto alcuni comportamenti interessanti da parte di Cain e Abel. Ho evitato espressamente di utilizzare l'APR in modo che i miei colleghi non si annoiano agli errori dei certificati di sicurezza e hanno utilizzato solo la funzionalità "sniffing".

In qualche modo, Cain è ancora in grado di raccogliere molte password SNMP, MSKerb5-PreAuth, Telnet, LDAP, HTTP e FTP. Com'è possibile su un ambiente commutato senza l'utilizzo di APR? Ho controllato le tabelle ARP su un paio di altri computer durante l'esecuzione dello sniffer e tutti avevano le voci ARP corrette per il gateway.

All'inizio pensavo che per qualche strana ragione potessimo avere hub sulla nostra rete ma ci siamo controllati ed è tutto cambiato.

Ho letto molte informazioni sullo spoofing / avvelenamento ARP ma non riesco a trovare molto sulle specifiche dello sniffer di Cain.

Domani ho intenzione di andare in giro con Wireshark per vedere se riesco a rintracciare da dove arrivano alcuni di questi pacchetti che potrebbero potenzialmente essere molto dannosi.

    
posta scott 06.09.2013 - 02:53
fonte

2 risposte

1

In sostanza, se non si sta avvelenando ARP "E" il sistema non si trova su un hub, di cui entrambi si sono accertati, non dovrebbero esserci pacchetti non destinati ai propri IP che dovrebbero essere visualizzati nel cattura. Quindi la domanda chiave da esaminare sarebbe quali fossero le fonti e le destinazioni nei pacchetti da cui sono stati ottenuti i dati password / hash / snmp. Se sono tutti destinati al tuo IP, allora stai eseguendo C & A su un server di autenticazione o su un trap trap SNMP o qualcosa sul tuo ambiente di commutazione è seriamente sbagliato.

    
risposta data 06.09.2013 - 12:11
fonte
1

Se sei sicuro di essere su un interruttore, non dovresti ricevere pacchetti per i quali non sei il destinatario previsto.

Hai già provato un APR e alcuni host potrebbero essere ancora avvelenati? Sei sicuro che tutte le rotte sulla tua rete siano configurate correttamente?

Usa Wireshark per determinare che non stai trasmettendo alcun pacchetto ARP gratuito e che nessun altro sta avvelenando attivamente la rete. Forse C & A sta facendo qualcosa senza che tu lo sappia.

    
risposta data 06.10.2013 - 16:42
fonte

Leggi altre domande sui tag