Proteggersi su una LAN

[peter_pan]

Quote:

Originariamente inviato da HexDEF6
quello che volevo dire (se noti anche il mio precedente post) era che per gli switch che si trovano normalmente in piccoli uffici/casa (ma a volte anche in posizioni piu' rischiose)

si, il sysadmin dovrebbe curare aspetti di sicurezza come la creazione di tunnel sicuri/trasparenti con il gateway, eliminare per le comunicazioni locali ogni tipo di autenticazione basata su password e sostituirla con quella basata su certificati, etc.

Quote:

come funzionano gli switch seri?? dove trovo qualche info?

A livello logico in uno switch è presente un bridge per ogni coppia di porte (questo a livello logico, per l'implementazione si tende al risparmio... )
ovvero in uno switch n-porte, alla porta X sono collegati n-1 bridge verso le restanti n-1 porte.
Lo switch si suppone auto-learning: appena una scheda di rete (collegata allo switch) trasmette un frame, lo switch si segna in una propria tabella la coppia

MacAddress_della scheda_di_rete --- porta_dello_switch_a_cui_è_collegata.

Trascorso un po' di tempo, lo switch è in grado di sapere per ogni sua porta chi (in termini di mac address) c'è connesso.
Fatto il periodo di auto-learning, quando si tramette un frame....
-) il frame giunge tramite una porta X allo switch
-) lo switch controlla il destination mac address presente nel frame, consulta la tabella che si è costruito stabilendo su che porta re-inviare il frame (supponiamo porta Z)
-) Invia il frame _solo_ sulla porta Z

Con questo meccanismo i frame vengono "smistati" su rete locale solo tra mittente e destinatario; terze entità, a meno che non si facciano appositi gioconi (che si possono tuttavia fare) non vedono passare fisicamente i pacchetti.


Per ulteriori info....uhm.....su google ho trovato questo
http://www.ccontrols.com/pdf/Issue%209.pdf
non è il massimo ma è qualcosa

[LukeHack]

fammi un esempio di "giocone" che si puo fare collo switch
tipo mitm?

[peter_pan]

Quote:

Originariamente inviato da LukeHack
fammi un esempio di "giocone" che si puo fare collo switch
tipo mitm?

Diciamo che il mitm è qualcosa di più di alto livello (nel senso che è una tipologia di attacco, qualcosa più di concettuale che fisico; io mi riferivo a cose più di basso livello/livello fisico che, a seconda di come vengono sfruttate, possono dare libero campo ad attacchi di alto livello come il mitm).
Uhm...esempi....molti switch sono completamente configurabili, a volte troppo.... una delle feature, spesso presente, è quella di poter settare una delle porte dello switch in modalità promiscua (in realtà è una modalità leggermente differente dalla promiscua; in pratica lo switch non accetterà traffico in ingresso dalla suddetta porta ma effettuerà una copia di tutto il traffico passante per lo switch _sulla_ suddetta porta). Questa feature viene tipicamente impiegata dai sysadmin per loggare tutto il traffico che passa sulla rete (in pratica si setta la porta sullo switch, si collega la porta ad una interfaccia ethernet in mod.prom., si fa girare sull'host il sempreverde tcpdump $interfacciausata $lungalistadifiltri, etc.etc.)
Il fatto è che questa feature può essere usata da $tiziosimpatico che passa la sua giornata a sniffare tutto il traffico della rete
(sull'altro lato del cavo potrebbe esserci sniffer, keylogger, etc.etc.)
Altra falla: gli host comunicano tra loro mediante visibilità IP
(A sà che l'indirizzo di B è 192.168.X.Y mentre B sà che A ha indirizzo 192.168.X.Z). Con un po' di arp-poisoning fatto ad arte si può riuscire a scombinare le arp-cache dei due host così che:
ArpCachediA
192.168.X.Y ---> MacAddressditerzapersona
ArpCachediB
192.168.X.Z ---> MacAddressditerzapersona

Quando A invia messaggio a B lo spedisce su MacAddressditerzapersona e lo switch non farà altro che inviarlo sulla porta di terzapersona; terzapersona si prende il pacchetto, ne fa quello che vuole, indi lo rinvia a MacdiB (e lo switch lo rigirerà sulla porta di B). La cosa avviene simmetricamente quando B invia ad A.
Altra falla: lo switch fa auto-learning. Ma se uno degli host fa il simpaticone e continuamente immette pacchetti su una certa porta con MacAddress sempre diversi.....

Nota conclusiva: fare 'sti gioconi non è sempre facile, anzi. Specialmente quando si va a smanettare nei macaddress le cose si fanno difficili sebbene pur sempre possibili (di solito grazie al solito arp). Sicuramente il livello di sicurezza di uno switch è un gradino up rispetto ad un hub, ma questo non deve significare "occhebbello ho uno switch, da domani password in chiaro per tutti!"
Continuo comunque a sostenere che l'accoppiata tunnelSSL+autenticazione basata su certificati sia un binomio molto forte per una grossa fetta di applicativi

[LukeHack]

grazie,molto chiaro

[HexDEF6]

Quote:

Originariamente inviato da Hell-VoyAgeR
noi due non potremmo lavorare nello stesso posto!

???????
Perche' ???

[Hell-VoyAgeR]

Quote:

Originariamente inviato da HexDEF6
???????
Perche' ???

beh... perche' passeremmo tutto il giorno a litigarci gli utOnti da seviziare! :eheh:

[A-ha]

Quote:

Originariamente inviato da Hell-VoyAgeR
beh... perche' passeremmo tutto il giorno a litigarci gli utOnti da seviziare! :eheh:

Sei il solito maniaco...

[Hell-VoyAgeR]

Quote:

Originariamente inviato da A-ha
Sei il solito maniaco...

ma buongiorno!!

eh mi conosci bene tu! (pero' quando si lavorava insieme non c'era da litigare per gli utonti... vero?)

[A-ha]

Quote:

Originariamente inviato da Hell-VoyAgeR
ma buongiorno!!

eh mi conosci bene tu! (pero' quando si lavorava insieme non c'era da litigare per gli utonti... vero?)

Erano tanti... un pò a ciascuno e via...

[HexDEF6]

Quote:

Originariamente inviato da Hell-VoyAgeR
beh... perche' passeremmo tutto il giorno a litigarci gli utOnti da seviziare! :eheh: