Архив форумов ЦИТФорума

[Dront]

Стоит задача оценки возможности перехвата информации, которая передается по локальной сети через эфир. Имеется две среды передачи: 10 Base-T и 100 Base-TX. Спрашивается какие типы кодирования возможны в таких средах, конкретнее меня интересует кодирование MLT-3 и Manchester II(слышал что последнее имеет разновидности - в частности CDP). Желательно поподробнее узнать о виде сигнала, который передается по локальной сети (знать ширину полосы спектра сигналов при таких видах кодированя, тактовую частоту, осциллограммы).
Интересно так же знать какой уровень сигнала выдает в сеть сетевой адаптер (кажется что 5 В, но не уверен) и какой уровень сигнала нужен для корректного приема (ведь длина кабеля различна - следовательно на входе стоит ограничитель амплитуды). Видимо полный ответ будет получить затруднительно, поэтому хотя бы дать ссылку на ресурсы в инете. Огромное спасибо за ответ.

[ALEX_SE]

-

[and3008]

Сходи в книжный магазин и полистай книгу "Локальные сети. Справочник". Там про методы кодирования сигнала довольно много написано.
А вот вольты надо глядеть в справочнике по радиоэлектронике. Рекомендую книгу "Fast Ethernet. Справочник".

Хорошие ресурсы в Инете на русском я сам в свое время не нашел. Поэтому потопал в книжный магазин.

[Dmitry.Karpov]

Для перехвата достаточно воткнуться в хаб сетевой картой в промискуитетном режиме; соотвественно, защититься от этого можно коммутатором или физически не допустить гада к кабельной структуре.

А для радиопередачи сигнала используются совсем другие методы кодирования.

[Dront]

Подразумевается, что физическмй доступ взломщика к кабелю невозможен. Поэтому он будет использовать радиоперехват сигнала, который излучается кабелем. Только вот вопрос, как он выделит сигнал, если сеть работает в полный дуплекс, второе как он поймет какого типа данные передаются (текст, картинка, звук или числа или програмный код)

[Dront]

Я параллельно с поиском в инете ищу и книги где это все было бы описано, но пока не очень успешно. Так что большое спасибо за информацию, только если можно уточните название книг и фамилию составителя или автора. Так будет легче искать.

[bary]

Если я не ошибаюсь то даже перехватив пакет ты не сможеш отследить что там внутри т.к только тот кому он адресован может вскрыть(все образно) например если ты послал 10 пакетов а я перехватил один то при огромном желании я не смогу понять. Тем более если даже делать радио перехват я думаю из 10 ты и одного не поймаеш?
_________________
Bari Murtazin - MSFT

[Dront]

Точно не знаю, могу только предполагать. Предположим перехватчик станет записывать сигнал не только когда я уже начал работать, а немного раньше. Все равно не понятно как он различит принадлежность данных тому или иному приложению (например как различить Word или Excel если и там и там есть текст и числа). Я поднял вопрос о перехвате лишь с точки зрения перехвата парольной информации. Например, я включил комп, и пытаюсь получить доступ к другому компу по сетке (инет не рассматривается). Предположим перехватчик догадывается приблизительно о том времени в течение которого я буду вводить пароль (1-2 часа). Записав весь сигнал перехваченый за это время наверно можно путем перебора всей последовательност подобрать пароль. Вообще в этом вопросе очень много трудностей. Но у меня просто стоит проблема и я хотел посоветоваться. Тем более, что на этом сайте я нашел кой-какую полезную информацию

[SergeyK]

эээ, минутку так речь идет о перехвате именно излучения с кабеля? Как ты себе это представляешь? То есть физический доступ к кабелю не возможен, а снять его излучение возможно, если это возможно то считай что он имеет доступ к твоей сети на физическом уровне. Да кстати, при перехвате инфы на уровне кабеля не принципиально что за информацию в данный момент качают по кабелю.

[SergeyK]

>>, защититься от этого можно коммутатором или физически не допустить гада к кабельной структуре. >>

Вопрос: Есть ли способы проверки о несанкционированном подключении? То есть если такое событие имело место, то это стало бы известно.

[Dmitry.Karpov]

Вообще-то витая пара называется витой потому, что проводА скручены попарно. А скручены они для того, чтобы минимизировать излучение и восприимчивость к помехам (это по сути одно и то же). Если же провод экранирован, то извлечь из его радиоизлучения информацию вообще нереально.

Отличить передаваемые данные от принимаемых можно путем анализа излучения в разных точках - можно обнаружить, с какой стороны кабеля проходит та или иная пара.

В любом случае надо ставить приемник радом с кабелем, т.к. мощность излучения падает пропорционально кубу расстояния. Но в таком случае враг может взрезать кабель и включить в середину коммутатор с трансляцией кадров на третий порт - коммутатор является ПРОЗРАЧНЫМ мостом, т.е. его не видят ни компьютеры, ни др.коммутаторы/свичи. В принципе, постоянный анализ/мониторинг состояния кабеля может позволить обнаружить подключение постороннего, но такие анализаторы обойдутся не дешевле тысячи буказоидов за порт, что делает сеть непомерно дорогой; проще проложить оптику, подключиться к которой гораздо сложнее, особенно если она бронированная.

Проанализировать тип передаваемых данных достаточно просто, т.к. в файловом сервисе и в FTP передается запрос на имя файла, а в HTTP перед данными передается их тип. Да и сигнатуры файлом помогают...

Защититься от такого подслушивания (даже при подсоединении к кабелю) позволяют технологии VPN, PPTP, PPPoE, инкапсуляция, туннелирование.

И я что-то не понял, что это за контора, в которой актуальны такие вопрсы? Если ради ваших данных кто-то полезет в кабельные шахты с тонкой аппаратурой, то проще поставить возле кабеля автоматчика с собакой!

PS: В октябре я начинаю читать курс "компьютерная и сетевая безопасность" в МФТИ, приглашаются все желающие - http://cs.mipt.ru
Курс будет читаться по субботам, четыре часа раз в две недели.

[Dront]

Пара конечно витая, но как она вьётся? А вьётся она совсем не одинаково. Достаточно всего лишь небольшого нарушения симметричности чтобы витая пара стала излучающей антенной (и это доказано не только моими измерениями). Это все про UTP-шные кабели. С экранированными кабелями получается сложнее. Там все зависит от многих вещей. Представители R&M и лабораторий, которые тестируют их кабели говорят, что надо экраны и сетевые адаптеры хорошо заземлять (сопротивление заземления менее 0,1 Ом). Но о каком заземлении можно разговаривать если частота десятки МГц или выше. Я с трудом представляю себе эффективное заземление на таких частотах(заземдять можно 50 Гц). В отчетах лабораторий R&M говорится о конкретных значениях ослабления излучения, но при этом не уточняются условия проведения измерений, а это главное. Мои результаты измерений говорят о том, что неэкранированные кабели излучают меньше чем экранированный, за одним исключением. Попался экранированный кабель излучающий ну очень мало. Проверено сигнал в кабель подается и коннект есть. Еще хотелось бы отметить, что вопросы кодирования мною не рассматриваются по той причине, что предполагается полное декодирование. Т.е. допускаем, что враг может раскодировать все и очень быстро. Ставится вопрос только об излучении. По поводу расстояниий могу только дать данные о том что коллеги из R&M перехватывали сигнал от UTP-шного кабеля за несколько сотен метров от самого кабеля, так что автоматчики и собаки не помогут (их конечно все равно поставят, чтобы не было физического подключения к кабелю). И то что мощность сигнала падат пропорционально кубу расстояния от источника тоже не помогает. У врагов с аппаратурой все в порядке, вытянут сигнал из любых шумов, ограничения все же есть, но с сотни метров на раз примут. Раз Вы говорите, что определить тип передаваемых данных можно, значит мне нужен приёмник типа: антенна(широкополосная с высоким Ку узконаправленная) -> блок обработки принятых сигналов (запись, расшифровка сигнатур, декодирование бит данных) -> комп с сетевым адаптером. Получается сложная штука. У меня всего два ворпоса: что же все-иаки делать с заземлением (в компе заземляют только по частоте 50 Гц) и спектры сигналов в сетке. Есть ли какие нибудь ресурсы в инете по этому вопросу.

[Dront]

За приглашение спасибо, но я далекова-то, в Киеве. Так что не получится.

[Dront]

См. ответ в Re: О возможностях перехвата сигнала Dront 27-09-2002 17:01, это чуть ниже.

[Dront]

Во-первых комутатор излучает локально еще больше чем кабель. Даже если кабель волоконно-оптический коммутатор все равно понижает частоту до радиодиапазона, а затем излучает (проверено). По поводу физического доступа все ясно перехват излучения за сотни метров от кабеля делает бесполезным охрану.

[Dront]

Облегчите мне жизинь, подскажите конкретней плиз.

[Dmitry.Karpov]

Информация измеряется в битах. Если разделить бит на скорость передачи и умножить на скорость распространения сигнала (это порядка скорости света), то получим размер бита.
Экран хорошо защитит кабель в том случае, когда находится на расстоянии более размера бита от кабеля, т.к. в этом случае воздействие на каждую точку экрана будет оказывать более одного бита.

Второй способ запудрить мозги врагу - забить сигнал помехами. Для этого параллельно основному кабелю надо проложить еще несколько штук и гонять по ним произвольные (можно случайные) данные. Можно просто гонять данные (слать в дуплексном режиме случайные числа), а можно постараться сделать так, чтобы эти числа шли синхронно с основными данными, но это сложно и вряд ли нужно, т.к. запаздывание на пару метров несущественно, если только враг не сможет подойти ближе ста метров.

Хабы и коммутаторы надо прятать в специальные корпуса, закрывающие само устройство и коннекторы входящих в него проводов (т.е. второй корпус д.б. больше "родного" корпуса); кабельные шахты и стены здания - оклеить фольгой; где нельзя оклеиться фольгой - использовать оптику. (тьфу, с тобой и твоими задачами-вводными я сам параноиком стану!)

Попробуй использовать не витую пару, а коаксиал; но не одиночный 10Base-5 или 10Base-2, а вместо витой пары пусти два коаксиальных кабеля соотвествующего волнового сопротивления (кажется, 80 Ом, сойдет и телевизионный на 75 Ом). Возможно повышенное излучение на переходе с RJ-45 на коаксиал (обжать коаксиал не получится, придется использовать розетки, причем третьей категории), но маленькие участки проще закрыть экранами.

Ну а хорошее PGP-шифрование еще никому не удалось пробить.

PS: Интересно, твое украинское начальство не взгреет тебя за обсуждение этой темы с москалями (и, возможно, с жидами)?

[bary]

В принципе можно забить помехами еще силнее если по витой паре подсоеденить мини АТС и какой нибудь телефон. Как это зделать тема обсуждалась.
_________________
Bari Murtazin - MSFT

[bary]

Сколько денег будет стоить твой курс?
_________________
Bari Murtazin - MSFT

[Dront]

По-поводу первого абзаца ничего определенного пока сказать не могу. Размерность сходится, но кажется здесь не учтены амплитуда бита (1 В и 5 В слишком разные вещи с точки зрения излучения) и сопротивление экрана (а если экран не золотой, а люминь). Чем ближе экран к проводу в витой паре тем больше ёмкость, а следовательно при нарушении симметричности больше наводка на экран.

По-поводу второго у меня сразу вопрос - как создать систему: генератор кадра (ну там преамбула, адреса, данные) -> кабель (90 м включая розетки и патч-панели если есть) -> соглассованная нагрузка. Так вот генератор нужен с симметричным выходом (RJ45), потому что балуны (симметрирующие-соглассующие устройства) найти трудно (дали нам пару разных балунов, ни один не годится, то диапазон частот не тот, то выходное сопротивление не подходит). Упрощая сказанное - можно ли заставить сетевуху работать без компа и на согласованую нагрузку, а не на комп (для меня это хоть какой-то выход).

С переходом на оптику полностью за, но дали-то проверять витую пару, поэтому прийдется обойтись без оптики. Про PGP тоже согласен, опять-же говорят нет у нас PGP (и не будет).
Коаксиалы тоже отпадают.
Да, вот еще вопрос: вид сигнала, который передаётся в кабеле зависит от протокола или нет?

[Dmitry.Karpov]

-

[Dmitry.Karpov]

Наводка от полезных сигналов на экране как раз и занимается тем, что создает антиизлучение, которое интерферирует с основным и гасит его (аналогично антена при изъятии сигнала из эфира гоняет по себе электроны с ускорением; эти электроны создают э/м поле, противонаправленное тому, которые возбудило антену). Правда, для этого экран должен иметь нехилую емкость...

Чтобы забить полезный сигнал помехами, достаточно поставить рядом сетевую карту, пустить от нее двужильный провод петлей туда и обратно, оба конца жилы завести в разъем RJ-45; карту переводим в дуплексный режим и начинаем гнать в нее всякую хрень. Правда, если враги про это узнают, то могут попробовать отфильтровать биты, которые идут туда и сразу обратно; в этом случае надо на обоих концах поставить по сетевой карте в дуплексе и гнать лубую хрень. Правда, если карты умеют управлять потоком данных (как COM-порт), то потребуется еще и вынимать из них полученную информацию.
Для наводки помех нет ничего лучше сетевой карты того же типа - дерево проще всего прятать в лесу.
Заставить сетевую карту работать без компа можно, но проще сделать это с помощью компа (Pentium 200 MHz вполне хватит).
Работать на сопротивление - наверно, можно, но проще на вторую сетевую карту, которая будет маскировать обратный трафик.

Вид сигнала - это тоже протокол (зайди на http://www.pi2.ru/prof и почитай про сети). Если вопрос о зависимости вида сигнала от TCP/UDP/IP, IPX, NetBEUI - то не зависит, ибо сигнал кодирует биты; ну а служебные поля Ethernet-кадров вообще идентичны для этих протоколов.

У них "нет у нас PGP (и не будет)"? Им нужны шашечки на машине или им нужно такИ ехать?

Кстати, а почему нельзя огородить километр и никого туда не пускать?
Теперь о твоей роли в этом процессе. Если тебе дали проверить систему, ты должен указать уязвимые места и степень их уязвимости; возможно, предложить пути решения. Если они не хотят решать как дешевле (PGP, PPTP, VPN, IPSec), то пусть огораживают колючей проволкой целый полигон и ставят охрану.

[Dront]

Моя задача измерить излучение кабеля (и только кабеля), поэтому работающий комп будет создавать дополнительные помехи (поэтому и надо заставить работать сетевуху без компа и на нагрузку)
На твой сайт заходил, почитал. Вопросы: мне нужны осцилограммы сигналов с разными типами кодирования (NRZ, MLT-3, Manchster) с указанием уровней, короче, скока вольтов сетевуха выдает в кабель (померять не могу нет у меня такого осцилографа, в смысле по частоте и полосе)

[Dmitry.Karpov]

Ставим два компа далеко друг от друга, соединяем сеткой, гоняем по сетке данные. При перемещении вдоль кабеля будет меняться излучение от компов (за счет расстояния), а излучение от кабеля будет почти постоянным.

[Dront]

Сигнал в кабеле тоже имеет свойство затухать с расстоянием (например, 2 дБ/100 м на частоте до 30 МГц и около 50 дБ/100 м на частоте 150-300 МГц). Между прочим расстояние у меня фиксированое по 5 м - два патч-корда и 90 м линк т.е. 100 м. Так что при измерениях на расстояниях 50-100 м будет завал по высоким частотам (а они лучше всего излучаются). Я, к примеру, мерял в нескольких точках (5, 15, 35, 50 м) разница очевидна, чем ближе к источнику сигнала тем выше излучение (и тем меньше завал по высоким частотам). Не могу понять только почему наблюдается сильная изрезанность частотной зависимости. Вроде бы нагрузка соглассованная, т.е. режим бегущих волн. Откуда берутся минимумы и максимумы не знаю (дергал кабель в ту или иную сторону относительно антенны на одной частоте - вывод максимумы и минимумы есть, правда не очень большие). Если я поставлю два компа, то не смогу померять вблизи источника сигнала (собственно компа), а там излучение выше. Правда может быть зная зависимость затухания от длины можно пересчитать (к примеру, померять на 50 м затем пересчитать к 5 м с учетом завала высоких и затухания в кабеле от длины). Как считаешь, такой подход будет правильным?