Доброе время суток всем !!!

Интересует как можно боротся с тем, что в сети некоторые юзеры, орудуют разного рода снифферами?
У меня в локалке в основном хабы стоят, на свитчи вряд ли начальство раскошелится, а поскольку при использовании хабов пакеты ходят на все машины, снифферы их прекрасно читают. У меня только одна идея в голове крутится - шифровать трафик, однако для Винь2К и ХР это насколько я знаю возможно включить в политиках, а как быть  для рабочих станций с Вин95 и Вин98 ???
Может есть какие-нибудь другие, более интересные решения в этой области?

друг мой! самый простой способ - административное наказание. а технически - заменить хабы на свичи... сетям на свичах не страшен никакой снифер...

Guest 195.5.6.* ,  почти любой свич можно довести довести до состояния "Хаба",
так что почти любым сетям страшен снифер.
(проверено на Surecom, DLink, IBM, слышал про 3Com, если не обломаюсь на след. неделе проверю :) )
Так что токо шифровать, ну и юзеров напугать - наставить у них всяких шпийонов :) :spy:
шоб им страшно было :)
Ну и отрубать от сети на 3 - 24 часа в зависимости от злобности содеяного :) :dont:
Когда то в общежитии такое решалось с помошью небольшого "Маски-Шоу"   :fingal: :maniac:
Удачи :)

почти любой свич можно довести довести до состояния "Хаба"
Даже если не удастся, то с помошью нехитрых манипуляций можно перехватить и/или подменить трафик между двумя любыми компами (не знаю, можно ли это в Линухе, но между виндовыми компами - можно, проверено лично).
Бороться с этим - административными мерами (как сказал e80) и техническими - посылать в сеть очень много "левых" пакетов - не принадлежащих ни одной сетевухе и идущих "в никуда". Хабы послушно доставят эти пакеты всем сетеухам. Обычная сетевуха на аппаратном уровне отбросит эти пакеты и не будет от этого страдать. Сетевуха сниффера вынужденна принимать все пакеты, а потом уже программа решает, что с ними делать. Так как программные фильтры работают медленнее аппаратных, комп сниффера будет тормозить. Исходя из этого:
1) сниффера будет видно - пинговаться будет медленнее,
2) сниффер будет получать кучу мусора, искать нужную информацию будет труднее,
3) при достаточной загрузке некоторые пакеты сниффер обработать не успеет, следовательно трафик будет перехватываться не полностью,
4) программы-снифферы могут ощутимо притормозить весь комп в целом, что может заставить сниффера (человека) выключить сниффер-программу.

http://void.ru/content/1131

Megabyte
Проверено в 100 мб сети прикопировании фильма обрабатываются все пакеты. Комп подтормаживает, но грузить сеть левыми пакетами...

KonepHuK
часто и много копировать большие объемы информации (например фильмы)  в сети построеной на хабах - просто вредительство. потому как тормозить будут не два компьютера (источник и получатель), но и все компьютеры подсоединенные к сети - переходите с хабов на свитчи

практически все сниферы можно настроить на прием только определенных пакетов. Собирать все подряд - это надо быть очень смелым человеком

-----------------
ArtemD

Megabyte
Каким образом сеть загружается ненужным трафом?

практически все сниферы можно настроить на прием только определенных пакетов. Собирать все подряд - это надо быть очень смелым человеком
Какая разница, как настоены программы-снифферы. Фильтр у них программный, следовательно комп будет тормозить независимо от наличия фильтров. Например, когда в моём сегменте локалки кто-нибудь качает фильм, мой сниффер забирает до половины процессорного времени и ощутимо притормаживает. Когда я качаю фильм при включенном сниффере - скорость закачки уменьшается раза в 3-4 (чем без сниффера).

Каким образом сеть загружается ненужным трафом?
Я для этого писал свою програмку, используя пакетный драйвер WinPCap (http://netgroup-serv.polito.it/winpcap/). Наш админ тоже иногда подобным занимается, он где-то купил какую-то навороченную программу-сканер, но спрашивать админа название программы - себе дороже.

Mr Dan, если ваша сеть построена с использованием свитчей 2-го уровня, то избавиться от снифферов вам не представится возможным, потому как в теперешние времена появились снифферы, которые могут работать в сетях, построенных на свитчах 2 уровня.
e80, советую как следует изучить работу снифферов, а также не советую шифровать трафик в локалке, помилуйте, он ведь не резиновый.
В таких случаях очень помогает разбить вашу локалку на сегменты (VLAN). Это поможет на сетевом уровне модели OSI, разбить вашу локалку на отдельные локалки. То есть не смотря на то, что все проходит по одним и тем же проводам, отделы не будут друг друга видеть в принципе, а если нужно сделать так, чтобы видели - используйте списки доступа. Это дело настраивается на свитчах 3 уровня. Самые лучшие, но и самые дорогие - это Cisco Catalyst, если плохо с деньгами - то Huawei, все остальные просто плюшевые и поэтому не достойны внимания. В случае, если ваша контора не в состоянии заплатить 5-6 килобаксов, советую разработать орпоративные правила поведения пользователей, а также правила безопасной работы используя ЛВС, установить IDS, если сетей несколько, то и сенсоры к IDS в каждую подсеть. Просто большинство снифферов наследят в базе данных IDS однозначно. А наказывать шалунишек по пунктам в правилах. *




Исправлено: Glock t, 14:00 26-11-2003

Glock t, воопервых если шифровать культурно - трафик тотже
Во вторых идея с VLAN-ами хороша, но и стоимость для предприятий с количеством компов <100 дороговата,
Кстати 3COM и AlienTelesync хорошие альтернативы Cisco.

И что ж мне следовало бы изучить в работе сниферов?

e80, не то чтобы изучить, но знать что снифферы теперь могут работать с интелектуальными активными хабами (то, что принято называть свитчами). Потом, шифровать весь трафик абсолютно не надо. Обычно организовывают vpn между конкретными узлами и не более того. Просто при шифрации трафика, твои свитчи повесятся нафиг. Можно купить Huawei, кторый в 2,5 раза дешевлее Cisco, при том, что технология китайцев, на самом деле вовсе не их, а Cisco. Они её сперли у Cisco, но что самое интересное, не удосужились даже менять там что либо. То есть внешне - вылетый Cisco IOS, за не большими отличиями. *В общем, тоже весьма сильная вещь при цене, чуть большей чем 3COM (условно для фирмы). А все, что ты перечислил, это нельзя назвать интелектуальным оборудованием. 100 компов - не так много на самом деле. Что тебе мешает отдел (рабочую группу) объединить в хаб со свитчингом 3 COM, а его в свитч 3 уровня воткнуть.
Я так полагаю, если фирма купила 100 компов, один-два каталиста тоже сможет купить.

Исправлено: Glock t, 17:18 26-11-2003


Исправлено: Glock t, 17:20 26-11-2003

Кстати, наткнулся на 24 портовый коммутатор 3 уровня Dell™ PowerConnect™ 5224, который тоже поддерживает vlan-технологию (до 256 виланов) - $1595
http://make.dell.ru/catalog/actionPowerConnect.asp
Не факт, что хорошая вещь, но наверное лучше обычных свитчей 2 уровня.