October 9, 2024

Hálózatok lehallgatása

A hálózatokon, kapcsolt vonalakon haladó adatforgalom többé-kevésbe könnyen lehallgatható. Különösen a helyi hálózatok adatforgalma hallgatható le könnyen, az itt szokásos üzenetszórásos technika jóvoltából (egy hálózati szegmens* minden egyes munkaállomásához a többi munkaállomás minden üzenete eljut). Az átlagfelhasználó rendszerint nem is sejti, hogy a helyi hálózatok milyen könnyen lehallgathatók. E védtelenség a helyi hálózatok eredeti rendeltetéséből is származik, hiszen ezeket csoportmunkára szánták, ahol a lehallgatás nem jelent komoly rizikó faktort. Az analóg kapcsolt (telefon) vonalak lehallgathatósága közismert, de csak a központokban lehet nagyszámú vonalat egyszerre lehallgatni, így itt a veszély a helyi hálózatokénál sokkal kisebb – de fennáll.

Számos adatátviteli mód nehezen hallgatható le (ISDN, GSM, optikai átvitel, vagy a szinte lehallgathatatlan szórt spektrumú átvitel), de a tökéletes megoldást csak a teljes adatforgalom titkosítása jelentheti. Akadémiai célú felhasználás ezt nem indokolhatja. Azonban a legfontosabb adatok (jelszavak, bizalmas üzenetek) titkosíthatók. Több operációs rendszer és hálózati alkalmazás vagy eleve titkosított formában küldi át a jelszavakat, vagy ún. titkosított, egyszer használatos (‘one-time password’) jelszavakat használ.

A jelszavak titkosítása önmagában még nem megoldás, hiszen a titkosított jelszót elfogva, azt újra lejátszva beléphetünk egy rendszerbe anélkül, hogy a jelszót tudnánk. A mai rendszerek, ha már titkosított jelszavakat használnak, akkor alkalmaznak módszereket a titkosított jelszó újrafelhasználásának megakadályozására is. Itt nem akarunk ennek a technikai részleteibe bonyolódni.

Technikailag könnyű kivitelezhetőségének köszönhetően az utóbbi időkben a helyi hálózatok lehallgatása elterjedt. Szabadon elérhető, BBS-ekről, anonymous FTP helyekről letölthető szoftverek alkalmasak lehallgatásra, melyeket egyébként a hálózati menedzserek hálózatmonitorozására, a forgalom analizálására fejlesztettek ki. E szoftverek használata meglehetősen erőforrás-igényesnek számított, de ez már nem áll fenn, az utóbbi idők átlagos PC-i már képesek futtatni ilyen programokat. Így a lehallgatás széles körben elérhetővé vált. A hálózat kivitelezése, topológiája nagyban befolyásolja a lehallgatás lehetőségeit, azonban ez idáig a lehallgatás elleni védelem nemigen volt szempont a hálózattervezéskor. Szerencsére korunk új technikái, melyeket a nagyobb hálózati teljesítményigények miatt alkalmaznak, nagyban nehezítik a lehallgatást (pl. a switching hub-ok).

A hálózatok lehallgatása rendkívül jelentős, ez úton tömegével lehet jelszavakat illetéktelenül megszerezni. A védekezés nehéz, nagyon is nehéz lehet. Elvben vannak megoldások, de alkalmazásuk a gyakorlatban körülményes. A legfontosabb, hogy szarvashibákat ne kövessünk el:

  • ne jelentkezzünk be távolról superuser vagy más kritikus jelszóval,
  • ne küldjünk e-mailen, ne tároljunk file-ban titkosítatlan jelszavakat.

Sokat segíthet:

  • a környezetünk, a hálózat gépeinek ellenőrzése, figyelemmel kísérése;
  • már magának a problémának az ismerete is.

Alapvető megoldást a hálózatok megfelelő kialakítása, adott esetekben átszervezése, valamint bizonyos hálózatmenedzsment megoldások jelentenek. A probléma összetett, s csak összetett, önmagában nem teljesen hatékony eszközökkel védekezhetünk, melyek együttesen már hatásosak.

A jelszavak illetéktelen megszerzése munkaállomásokon elhelyezett ún. ‘jelszó lopó’ programokkal is könnyen megvalósítható. Ez lehet egy ‘ál-login’ program, mely először lejegyzi a jelszót, majd végrehajtja a valódi login procedúrát. Tökéletlen programoknál feléledhet a gyanúnk, de nyilván az ilyen program illetéktelen gépre kerülését kell elkerülni, ill. legalább kritikus accountokat (pl. superuser) potenciális támadásoktól védett gépről használjunk. Természetes a jelszavak leleshetők, rejtett kamerával is felvehetők, s a trükkök sorát folytathatnánk, sőt a fent említetteknél még rafináltabb lehallgató eljárások is ismeretesek.


* Szegmens alatt routereket, bridge-eket, switcheket csak a határain tartalmazó hálózatrészt értünk.