--- Gio 10/9/09, [email protected] <[email protected]> ha scritto:
> Secondo me non ci siamo capiti. > Diciamo che nella compagnia XY ci siano degli impiegati > a,b,c un > giorno,l'impiegato c si sveglia troppo allegro e decide di > fare > qualche scherzetto ai suoi colleghi,avvia ettercap e > comincia a > poisonare a & b conducendo un MITM. > Essendoci dunque l'amministratore che "incolla" i mac > address di a,b e > c sullo switch che cosa cambia? Infatti, non ci siamo capiti. Quello che hai scritto sopra non è la stessa cosa che ho scritto io, qui sotto? > Come si può notare l'attacker invia solo frame > contenenti il come MAC sorgente il suo MAC reale. Lo switch, > anche con portsecurity attivo a max 1, se l'attaccante è il > primo a presentarsi su quella porta ed è abilitato a > trasmettere(*), permette l'attacco. "ed è abilitato a trasmettere" implica che il che l'amministratore ha concesso il diritto a quel determinato MAC, il tuo impiegato dell'esempio, a trasmettere. Fino a qui diciamo la stessa cosa. Ora supponiamo che l'impiegato (a) del tuo esempio è malato e non si presenta in ufficio --> ciò implica che la porta dello switch ha rimosso per timeout il MAC di (a), perchè il PC è spento. Supponiamo anche che in questa azienda arrivi un consulente "vispo", vede che (a) non è presente, e pensa bene di attaccare il suo portatile al posto del PC di (a). Lo switch gli permette l'accesso essendo il suo il primo MAC che si presenta su quella porta. Se consulente inizia a fare un arp poisoning, lo switch glielo permette. Ora supponiamo che l'amministratore dello switch abbia configurato staticamente il MAC del PC di (a) sulla porta di competenza. Cosa succede se il consulente cerca di connettersi al posto di (a)?. Lo switch non abilita la porta. Ecco abbiamo prevenuto l'arp poisoning. Alfredo _______________________________________________ http://cug.areanetworking.it [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
