|
|
|
![]() |
|
Strumenti |
![]() |
#41 | ||
Member
Iscritto dal: Jun 2003
Città: l'isola che non c'è
Messaggi: 172
|
Quote:
Quote:
![]() ovvero in uno switch n-porte, alla porta X sono collegati n-1 bridge verso le restanti n-1 porte. Lo switch si suppone auto-learning: appena una scheda di rete (collegata allo switch) trasmette un frame, lo switch si segna in una propria tabella la coppia MacAddress_della scheda_di_rete --- porta_dello_switch_a_cui_è_collegata. Trascorso un po' di tempo, lo switch è in grado di sapere per ogni sua porta chi (in termini di mac address) c'è connesso. Fatto il periodo di auto-learning, quando si tramette un frame.... -) il frame giunge tramite una porta X allo switch -) lo switch controlla il destination mac address presente nel frame, consulta la tabella che si è costruito stabilendo su che porta re-inviare il frame (supponiamo porta Z) -) Invia il frame _solo_ sulla porta Z Con questo meccanismo i frame vengono "smistati" su rete locale solo tra mittente e destinatario; terze entità, a meno che non si facciano appositi gioconi (che si possono tuttavia fare) non vedono passare fisicamente i pacchetti. Per ulteriori info....uhm.....su google ho trovato questo http://www.ccontrols.com/pdf/Issue%209.pdf non è il massimo ma è qualcosa ![]()
__________________
Dov'è campanellino? |
||
![]() |
![]() |
![]() |
#42 |
Bannato
Iscritto dal: May 2003
Città: Roma
Messaggi: 3642
|
fammi un esempio di "giocone" che si puo fare collo switch
tipo mitm? |
![]() |
![]() |
![]() |
#43 | |
Member
Iscritto dal: Jun 2003
Città: l'isola che non c'è
Messaggi: 172
|
Quote:
Uhm...esempi....molti switch sono completamente configurabili, a volte troppo.... una delle feature, spesso presente, è quella di poter settare una delle porte dello switch in modalità promiscua (in realtà è una modalità leggermente differente dalla promiscua; in pratica lo switch non accetterà traffico in ingresso dalla suddetta porta ma effettuerà una copia di tutto il traffico passante per lo switch _sulla_ suddetta porta). Questa feature viene tipicamente impiegata dai sysadmin per loggare tutto il traffico che passa sulla rete (in pratica si setta la porta sullo switch, si collega la porta ad una interfaccia ethernet in mod.prom., si fa girare sull'host il sempreverde tcpdump $interfacciausata $lungalistadifiltri, etc.etc.) Il fatto è che questa feature può essere usata da $tiziosimpatico che passa la sua giornata a sniffare tutto il traffico della rete ![]() (sull'altro lato del cavo potrebbe esserci sniffer, keylogger, etc.etc.) Altra falla: gli host comunicano tra loro mediante visibilità IP (A sà che l'indirizzo di B è 192.168.X.Y mentre B sà che A ha indirizzo 192.168.X.Z). Con un po' di arp-poisoning fatto ad arte si può riuscire a scombinare le arp-cache dei due host così che: ArpCachediA 192.168.X.Y ---> MacAddressditerzapersona ArpCachediB 192.168.X.Z ---> MacAddressditerzapersona Quando A invia messaggio a B lo spedisce su MacAddressditerzapersona e lo switch non farà altro che inviarlo sulla porta di terzapersona; terzapersona si prende il pacchetto, ne fa quello che vuole, indi lo rinvia a MacdiB (e lo switch lo rigirerà sulla porta di B). La cosa avviene simmetricamente quando B invia ad A. Altra falla: lo switch fa auto-learning. Ma se uno degli host fa il simpaticone e continuamente immette pacchetti su una certa porta con MacAddress sempre diversi..... ![]() Nota conclusiva: fare 'sti gioconi non è sempre facile, anzi. Specialmente quando si va a smanettare nei macaddress le cose si fanno difficili sebbene pur sempre possibili (di solito grazie al solito arp). Sicuramente il livello di sicurezza di uno switch è un gradino up rispetto ad un hub, ma questo non deve significare "occhebbello ho uno switch, da domani password in chiaro per tutti!" ![]() Continuo comunque a sostenere che l'accoppiata tunnelSSL+autenticazione basata su certificati sia un binomio molto forte per una grossa fetta di applicativi ![]()
__________________
Dov'è campanellino? |
|
![]() |
![]() |
![]() |
#44 |
Bannato
Iscritto dal: May 2003
Città: Roma
Messaggi: 3642
|
grazie,molto chiaro
![]() ![]() |
![]() |
![]() |
![]() |
#45 | |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
Perche' ???
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
![]() |
![]() |
![]() |
#46 | |
Senior Member
Iscritto dal: Jan 2002
Città: Rimini
Messaggi: 1203
|
Quote:
![]() ![]()
__________________
Quale parte di NO non hai capito? | MBP Retina Late 2013 - iPhone 6 64GB - iPad Air 64GB Fiero membro del BOFH club (Bastard Operators From Hell) |
|
![]() |
![]() |
![]() |
#47 | |
Senior Member
Iscritto dal: Jun 2000
Città: Rimini
Messaggi: 1360
|
Quote:
![]() ![]()
__________________
Quale parte di NO non hai capito? |
|
![]() |
![]() |
![]() |
#48 | |
Senior Member
Iscritto dal: Jan 2002
Città: Rimini
Messaggi: 1203
|
Quote:
eh mi conosci bene tu! (pero' quando si lavorava insieme non c'era da litigare per gli utonti... vero?) ![]() ![]()
__________________
Quale parte di NO non hai capito? | MBP Retina Late 2013 - iPhone 6 64GB - iPad Air 64GB Fiero membro del BOFH club (Bastard Operators From Hell) |
|
![]() |
![]() |
![]() |
#49 | |
Senior Member
Iscritto dal: Jun 2000
Città: Rimini
Messaggi: 1360
|
Quote:
![]() ![]()
__________________
Quale parte di NO non hai capito? |
|
![]() |
![]() |
![]() |
#50 | |
Senior Member
Iscritto dal: Dec 2000
Città: Trento
Messaggi: 5917
|
Quote:
![]() ![]() ![]() ![]()
__________________
Linux User #272700 >+++++++++[<+++++++++>-]<+.++.>++++[<---->-]<++.+++++++. HOWTO: SSH Firewall e DMZ ɐɹdosoʇʇos oʇuǝs ıɯ |
|
![]() |
![]() |
![]() |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:59.