Как защититься от прослушивания трафика во внутренней сети?

Всем привет!

Подскажите, если сможете, как разрешить вот такую ситуацию:

Организация. Корпоративная сеть. Некоторые сотрудники обнаружили, что кто-то читает их личную переписку по аське, М-Агенту, электронной почте, так как эти сведения стали обнародоваться в Интернете, либо приходить в виде СМС на мобильные телефоны. Даже при соблюдении мер предосторожности утечка все равно происходит. Предполагали несколько вариантов: работа хакера, работа кого-либо из сотрудников провайдера, работа одного из сотрудников этой же организации. Не исключен, конечно, ни один из этих вариантов, но есть весомые причины считать, что это работа одного из сотрудников организации. Есть основания считать, что он занимается прослушивание трафика внутренней сети. К сожалению, прямых улик и доказательств пока нет.

Вопрос: как защититься от прослушивания внутреннего трафика? Или же, как точно можно установить, имеет ли место прослушивание внутреннего трафика? Или, если это установлено, то как определить кто именно занимается этим, с какого компьютера?

Заранее благодарю за ответы!

P.S. Если я неправильно сформулировал тему и вопросы, то могу потом описать более конкретно.

[QUOTE=Amak;284198]есть весомые причины считать, что это работа одного из сотрудников организации. [/QUOTE]А не проще ли почту криптовать и аськой не пользоваться? ;)

Погуглите тему "обнаружение снифферов" тема обширна и специфична.
Как вариант можно попробовать поднять IPSec.

[QUOTE=Rene-gad;284206]А не проще ли почту криптовать и аськой не пользоваться? ;)[/QUOTE]

К сожалению, не проще. С почтой еще можно попробовать разобраться, а вот с аськой наврядли получится. Как ни крути, а без нее не обойтись.

Если важно шифрование- то придётся повозиться каждому, назначать ключики и тд.Вот смотрите:
[url]http://www.runtu.org/settings-programs/134--jaber-pgp[/url]
В аське по моему не получиться (там какое-то примитивное шифрование, снифером ловиться и расшифровываeться почти мгновенно)

для поиска можно попробовать:
[url]http://www.ntsecurity.nu/toolbox/promiscdetect/[/url]
[url]http://www.securitylab.ru/software/234330.php[/url]

[quote=Amak;284198]Всем привет!

Подскажите, если сможете, как разрешить вот такую ситуацию:

Организация. Корпоративная сеть. Некоторые сотрудники обнаружили, что кто-то читает их личную переписку по аське, М-Агенту, электронной почте, так как эти сведения стали обнародоваться в Интернете, либо приходить в виде СМС на мобильные телефоны. Даже при соблюдении мер предосторожности утечка все равно происходит. Предполагали несколько вариантов: работа хакера, работа кого-либо из сотрудников провайдера, работа одного из сотрудников этой же организации. Не исключен, конечно, ни один из этих вариантов, но есть весомые причины считать, что это работа одного из сотрудников организации. Есть основания считать, что он занимается прослушивание трафика внутренней сети. К сожалению, прямых улик и доказательств пока нет.

Вопрос: как защититься от прослушивания внутреннего трафика? Или же, как точно можно установить, имеет ли место прослушивание внутреннего трафика? Или, если это установлено, то как определить кто именно занимается этим, с какого компьютера?

Заранее благодарю за ответы!

P.S. Если я неправильно сформулировал тему и вопросы, то могу потом описать более конкретно.[/quote]
Корпоративная сеть построена на свитчах ? Если да, и каждый ПК подключен к отдельному порту свитча, то компьютер А не видит травика компьютера B при условии, что это не бродкаст и не обращение к компьютеру А со стороны B. Но при этом есть варианты:
1. Есть методы перехвата трафика в ЛВС на свитчах. Это сложно, но можно ... и опытный админ сети может такое поймать и пресечь
2. На нескольких ПК могут быть трояны, т.е. утечка идет не мониторингом трафика, а воровством данных локально
3. Трафик идет как и через что ? Явно есть некий роутер, проксик и т.п. - мониторинг может стоять там (т.е. "кротом" является админ или опытный клхацкер при неопытном админе, который самог установить что-то на роутер
4. Трафик может мониториться на стороне провайдера, особенно если он идет через ман-сеть или ее аналоги
В общем случае следует обязательно проверить, как идет маршрутизация, для начала банальным tracert ... и посмотреть, нет ли в маршруте "петель" через один из компьютеров кого-то из сотрудников. Плюс проверить свитч и его настройки, не включено ли там зеркалироование трафика на один из портов (проверив запаролить доступт к свитчу). Неплохо инвентиризировать все ПО на компьютерах юзеров, особенно если их штук 20-30, то это сделать нетрудно

Прежде всего нужно понять кому это выгодно! Но весь трафик слушать и хранить смысла скажем так нет... и хранить все это тоже нет смысла так как прокачка трафика можеть быть очень большая, а дискового пространства всегда в принципе не хватает.

1. Например трафик может слушаться и анализироваться на серверах служб безопасности фирмы. Если трафик слушает СБ то маловероятно что Вы это предложенными средствами тут в частности антисниферов это установите. Так как чаще всего это происходит на граничных устройствах, которые располагаются несколько дальше чем свитчи локальной сети. Тоесть трафик снифится, пишеться на основании перехваченного трафика лог и ведется автоматический анализ по ключевым словам и делается это с ведома руководства фирмы с целью предотвращения утечки информации. (наверняка Вы подписывали договор о неразглашении информации ;) а там могут быть пункты что весь трафик принадлежит компании и использование интернета в личных целях запрещено!)
2. Согласен с Олегом на счет затрояненных машин, такое тоже бывает.
3. "Провайдер", тут вы абсолютно бессильны что либо доказать, даже если это и так... и могу Вас заверить в том что это бессмысленно снифить так как в день проходят через ИСП не один Тб. Но есть пункт 4 ;)
4. Спецслужбы, так как фирма может подподать под интересы спецслужб или отдельные ее сотрудники. А силовые ведомства давно и успешно контактируют с ИСП.
5. Хакер... в этом случае могу сказать, что сами пользователи используют легкие пароли которые взламываются по словарю за считанные минуты, а на предупреждения системных администраторов об этом просто не реагируют! Ну а социнжинерию вообще ни кто в серьез не рассматривает, хотя сам лично видел веселую картину "напомни мыло - напоминаю Вася@мыло.ру слушай чет не уходит мое письмо к тебе а там такие фотки...требует пароль.... да у меня простой пароль Вася" в итоге Вася потерял свою почту!:L вот и доверил Вася девочке!Говорю Вась ты с дуба рухнул? В ответ да ну тя у тебя кругом только хакеры и вирусы :L это же Ленка...

6. Есть категория людей которая любит хамить в сети интернет, а потом за это платится описанным Вами способом;) (так для размышления, надеюсь Вы к этой категории не относитесь)

PS: 1. Сообщить админу (путем написания служебной записки) о том, что происходит утечка данных Машинки с которых утекает информация проверить на вредоносы! И проити по этой ссылке! [url]http://virusinfo.info/showthread.php?t=1235[/url]

Отказаться от использования ICQ и майлру агента!

Сеть на свичах, есть и пара-тройка хабов, но они так или иначе сами поключены к свичам. Самого админа я не подозреваю, он хоть вопросами информационной безопасности не озабочен, но и сам навряд ли стал бы копаться в чужой переписке. На него не похоже, этот вариант практически исключается. Но есть другой человек из техотдела, на которого как раз подозрения и падают. Он не админ, серверами не занимается, тем более что они на Линухе и Фришке, хотя рутовые пароли знает, но это необходимая мера. Известно, что он пользовался различными сканерами портов, снифферами и т.д., но на уровне дилетанта, даже принципов работы навряд ли знает. Но есть основания сомневаться в его порядочности в этом вопросе. Это вообще единственный человек, которого можно подозревать. Если не он, то и никто другой в организации. Остается только угроза извне. Да, были и остаются подозрения на провайдера, кого-то из его сотрудников, тем более, что это не совсем обычный провайдер, в привычном понимании. Что касается спецслужб, то не исключено, но как-то мелковато для них или их сотрудников таким заниматься. Информация-то сугубо личная уходит, приватная, интимная, а не коммерческая или вроде того. Причем никакого, допустим, шантажа нет, создается впечатление, что это нужно ради прикола что ли. Непонятно, кто что этим хочет доказать или показать? Но это уже другая тема. Проблема осталась даже после того, как компьютером жертвы пришлось заняться в плане обеспечения его безопасности, насколько это возможно. Антивирус (самом собой), файрвол, комп проверен различными утилитами, закрыты ненужные службы, порты и т.д. Ну без ежедневных вирусов и троянов в почте никак не обойтись. :) Но в остальном ничего особенного. По поводу хамства в Интернете - полностью исключено. Писать служебную записку не хочется, надеюсь по понятным причинам. Проблему-то может так просто и не решить, но хотелось бы установить, откуда исходит угроза, изнутри или извне.

Думаю, все же служебную писАть нужно. Если налево уходит личная переписка, то это не значит, что уходит [b]только[/b] личная переписка.

действительно, личная переписка может служить отвлекающим фактором...а на самом деле)

Amak в вашем предыдушщем посте есть небольшой фактор... из которого может вытекать следущее (естественно дедуктивным методом) ;) Не хотите писать служебку по "понятным причинам" значит есть что скрывать! Соответственно уже есть потенциальная угроза Вашего шантажа! Ну и пока не напишите служебку данные и личные документы будут утекать! Насчет интимной и приватной инфы... хм уже тот факт что на служебном компьютере находится такого рода информация являеться нарушением. Не должно такого рода инфы быть на служебных компах! И естественно что подобная инфа может быть использована в компроментирующих целях!

[QUOTE=Jolly Rojer;290917] Не хотите писать служебку по "понятным причинам" [b]значит есть что скрывать![/b] [/QUOTE]
У кого? Если я вас правильно понял, то тогда здесь я с вами не могу согласиться; всё зависит от положения, которое Amak там занимает. Я лично могу себе представить другие причины, по которым Amak может не хотеться писать служебку, допустим:
* Палка в колёсах лоха-админа (плохо кончится)
* Обвинения всякие от руководства, что сунул нос не туда (плохо кончится)
* Месть со стороны зломышленника (может сам админ?!), особенно если тот чуть выше в должности, и ваши попытки определить, кто именно занимается этим кончатся ничем. (плохо кончится)

Paul

Паул в целом согласен, да все это возможно. Но в любом случае если этот вопрос не решать ни как то проблем можно нагрести еще больших нежеле чем описанные Вами. А вообще чтоб не бояться за свою репутацию не нужно на работе хранить ни каких личных данных! И уж тем более ни каких фото интимного характера, чтоб потом случайно не обнаружить его на каком нибудь сомнительном ресурсе!