Re: promiscuous mode on ARLAN or sniffer on ARLAN radio-network

Отправлено: Александр Рапопорт on May 19, 1999 at 08:35:30:

В ответ на: Re: promiscuous mode on ARLAN or sniffer on ARLAN radio-network posted by Алексей Вомпе on May 18, 1999 at 23:16:55:

> > возможно ли, что кто-то сможет прослушивать (sniffer) весь
> > траффик, проходящий по radio-сети?

> Прослушивать траффик радиоethernet можно.

> > иными словами: переводится ли ARLAN655 в promiscuous mode
> > и при этом на самом деле принимает ли он ВСЕ пакеты?
> > либо - могут ли это осуществить обычными ethernet sniffer-ами,
> > предназначенными для обычного ethernet-а?

> Относительно ArLan точно не скажу, но скорее всего - да,
> он должен это уметь, иначе как бы работал роуминг. В WaveLan
> это выглядит так: при необходимости присоединиться к новой соте
> WaveLan переводится в promiscuous mode слушает NWID (ESSID)
> и услышав, прикидывается "своим", посылая пакеты с подслушанным
> идентификатором соты.

> > и, попутно - а если запустить sniffer на обычном ethernet-e,
> > подключенном к arlan630 или arlan640, сможет ли он слушать
> > ВЕСЬ траффик проходящий по этой радио-сети?

> А вот это точно не проходит поскольку это точка доступа и мост
> соответственно и они:
> во-первых траффик фильтруют (в смысле бриджуют)
> и во-вторых до promiscuous mode их радиомодуля Вашему ethernet
> адаптеру и его драйверу никак не добраться.

Совершенно верно. Радиомодуль ARLANа может слушать все, что есть на его частоте, но штатное программное обеспечение 655-го,630/640 и Revolution не пропустит не Ваши пакеты до внешнего интерфейса (ISA, Ethernet). По крайней мере, при использовании документированных возможностей.

> > Дело в том, что я пытался проверить это на unixе с arlan655,
> > и оказалось, что обычний sniffer не слушает arlan0 interface,
> > и даже ifconfig не показывает, что он в promiscuous mode.

> > помогите нашей anti-sniffer campaign!!! :)

> > (если мы, хотябы, убедимся что на arlanах sniffer запустить НЕТРИВИАЛЬНО,
> > то сможем не беспокоясь считать нашу радио-сеть безопасной; в противном
> > случае придется запускать sniffer-detectorы и здесь...
> > (что тоже ОЧЕНЬ нетривиально :(((

> Как говорят все фирменные руководства по беспроводным сетям,
> единственый выход обеспечивающий конфиденциальность в эфире
> это криптозащита -
> 1.внешняя уровня IP или
> 2.встроенная в радиоприборы - WEP (wired equivalent privacy см IEEE802.11 и DES)
> С уважением
> Алексей Вомпе

Если при построении сети не придерживались рекомендаций SkyMAN/CA и использовали у абонента карточки 655, то SID и МАС не становятся секретом и можно поставить в сети "левую" 655 с дублем этих параметров и снять трафик с нужного абонента. При иаспользовании централизованного управления абонентскими мостами или маршрутизаторами эта информация рядовому абоненту не доступна и, в следствии этого, не имеет широкого распространения. Перехватчик пакетов (определение SID & MAC) в RWR-210+ доступен далеко не каждому "хулигану", что определяется его высокой ценой.
Как правильно было замечено выше, радиосети не относятся к категории закрытых сетей, если там не применяется криптография. Применение единых PN-последовательностей для всех DSSS устройств одного производителя не делают сеть защищенной. Уровень защищенности сети можно измерить размером финансовых вложений, необходимых для ее вскрытия. Для сети на карточках - это около 500 баксов, для сетей SkyMAN/CA - около 5000 баксов. И здесь все можно измерить деньгами :-).

С уважением, Александр Рапопорт.

Отклики:

Re: promiscuous mode on ARLAN or sniffer on ARLAN radio-network Виталий Белехов 14:01:48 5/19/99 (1)
- Re: promiscuous mode on ARLAN or sniffer on ARLAN radio-network Igor Akulov 15:53:58 5/19/99 (0)

Написать ответ

Ваше имя:
E-Mail:

Тема:

Ваше сообщение:
> > > возможно ли, что кто-то сможет прослушивать (sniffer) весь > > > траффик, проходящий по radio-сети? > > Прослушивать траффик радиоethernet можно. > > > иными словами: переводится ли ARLAN655 в promiscuous mode > > > и при этом на самом деле принимает ли он ВСЕ пакеты? > > > либо - могут ли это осуществить обычными ethernet sniffer-ами, > > > предназначенными для обычного ethernet-а? > > Относительно ArLan точно не скажу, но скорее всего - да, > > он должен это уметь, иначе как бы работал роуминг. В WaveLan > > это выглядит так: при необходимости присоединиться к новой соте > > WaveLan переводится в promiscuous mode слушает NWID (ESSID) > > и услышав, прикидывается "своим", посылая пакеты с подслушанным > > идентификатором соты. > > > и, попутно - а если запустить sniffer на обычном ethernet-e, > > > подключенном к arlan630 или arlan640, сможет ли он слушать > > > ВЕСЬ траффик проходящий по этой радио-сети? > > А вот это точно не проходит поскольку это точка доступа и мост > > соответственно и они: > > во-первых траффик фильтруют (в смысле бриджуют) > > и во-вторых до promiscuous mode их радиомодуля Вашему ethernet > > адаптеру и его драйверу никак не добраться. > > Совершенно верно. Радиомодуль ARLANа может слушать все, что есть на его частоте, но штатное программное обеспечение 655-го,630/640 и Revolution не пропустит не Ваши пакеты до внешнего интерфейса (ISA, Ethernet). По крайней мере, при использовании документированных возможностей. > > > Дело в том, что я пытался проверить это на unixе с arlan655, > > > и оказалось, что обычний sniffer не слушает arlan0 interface, > > > и даже ifconfig не показывает, что он в promiscuous mode. > > > помогите нашей anti-sniffer campaign!!! :) > > > (если мы, хотябы, убедимся что на arlanах sniffer запустить НЕТРИВИАЛЬНО, > > > то сможем не беспокоясь считать нашу радио-сеть безопасной; в противном > > > случае придется запускать sniffer-detectorы и здесь... > > > (что тоже ОЧЕНЬ нетривиально :((( > > Как говорят все фирменные руководства по беспроводным сетям, > > единственый выход обеспечивающий конфиденциальность в эфире > > это криптозащита - > > 1.внешняя уровня IP или > > 2.встроенная в радиоприборы - WEP (wired equivalent privacy см IEEE802.11 и DES) > > С уважением > > Алексей Вомпе > Если при построении сети не придерживались рекомендаций SkyMAN/CA и использовали у абонента карточки 655, то SID и МАС не становятся секретом и можно поставить в сети "левую" 655 с дублем этих параметров и снять трафик с нужного абонента. При иаспользовании централизованного управления абонентскими мостами или маршрутизаторами эта информация рядовому абоненту не доступна и, в следствии этого, не имеет широкого распространения. Перехватчик пакетов (определение SID & MAC) в RWR-210+ доступен далеко не каждому "хулигану", что определяется его высокой ценой. > Как правильно было замечено выше, радиосети не относятся к категории закрытых сетей, если там не применяется криптография. Применение единых PN-последовательностей для всех DSSS устройств одного производителя не делают сеть защищенной. Уровень защищенности сети можно измерить размером финансовых вложений, необходимых для ее вскрытия. Для сети на карточках - это около 500 баксов, для сетей SkyMAN/CA - около 5000 баксов. И здесь все можно измерить деньгами :-). > С уважением, Александр Рапопорт.

Optional Link URL:
Link Title:
Optional Image URL:

E-mail: sales@comptek.ru tel: (095) 785-2525