Chắc anh em trong forum đều biết các công cụ Sniffer rất đơn giản, dễ sử dụng nhưng cũng rất nguy hiểm đến độ an toàn thông tin trong mạng nội bộ. Mình có nghe nói đến chương trình IPS, IDS nhưng có vẻ như những ứng dụng đó chạy trên Linux thì phải. Huynh nào biết hệ thống đó chạy trên Windows hoặc phần cứng chuyên dụng không, xin vui lòng chỉ giáo! 

IDS / IPS không thể detect được sniff vì nó là một hành động ở dạng thụ động (passive). Cách duy nhất là kiểm tra NIC nào đang dùng để sniff xem nó có ở tình trạng promiscuous hay không. Tuy nhiên, rất khó detect tình trạng này. Hơn nữa, sniffer ngày nay có thể sniff nhưng không cần thiết phải chuyển sang promiscuous mới sniff được.

Cách tránh sniff tốt nhất là dùng VLAN trunking và dùng SSL những nơi cần bảo vệ thông tin nhạy cảm.

Thân mến.  

conmale wrote:

IDS / IPS không thể detect được sniff vì nó là một hành động ở dạng thụ động (passive). Cách duy nhất là kiểm tra NIC nào đang dùng để sniff xem nó có ở tình trạng promiscuous hay không. Tuy nhiên, rất khó detect tình trạng này. Hơn nữa, sniffer ngày nay có thể sniff nhưng không cần thiết phải chuyển sang promiscuous mới sniff được.

Cách tránh sniff tốt nhất là dùng VLAN trunking và dùng SSL những nơi cần bảo vệ thông tin nhạy cảm.

Thân mến.  

Anh conmale có thể cho em xin 1 vài link tài liệu về việc sniff mà ko cần chuyển NIC sang chế độ promiscuous được ko ạ ?

Thanx 

Cách đơn giản nhất là dùng ARP tĩnh trên mỗi máy con, dùng cmd, gõ arp -s IP_router MAC_router, mục đích là để chống bị đầu độc ARP cache để làm thay đổi giá trị này, vì vậy sẽ kô sniff được. Để biết thêm arp -help. 

Cách đơn giản nhất là dùng ARP tĩnh trên mỗi máy con, dùng cmd, gõ arp -s IP_router MAC_router, mục đích là để chống bị đầu độc ARP cache để làm thay đổi giá trị này, vì vậy sẽ kô sniff được. Để biết thêm arp -help. 

Cách tránh sniff tốt nhất là dùng VLAN trunking và dùng SSL những nơi cần bảo vệ thông tin nhạy cảm.
 

conmale wrote:

Cách tránh sniff tốt nhất là dùng VLAN trunking và dùng SSL những nơi cần bảo vệ thông tin nhạy cảm.
 

Anh Conmale. Cơ quan em đang thuê đường truyền riêng của VNPT để kết nối với các đầu mối ở ngoài thành phố (gồm có gửi tài liệu, truyền hình trực tuyến, duyệt web nội bộ...), với khoảng 20 máy cùng dải IP (tuy ít nhưng dữ liệu của em rất quan trọng). Bên VNPT bảo là họ đảm bảo an toàn đường truyền này (nhưng em chưa thực sự tin tưởng lắm, lại sợ có "ai đó" tò mò sniff trên mạng nội bộ nữa). Có người tư vấn nên mua thiết bị bảo mật lắp đặt ở mỗi đầu, nhưng tổng chi phí cũng gần tỷ đồng, em đang đợi báo giá xem là thiết bị gì nhưng hiện tại em rất băn khoăn. Em thấy trang http://www.tightvnc.com/faq.php, có đoạn này: "...if you need real security, we recommend installing an SSH server, and using SSH tunneling for all TightVNC connections from untrusted networks..." nên đã đọc 1 số bài về SSH, SSL/TLS, so sánh giữa openSSH và openVPN, thử cài đặt SSH server...; mục đích là xem có thể có phương án nào tiết kiệm hơn không. Nhưng khi đọc điều anh nói về VLAN trunking thì thực sự đã đi khá xa với vốn hiểu biết hạn hẹp của em (nói thẳng ra là càng đọc những gì tìm kiếm trên mạng về VLAN em càng mù mờ, chẳng hiểu gì cả). Anh có thể giúp em vài ý kiến để quyết định đầu tư theo hướng nào tiết kiệm nhất được không? VPN có được không, hay là VLAN... Nếu mua phần cứng thì anh có thể cho em 1 vài từ khoá để em google so sánh thử. Cảm ơn anh.