Mac Address Filtering

[Barbolo]

Se ho un filtro per mac address sul router e mi viene clonato il mac del pc cosa accade se sia io che la persona che mi ha clonato siamo connessi?
la persona è comunque in grado di entrare nella lan? può comunque navigare?
i pacchetti non collassano andando persi dato che avremo entrambi lo stesso IP?
Teoricamente credo di si ma qualcuno ha fatto la prova pratica o sa darmi informazioni certe?

[Braveheart84rm]

di certo in una rete non possono essere presenti due ip identici, quindi devi fare in modo di togliergli.

[Barbolo]

Quote:

Originariamente inviato da Braveheart84rm

di certo in una rete non possono essere presenti due ip identici, quindi devi fare in modo di togliergli.

Come si fa ad avere 2 ip diversi dato che gli ip sono assegnati ai mac? quindi dato un solo mac univoco corrisponde un ip univoco. se viene duplicato il mac anche l'ip viene duplicato...no?
non posso avere 2 mac uguali e 2 ip diversi giusto? come fa in questo caso a instradare i pacchetti il router?

[paolo764]

no, non puoi.
i mac sono univoci come gli ip.
non ho mai provato, ma in caso di 2 mac address identici contemporaneamente sullo stesso switch, una porta dovrerbbe andare in disable a causa dello STP

[Barbolo]

Quote:

Originariamente inviato da paolo764

no, non puoi.
i mac sono univoci come gli ip.
non ho mai provato, ma in caso di 2 mac address identici contemporaneamente sullo stesso switch, una porta dovrerbbe andare in disable a causa dello STP

lo penso anche io ma vorrei la prova certa per non rischiare...

[Braveheart84rm]

Avere due ip identici pu capitare poiché l'errore deriva da un settaggio errato. Non mi quadrano invece i MAC identici, poiché gli indirizzi fisici vengono assegnati dai produttori.

[paolo764]

Quote:

Originariamente inviato da Braveheart84rm

Avere due ip identici pu capitare poiché l'errore deriva da un settaggio errato. Non mi quadrano invece i MAC identici, poiché gli indirizzi fisici vengono assegnati dai produttori.

è vero che UNA PARTE del mac è assegnata dal produttore in base a propri criteri, ma la PRIMA PARTE dell'indirizzo è assegnata dal IEEE ( institute of elettrical and elettronical engeneer ) piu o meno con le stesse regole dell'assegnazione degli ip...e ti assicuro che anche i MAC devono essere univoci.
certo risulta piu' facile spoffare un mac....ma cosi facendo non si rispettano le regole date dall'ente.

@bartolo...fare il test è semplice. prendi 2 pc e li colleghi in rete ad uno switch. dopodiche, cambi il mac address ad uno dei due mettentogli quello dell'altro.
finito il test rimetti il mac vecchio.

ribadisco....anche se non ho mai provato...lo STP dovrebbe mettere in disable una porta.

[Barbolo]

Quote:

Originariamente inviato da Braveheart84rm

Avere due ip identici pu capitare poiché l'errore deriva da un settaggio errato. Non mi quadrano invece i MAC identici, poiché gli indirizzi fisici vengono assegnati dai produttori.

infatti il mio era un dubbio su un possibile hackeraggio al mio router.
Dato che ho mac filtering volevo sapere cosa accadeva se mi duplicavano il mac.
l'altro utente si connette anche se io sono connesso? come fa il router a instradare i pacchetti?

[paolo764]

le ipotesi sono 2:
1) mette in disable la porta ( o entrambe le porte ) e non ti funziona una mazza
2) non mette in disable le porte e fa round robin sulle 2 inteerfacce. risultato....visto che il tuo host non riceve tutti i pacchetti....non ti funziona una mazza.

ad ogni modo...il mac-filtering non è un sistema di pretezione valido. anche io lo ho sul mio router...ma è abbinato ad WPA2 con una chiave bella tosta.
se puoi cambia metodo perche chiunque abbia 2 neuroni sarebbe in grado di clonarti il mac.

[Barbolo]

Quote:

Originariamente inviato da paolo764

le ipotesi sono 2:
1) mette in disable la porta ( o entrambe le porte ) e non ti funziona una mazza
2) non mette in disable le porte e fa round robin sulle 2 inteerfacce. risultato....visto che il tuo host non riceve tutti i pacchetti....non ti funziona una mazza.

ad ogni modo...il mac-filtering non è un sistema di pretezione valido. anche io lo ho sul mio router...ma è abbinato ad WPA2 con una chiave bella tosta.
se puoi cambia metodo perche chiunque abbia 2 neuroni sarebbe in grado di clonarti il mac.

quindi praticamente parlando non funziona a nessuno dei due il pc se qualcuno si connette contemporaneamente a me giusto?

[nuovoUtente86]

Alt calme e sangue freddo.
Partiamo con ordine: il protocollo dhcp che si occupa di assegnare dinamicamente gli indirizzi ip non ha alcun obbligo (lo dice il relativo rfc) a mappare l' ip in base al mac, puo farlo o meno ma non è obbligato ergo possono essere assegnati ip differenti allo stesso mac (il dhcp lavora su target id e non su target mac..)Per assurdo puo avvenire questa situazione:
La stazione A invia una richiesta indicando il proprio mac come ID, viene negoziato l' ip, la stazione B clona il mac ma indica come target ID "pippo", il server dhcp è "obbligato" a rilasciare l' ip se nel pool ve ne sono disponibili.Non si sfugge. Senza considerare che è sempre possibile assegnare alle macchine un ip staticamente. ORa fatta questa dovuta premessa veniamo alla questione nuda e pure di cosa avviene se 2 mac si trovano nello stesso dominio broadcast (questa è la questione): vanno distinti 2 casi:
-rete a collissione (hubbed o wifi): tutto funziona tranquillamente, semplicemente perchè i commutatori di livelli 1 non hanno l' intelligenza per capire cosa avviene a livello mac e sugli end-point la differenziazione avviene a livello ip.
-rete senza collisioni: un commutatore che rilevi un conflitto mac deve semplicemente flushare la sua mac-cache, questo dicono gli rfc. Direte potrebbe droppare i frame che arrivano sulla porta non nota: no perchè non è compito suo capire (e del resto non ne ha la logica) quale sia la macchina legale e quale la spoof ed, in questa logica di black-box, l' unica contromisura attuabile è quella di buttare (secondo vari livelli di sicurezza)giù la porta su cui quel mac viene ritenuto non valido: il senso è questo "se rilevi una inconsistenza a livello mac elimini tutte le entri, se hai politiche di sicurezza sulle porte butti giu quelle incriminate, ma devi continuare a far comunicare gli altri dispositivi "

[nuovoUtente86]

Quote:

Originariamente inviato da paolo764

è vero che UNA PARTE del mac è assegnata dal produttore in base a propri criteri, ma la PRIMA PARTE dell'indirizzo è assegnata dal IEEE ( institute of elettrical and elettronical engeneer ) piu o meno con le stesse regole dell'assegnazione degli ip...e ti assicuro che anche i MAC devono essere univoci.
certo risulta piu' facile spoffare un mac....ma cosi facendo non si rispettano le regole date dall'ente.

@bartolo...fare il test è semplice. prendi 2 pc e li colleghi in rete ad uno switch. dopodiche, cambi il mac address ad uno dei due mettentogli quello dell'altro.
finito il test rimetti il mac vecchio.

ribadisco....anche se non ho mai provato...lo STP dovrebbe mettere in disable una porta.

l' STP non c' entra niente con i mac, in quanto è un protocollo intra-switch.

[paolo764]

Quote:

Originariamente inviato da nuovoUtente86

l' STP non c' entra niente con i mac, in quanto è un protocollo intra-switch.

perdonami ma ho qualche dubbio su questa tua frase. lo STP è fatto apposta per lavorare con i mac ed evitare i broadcast storm.
Serve agli switch per bloccare un mac address ( o piu mac-address ) che viene/vengono visti dietro piu path contemporaneamente.....quindi "a logica", se uno spoffa il mac di un altro pc collegato allo stesso switch, lo switch in questione si vede lo stesso mac dietro 2 path ( porte ) dello switch e dovrebbe tirarne giù una su logiche di peso delle porte o id del mac address della porta ( se non ricordo male i catalyst cisco fanno cosi ) ...e se è uno switch serio dovrebbe anche crearti una entry di log inneggiante al duplicate address .

pertanto non capisco il perchè dici che non puo centrare con il discorso fatto.

[paolo764]

Quote:

Originariamente inviato da nuovoUtente86

-rete senza collisioni: un commutatore che rilevi un conflitto mac deve semplicemente flushare la sua mac-cache, questo dicono gli rfc. Direte potrebbe droppare i frame che arrivano sulla porta non nota: no perchè non è compito suo capire (e del resto non ne ha la logica) quale sia la macchina legale e quale la spoof ed, in questa logica di black-box, l' unica contromisura attuabile è quella di buttare (secondo vari livelli di sicurezza)giù la porta su cui quel mac viene ritenuto non valido: il senso è questo "se rilevi una inconsistenza a livello mac elimini tutte le entri, se hai politiche di sicurezza sulle porte butti giu quelle incriminate, ma devi continuare a far comunicare gli altri dispositivi "

ed è quello di cui si sta discutendo qui. rete con switch ( come scritto dall'autore del 3d ).

quello che tu dici ( buttare giu le porte ) lo fa il processo di spanning tree.
che io sappia non ci sono altri "protocolli" che prendono questa decisione in maniera automatica....quindi desumo che sia proprio lo STP ad intervenire su una rete switched.

se hai evidenze di altro...sono lieto di imaprare qualcosa di nuovo.

[wizard1993]

Quote:

Originariamente inviato da paolo764

perdonami ma ho qualche dubbio su questa tua frase. lo STP è fatto apposta per lavorare con i mac e serve agli switch per bloccare un mac address ( o piu mac-address ) che viene/vengono visti dietro piu path contemporaneamente

no, serve per evitare i loop e le broad cast storm in caso questi si formino, cosa che viene riconosciuta dall'arrivo in massa di pacchetti broadcast. Inoltre è una feature non presente su tutti gli switch e disabilità di default su quella che li hanno.
Uno switch un frame lo può anche sparare su tutte le porte che ha (vedasi pacchetti di broadcast, appunto); l'importante è che non si crei un loop

[paolo764]

@nuovoutente 86

mi è venuto in nmente un test facile facile per capire se è lo STP ad intervenire oppure no.

prendi 2 pc e su uno spooffi il mac usando i tool che trovi in rete
prendi uno switch L2 cisco che sicuramente avrai in giro
prendi le 2 porte a cui sono collegati i pc e le metti in portfast.

se ho ragione.....le porte NON ti vanno in down.....ma in compenso ti dovrebbe "sedere" lo swich nel giro di pochi secondi .

in questo modo ci leviamo il dubbio ;-)

[nuovoUtente86]

Quote:

Originariamente inviato da paolo764

@nuovoutente 86

mi è venuto in nmente un test facile facile per capire se è lo STP ad intervenire oppure no.

prendi 2 pc e su uno spooffi il mac usando i tool che trovi in rete
prendi uno switch L2 cisco che sicuramente avrai in giro
prendi le 2 porte a cui sono collegati i pc e le metti in portfast.

se ho ragione.....le porte NON ti vanno in down.....ma in compenso ti dovrebbe "sedere" lo swich nel giro di pochi secondi .

in questo modo ci leviamo il dubbio ;-)

Non c' è nessun dubbio da levare, l' STP funziona secondo la logica descritta da wizard e non hanno nulla a che vedere con gli indirizzi mac che sono proprio dei client e non degli switch stessi. L' STP funziona anche quando non vi è alcun client connesso alle porte: questa è la prova principe della completa estraneità dei mac al protocollo. La sicurezza sulle porte è implementata, come già spiegato a livello utente e non a livello core del dispositivo.

[paolo764]

Quote:

Originariamente inviato da wizard1993

no, serve per evitare i loop e le broad cast storm in caso questi si formino, cosa che viene riconosciuta dall'arrivo in massa di pacchetti broadcast.

lo avevo specificato sopra che server per i bstorm...ad ogni modo, scusa i loop e broadcast storm di cosa se non del macaddress che è visto dietro 2 path differenti???

Quote:

Originariamente inviato da wizard1993

Inoltre è una feature non presente su tutti gli switch e disabilità di default su quella che li hanno.

dissento. nei Cisco ( per esempio ) è ABILITATA di default.infatti bisogna disabilitarla a mano se non si vuole.
e se non ricordo male da un po di tempo è diventato ( o sta diventando ) standard per tutti gli swich ( ma su questo dovrei controllare perche non ne sono sicuro ).

Quote:

Originariamente inviato da wizard1993

Uno switch un frame lo può anche sparare su tutte le porte che ha (vedasi pacchetti di broadcast, appunto); l'importante è che non si crei un loop

e la decisione di forwardare o meno una frame su che base viene effettuata? o sul macaddress speficico o sul broadcast.

boh, mi sembra che state facendo le pulci al nulla.

[paolo764]

Quote:

Originariamente inviato da nuovoUtente86

Non c' è nessun dubbio da levare, l' STP funziona secondo la logica descritta da wizard e non hanno nulla a che vedere con gli indirizzi mac che sono proprio dei client e non degli switch stessi. L' STP funziona anche quando non vi è alcun client connesso alle porte: questa è la prova principe della completa estraneità dei mac al protocollo. La sicurezza sulle porte è implementata, come già spiegato a livello utente e non a livello core del dispositivo.

non sono d'accordo con te, e il fatto che lo STP funzioni anche quando non ci sono client connessi non significa proprio nulla se non chè c'è un processo STP che gira. e questo cosa dovrebbe dimostrare? che siccome il protocollo è attivo allora non c'è relazione con i mac ????

ad ogni modo non voglio convincere nessuno. era solo un ragionamento su quanto esposto dall'autore del 3d che si chiedeva cosa succede su una rete switched con 2 mac address uguali ( magari a causa di spoof ).
Secondo me lo stp tira giu' le porte.
Secondo voi le porte vanno giu ( come detto da me ) ma non si sa bene il motivo o chi le tiri giu' e perche.

ciao.





edit. ho recuperato il mio vecchio libro per la CCNA ( cisco press ) usato qualche decade fa....e alla voce stp recita:


The Need for Spanning Tree
Without the Spanning Tree Protocol (STP), frames would loop for an indefinite period of
time in networks with physically redundant links. To prevent looping frames, STP blocks
some ports from forwarding frames so that only one active path exists between any pair of
LAN segments (collision domains). The result of STP is good: Frames do not loop infinitely,
which makes the LAN usable. However, the network uses some redundant links in case of a
failure, but not for balancing traffic.
To avoid loops, all bridging devices, including switches, use STP. STP causes each interface
on a bridging device to settle into a blocking state or a forwarding state. Blocking means that
the interface cannot forward or receive data frames. Forwarding means that the interface can
send and receive data frames. By having a correct subset of the interfaces blocked, a single
currently active logical path will exist between each pair of LANs.
STP behaves identically for a transparent bridge and a switch. So, the terms bridge, switch,
and bridging device all are used interchangeably when discussing STP.
A simple example makes the need for STP more obvious. Remember, switches forward
frames sent to both unknown unicast MAC addresses and the broadcast address, out all
interfaces (except the incoming interface). Figure 9-10 shows that a single frame, sent by
Larry, loops forever because the network has redundancy but no STP.

( qua c'era il disegno della rete che vi ometto per praticità)

Larry sends a single unicast frame to Bob’s MAC address, but Bob is powered off, so none
of the switches has learned Bob’s MAC address yet. Bob’s MAC address would be an
unknown unicast address at this point in time. Therefore, frames addressed to Bob’s MAC
address will be forwarded by each switch out every port. These frames will loop forever—or
at least until time is no more! Because the switches never learn Bob’s MAC address
(remember, he’s powered off and can send no frames), they keep forwarding the frame out
all ports, and copies of the frame go around and around.
Similarly, bridges and switches forward broadcasts on all interfaces, so if any of the PCs sent
a broadcast, the broadcast would loop indefinitely as well.
One way to solve this problem is to design the LAN with no redundant links. However, most
network engineers will not design a multiswitch campus LAN without physical redundancy
between the switches, similar to the network in Figure 9-10. Eventually, a switch or a link
will fail, and you want the network to still be available. The right solution includes bridged/
switched networks with physical redundancy, using STP to dynamically block some
interface(s) so that only one active path exists between two endpoints at any instant in time.



e continua, continua, continua spiegando il ruolo delle bpdu e dei mac nello STP......
se vi va fatevi un ripasso. mi sono accorto di aver dimenticato tante cose che ai tempi sapevo bene.

[wizard1993]

apparte sono un certificato ccna anche io, non vedo una sola frase che confermi quello che dici. Io leggo solo che per evitare un b storm e local loop esiste l'stp, se ci sono due porte con il medesimo mac semplicemente si assiste ad una duplicazione di un frame unicast. Il vero destinatario sarà poi discriminato a seconda dell'indirizzo ip di destinazione a livello 3.