Padání sítě v OS Vista a Windows 7

Menu: ARP poisoning Nastavení umístění v síti ESET Smart Security 4 McAfee

Pozn: Tento text vznikl pro potřeby univerzitní sítě ZČU. Podobná situace může nastat v dalších firemních a rozlehlých sítích. V klasické domácí síti tento problém pravděpodobně (možná při zavirovaném PC) nikdy nenastane.

Bezpečnostní politika některých managovacích switchů způsobuje výpadky internetu některých uživatelů operačních systému Windows Vista a Windows 7. U jiných OS jsem problém nezaznamenal. V tomto článku se pokusím nastínit, proč k tomu dochází a jaké změny v nastavení jsou potřeba udělat.

 

ARP poisoning

Protokol ARP je mechanismus hledání fyzické adresy (MAC) síťové karty ze známé IP adresy. Pokud Váš počítač chce poslat nějaká data jinému počítači ve Vaší podsíti, zná většinou sice IP adresu, ale neví fyzickou adresu síťové karty, kam data poslat. Takže protokolem ARP (Address Resolution Protocol) pošle všem počítačům v síti zprávu: "Kdo má tuto IP adresu, ať mi pošle svoji adresu MAC". Počítač, který má cílovou IP pak odpoví: "Já jsem hledaný PC a mám tuto MAC". Nyní si oba uloží tyto informace do ARP cache, a protože o sobě vědí vše potřebné, mohou si vyměnit data.

Takto by to fungovalo pěkně, bohužel některé operační systémy rozesílají ARP dotazy, když nic zrovna posílat nechtějí. Pouze si tak zjišťují, kdo je v jejich okolí a poté případně, co si od nich mohou vzít (jestli sdílí). Pokud ale takovýchto PC máme v podsíti vícero, běhá nám značné množství ARP dotazů odevšud všude. Vzniká "bordel" na síti.

Dalším problémem je podvržení ARP odpovědi, tzv. ARP spoofing, kdy se útočník vydává za jiný počítač v síti. Posílá stále odpověď se svou MAC, až si cíl zaznamená falešnou adresu do své ARP cache a data pak odesílá útočníkovi. Pokud dokonce útočník podvrhne šikovně MAC dvou komunikujícím počítačům, přesměruje si tak jejich provoz přes sebe a nic mu již nebrání odposlouchávat plně jejich komunikaci. Opatřením jsou některé bezpečnostní politiky přímo na switchích. Ty jsou někdy tak striktní, že Vás mohou odpojovat od sítě (arp-inspection, packet-rate).

Nastavení umístění v síti

Klikněte postupně na Start - Ovládací panely - Síť a internet - Centrum sítí a sdílení. Výsledkem by mělo být okno, viz níže. Klikněte na Network (krok 1).

Z následujícího vyberte Veřejná síť.

Zavřít, vrátíte se na první obrázek. Nyní klikněte na Zvolit možnosti sdílení a domácí skupiny (krok 2), dále Změnit pokročilé nastavení sdílení.

Zkontrolujte nastavení dle obrázku. První tři volby zaškrtněte jako Vypnout. Poté klikněte na Zvolit možnosti vysílání datového proudu médií...

Zde zvolte Blokovat vše.

Tímto jsme si vypli prohledávání ostatních PC v síti a posílání datového proudu médií (odesílání videa, obrázků a hudby do ostatních PC).

 

ESET Smart Security4

Pokud na Visťe nebo Win7 používáte ESET SS4, otevřete si jej a stiskněte F5. Nacházíte se v rozšířeném režimu nastavení. Najeďte tedy na Personální firewall - IDS a rozšířené - zde odškrtnout volbu: Detekce útoku ARP Poisoning.

 

McAfee

 

Pro McAfee si stáhněte tento patch: McAfee-patch.zip, spusťte jej a vyčkejte na dokončení běhu.

Kategorie