>> Ma lo riesci a prevenire solo in questo strettissimo >> caso > Ho solo detto perchè, IMHO, la domanda del test prevede come risposta anche > il portsecurity. > Quel "anche" è la key word di tutto. > La sicurezza, e in particolare quella informatica, non è solo l'utilizzo di > tecnicismi, come l'hardening di uno switch, ma è un processo, complesso, che > tende ad abbracciare vari aspetti: analisi dei rischi, bilanciamento costo > benefici (perchè non dimentichiamolo che aumentare la sicurezza di un sistema > ha un costo sia economico sia di utilizzabilità del sistema stesso), > creazione di una policy che gli utenti devono rispettare, ecc. > > E per tornare a bomba alla tua risposta, non è uno strettissimo caso, è la > maggioranza dei casi. Quante LAN hai visto che bloccano l'accesso a un PC > esterno (magari il laptop personale del disgrutled employee). Veramente poche. > Ma se tu inizi a segmentare la rete con VLAN, le VLAN le connetti via > firewall, sulle porte degli switch attivi il portsecurity (o ancora meglio il > 802.1X), sui PC utenti blocchi l'installazione di software non autorizzato e > inserisci la password di BIOS al boot, rack posti sotto chiave; mi dici > quante possibilità ha l'attaccante di portare al termine un attacco arp > poisoning, anche se è fisicamente sulla LAN? > Io dico quasi nulle. > > Alfredo
E comunque queste ovvietà da manuale sono fantascienza. > Intendiamoci, non ho detto che facendo il portsecurity + lo sticky sua una > rete, queste è sicura. Non stiamo discutendo sulla sicurezza o meno della rete,ma del fatto che il puro semplice e non dinoccolato Port Security possa prevenire l'arp poisoning. Poi vicino i rack ci puoi anche mettere un pitbull volendo,ma rimane il fatto che il portsecurity da solo non previene l'arp poisoning. E comunque basterebbe un live cd nello scenario da te descritto.
_______________________________________________ http://cug.areanetworking.it [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
