R: R: [security] arpspoof su switch

[Davide Bianco]

--- "Ivan Di Giacomo" <digiacomo a apat.it> wrote:

Quando differenzio "rete switched" da "rete flat" mi riferisco esclusivamente al diverso modo di passare pacchetti tra un host e l'altro, mentre in una rete flat viene presentato tipo mercato "Ehi, di chi e' questo pacchetto ?" in una rete switched l'apparato utilizza paramentri piu' specifici per passare il pacchetto (vedi VLAN, Host-List, ecc.) . E' normale che non mi sono voluto addentrare in una spiegazione tecnica, uno per mancanza di tempo, due perche' volevo prima leggere un thread che introducesse l'arp-spoof in maniera piu' chiara (non sono mai stato un ottimo 'introduttore d'argomenti). Cmq, provando a farla semplice, basta implementare una arp-table (o arp-cache) statica che gia' la vita per lo spoofer diventa difficile :-)
Quindi con una particolare attenzione alla configurazione di rete:
rete switched - VLAN, VLAN-manage, arp-table statica, blocco mac su porte (possibile con alcuni apparati, non con tutti purtroppo). Ecco che la vita degli spoofer diventa difficoltosa.
Ivan <aka> giaco


Effettivamente fai bene a differenziare le reti flat da quelle switched - per carita'.
Pero' purtroppo - parlando di layer2 come si sta facendo in questo caso - le contromisure per lo spoofing su una LAN - sia switched che(ancora di piu') flat - sono ancora perfettamente bypassabili - e le stesse contromisure alcune volte non si possono applicare o sono inaffidabili.
Per fare un esempio citerei il ' blocco mac su porte ' - che imo è una misura piuttosto magra ed inefficace - visto che per qualasi apparato che non veda oltre il layer2 qualsiasi pacchetto inoltrato è LEGALE.
Per fare un altro esempio - ti cito l'arp table statica.
Questo certamente rende la vita ad uno spoofer piu' difficoltosa - ma rimane il fatto che mica dappertutto è attuabile - per fare un esempio:
no su grandi LAN come quelle di una universita'
no dhcp...

Insomma - la cosa rimane anche un po' magra alla fine.
Come cigliegina sulla torta bisogna fare attenzione a dimenticare il port stealing - che è pienamente supportato dal famosissimo ettercap - e benchè non dia l'affidabilita' di un attacco di arp poisoning rimane un buon mezzo.

Spero che qualcuno continui questa discussione - poichè è interessante e non parlare piu' in merito di questo argomento dopo averlo intavolato sarebbe poco bello.

In attesa di un Vs parere porgo a tutta la lista,
Distinti Saluti.
Davide BIANCO

 



_____________________________________________________________
Linux.Net -->Open Source to everyone
Powered by Linare Corporation
http://www.linare.com/