Certo, ma ancora, non stai spoofando il certificato. A quel punto, dovrebbero subentrare altri meccanismi, tipo port security, o filtri di traffico intelligenti. Oggi la buzzword è "microsegmentation".
Un meccanismo di tipo session-tracking per il traffico di rete Layer-2 non mi risulta esistere, ancora... Cordiali saluti 2016-10-07 16:00 GMT+02:00 Andrea Dainese <[email protected]>: > Il giorno 5 ottobre 2016 19:05, Marco Ermini <[email protected]> ha > scritto: >> >> Beh, insomma, un certificato non è esattamente semplice da spoofare... > > > Non parlo del certificato, ma del fatto che, una volta che il client è > autenticato, il dispositivo in mezzo può usare la connessione in modo > trasparente. Infatti 802.1x non autentica il traffico, ma il client, e se la > porta è autenticata, fino al prossimo timeout, non c'è controllo. > Infatti quel tipo di dispositivi, si mette in mezzo in modo trasparente da > ambo le parti, lascia che il client si autentichi allo switch, e una volta > fatto, si mette in mezzo usando la rete. > Ce ne sono che usano semplicemente una rete diversa per il client con una > NAT, lasciando passare integra l'autenticazione 802.1x, ce ne sono altri più > intelligenti che di fatto iniettano pacchetti come se provenissero dal > client legittimo. > Ciao > > Andrea > -- > In loving service to Sai - Ho Ho Ha Ha > > To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin > Do your work, then step back. The only path to serenity. - Lao Tzu > The higher we soar the smaller we appear to those who cannot fly. - F. > Nietzsche > > http://www.routereflector.com/ -- Marco Ermini CISSP, CISA, CISM, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
