home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / alt / security / 4798 < prev    next >
Encoding:
Internet Message Format  |  1992-11-12  |  3.8 KB
  1. Path: sparky!uunet!charon.amdahl.com!pacbell.com!sgiblab!darwin.sura.net!ukma!nsisrv!Pt!postmaster@hq.af.mil!rick
  2. From: rick@postmaster@hq.af.mil
  3. Newsgroups: alt.security
  4. Subject: Re: Detecting an Ethernet Tap ( Reply Summary)
  5. Message-ID: <13168@hq.hq.af.mil>
  6. Date: 12 Nov 92 16:19:12 GMT
  7. Sender: news@Pt.hq.af.mil
  8. Reply-To: rick@hq.af.mil
  9. Organization: 7TH Communications Group
  10. Lines: 75
  11.  
  12. I received lots of mail asking me to forward any information I 
  13. received on detecting ethernet taps so I figured there was
  14. enough interest in the answer to post. I received replies from
  15. quite a few people. And just as many interested in the replies.
  16.  
  17. My original post:
  18. >In article <12914@hq.hq.af.mil> I wrote:
  19. >
  20. >   Does anyone know of any software available that will detect a
  21. >   tap of an ethernet cable? Assmuming that this is possible.
  22. >
  23. >   I am looking at the ability to detect a tap in an ethernet cable and
  24. >   have the software notify a network admin. We have etherhostprobe, which
  25. >   works fine after the fact, but I am looking for something that monitors
  26. >   the line and detects a tap or new device in real time.
  27. >
  28. >   I am a novice at the physical aspects of ethernet. i.e., I am not
  29. >   sure if it is even possible to detect such a thing. I assume that it is
  30. >   possible to detect a voltage drop across the line or something similar.
  31. >   Or perhaps detect new ethernet packets as soon as they hit the wire.
  32. >
  33. >   Does anyone know of any products or methods for doing this sort of thing?
  34. >
  35.  
  36. Replies came from:
  37. smb@ulysses.att.com
  38. fetrow@biostat.washington.edu (David Fetrow)
  39. mitch@ss197.cirrus.com (Mitch Wright)
  40.  
  41. ....and others-- Thankyou very much!!!
  42.  
  43.  
  44.     It seems the best way to do this is with a device called a Time-Domain
  45. Reflectometer (TDR). It sends a pulse down the cable and measures the
  46. reflections. If the cable has been cut there will be a big echo indicating
  47. that the ether is unterminated. Normal ether taps will also show up, so if
  48. someone taps the wire you will see a new echo. As you might expect this does 
  49. nothing to indicate that someone might have hijacked an existing tap for naughty
  50. buisiness. (Which would be the most likely method for getting onto the ether
  51. anyway). A TDR is not a real time solution, but it gets close. (Pulse
  52. at regular intervals and see if anything turns up.)
  53.  
  54.     I was informed that a TDR is very expensive. So unless you have a
  55. large network owning one would not be cost effective, unless there must
  56. be some guarantee that there are no new taps on a wire. Such as a classified
  57. processing environment. 
  58.  
  59.     Other methods mentioned would be to use etherhostprobe to 
  60. identify new hosts attached to the wire. This is what we are currently
  61. doing, but it is long after the fact. Etherhostprobe identifies active
  62. ethernet addresses and records them to a file. Then you run it again
  63. at some later date and then compare the findings to see what falls
  64. out the bottom. Any new addresses could be a problem. The drawbacks
  65. are that if a host was down on the previous run it will show up as a
  66. new host in the next run. When you multiply this by a large number of
  67. hosts that could be up or down, it turns into a real mess. It is 
  68. better than nothing however. I dunno where to find it, but it'll probably
  69. turn up through archie. I think we got it from phloem.uoregon.edu
  70.  
  71.     All this really leaves is to pressurize the conduit the ether 
  72. wire runs through and then set off alarms if the pressure drops.    
  73. Another expensive solution.
  74.  
  75.     All in all it would probably be much better to not worry about
  76. detecting taps, and just encrypt the info on the wire. Then a tap yields
  77. the tapper nothing but garbage. We simply don't care that the line
  78. is being tapped. This is the philosophy that will be persued here.
  79. We are going to look at a Kerberos solution. 
  80.  
  81.  
  82.  
  83. -- 
  84. Rick Weldon     I-NET Inc. (Pentagon, 7TH Com Group)
  85. E-mail: rick@hq.af.mil
  86. Phone:  703-695-5060
  87.