Certo, ma ancora, non stai spoofando il certificato.

A quel punto, dovrebbero subentrare altri meccanismi, tipo port
security, o filtri di traffico intelligenti.  Oggi la buzzword è
"microsegmentation".

Un meccanismo di tipo session-tracking per il traffico di rete Layer-2
non mi risulta esistere, ancora...

Cordiali saluti

2016-10-07 16:00 GMT+02:00 Andrea Dainese <andrea.dain...@gmail.com>:
> Il giorno 5 ottobre 2016 19:05, Marco Ermini <marco.erm...@gmail.com> ha
> scritto:
>>
>> Beh, insomma, un certificato non è esattamente semplice da spoofare...
>
>
> Non parlo del certificato, ma del fatto che, una volta che il client è
> autenticato, il dispositivo in mezzo può usare la connessione in modo
> trasparente. Infatti 802.1x non autentica il traffico, ma il client, e se la
> porta è autenticata, fino al prossimo timeout, non c'è controllo.
> Infatti quel tipo di dispositivi, si mette in mezzo in modo trasparente da
> ambo le parti, lascia che il client si autentichi allo switch, e una volta
> fatto, si mette in mezzo usando la rete.
> Ce ne sono che usano semplicemente una rete diversa per il client con una
> NAT, lasciando passare integra l'autenticazione 802.1x, ce ne sono altri più
> intelligenti che di fatto iniettano pacchetti come se provenissero dal
> client legittimo.
> Ciao
>
> Andrea
> --
> In loving service to Sai - Ho Ho Ha Ha
>
> To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin
> Do your work, then step back. The only path to serenity. - Lao Tzu
> The higher we soar the smaller we appear to those who cannot fly. - F.
> Nietzsche
>
> http://www.routereflector.com/



-- 
Marco Ermini



CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a