Re: [ml] Nac & Mac

[Marco Ermini]

Ciao "tag 636".

AFAIK, VMware e Cisco usano dei normalissimi tag simili alle VLAN.
Non si tratta di session-tracking, ovvero, non esiste alcuna
"security" in questi tunnel, nel senso che AFAIK non esiste una
autenticazione che venga propagata e verificata in un modo simile ad
un session ID, e non mi pare esista nemmeno un controllo di integrità
specifico per il protocollo.

Che io sappia, almeno, se poi sei in grado di indicarmi meglio come
funziona e dove leggere di più, sono felice di imparare qualcosa di
nuovo - è difficile rimanere aggiornati su tutto :-)

Mi sembra comunque logico che questa integrità a livello di Layer-2
non esista o sia per lo meno proprietaria, perché da quel che ne so
(anche qui accetto volentieri correzioni) le best practices per
integrate VMware con Cisco vSwitch richiedono l'uso di normalissime
VLAN per separare e ridistribuire il traffico.  Se esistesse un
protocollo o un qualche header che aggiungesse una autenticazione ed
integrità, e la verificasse per ogni frame trasmesso, a parte il fatto
che trasformerebbe una rete da 10Gbit/sec in una dial-up da vecchi
modem da 33.6 Kbaud :-) ma dovrebbe anche essere automaticamente
gestita (come indicavi giustamente tu) dagli hypervisor ed essere
compatibile tra diversi vendor (esempio Cisco <-> VMware <-> Juniper).


Ciao e grazie!


2016-10-12 0:25 GMT+02:00 tag 636 :
> //meccanismo di tipo session-tracking per il traffico di rete Layer-2
> non mi risulta esistere, ancora...
>
> esiste e come...lo usano da tempo per isolare containers che possono fare
> cross talking.
> Session e' a L7 e Vlan e' L2, quindi teoricamente non potrebbe, ma SDN e NFV
> lo ha reso possibile...Vmware and Cisco lo fanno con NSX e ACI, adesso lo
> vogliono fare anche integrato direttamente a livello di
> hypervisor/vswitch



-- 
Marco Ermini



CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Nac & Mac

[Andrea Dainese]

Il giorno 11 ottobre 2016 09:32, Marco Ermini  ha
scritto:

> Certo, ma ancora, non stai spoofando il certificato.
>

Corretto, ma non è necessario.

A quel punto, dovrebbero subentrare altri meccanismi, tipo port
> security, o filtri di traffico intelligenti.  Oggi la buzzword è
> "microsegmentation".
>

Preferisco "isolamento" :)
(troppo lungo disquisire qui e probabilmente off topic)

Andrea
-- 
In loving service to Sai - Ho Ho Ha Ha

To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin
Do your work, then step back. The only path to serenity. - Lao Tzu
The higher we soar the smaller we appear to those who cannot fly. - F.
Nietzsche

http://www.routereflector.com/

Re: [ml] Nac & Mac

[Marco Ermini]

Certo, ma ancora, non stai spoofando il certificato.

A quel punto, dovrebbero subentrare altri meccanismi, tipo port
security, o filtri di traffico intelligenti.  Oggi la buzzword è
"microsegmentation".

Un meccanismo di tipo session-tracking per il traffico di rete Layer-2
non mi risulta esistere, ancora...

Cordiali saluti

2016-10-07 16:00 GMT+02:00 Andrea Dainese :
> Il giorno 5 ottobre 2016 19:05, Marco Ermini  ha
> scritto:
>>
>> Beh, insomma, un certificato non è esattamente semplice da spoofare...
>
>
> Non parlo del certificato, ma del fatto che, una volta che il client è
> autenticato, il dispositivo in mezzo può usare la connessione in modo
> trasparente. Infatti 802.1x non autentica il traffico, ma il client, e se la
> porta è autenticata, fino al prossimo timeout, non c'è controllo.
> Infatti quel tipo di dispositivi, si mette in mezzo in modo trasparente da
> ambo le parti, lascia che il client si autentichi allo switch, e una volta
> fatto, si mette in mezzo usando la rete.
> Ce ne sono che usano semplicemente una rete diversa per il client con una
> NAT, lasciando passare integra l'autenticazione 802.1x, ce ne sono altri più
> intelligenti che di fatto iniettano pacchetti come se provenissero dal
> client legittimo.
> Ciao
>
> Andrea
> --
> In loving service to Sai - Ho Ho Ha Ha
>
> To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin
> Do your work, then step back. The only path to serenity. - Lao Tzu
> The higher we soar the smaller we appear to those who cannot fly. - F.
> Nietzsche
>
> http://www.routereflector.com/



-- 
Marco Ermini



CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Nac & Mac

[Andrea Dainese]

Il giorno 5 ottobre 2016 19:05, Marco Ermini  ha
scritto:

> Beh, insomma, un certificato non è esattamente semplice da spoofare...


Non parlo del certificato, ma del fatto che, una volta che il client è
autenticato, il dispositivo in mezzo può usare la connessione in modo
trasparente. Infatti 802.1x non autentica il traffico, ma il client, e se
la porta è autenticata, fino al prossimo timeout, non c'è controllo.
Infatti quel tipo di dispositivi, si mette in mezzo in modo trasparente da
ambo le parti, lascia che il client si autentichi allo switch, e una volta
fatto, si mette in mezzo usando la rete.
Ce ne sono che usano semplicemente una rete diversa per il client con una
NAT, lasciando passare integra l'autenticazione 802.1x, ce ne sono altri
più intelligenti che di fatto iniettano pacchetti come se provenissero dal
client legittimo.
Ciao

Andrea
-- 
In loving service to Sai - Ho Ho Ha Ha

To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin
Do your work, then step back. The only path to serenity. - Lao Tzu
The higher we soar the smaller we appear to those who cannot fly. - F.
Nietzsche

http://www.routereflector.com/

Re: [ml] Nac & Mac

[Marco Ermini]

Se stai solo facendo dei test sulla tua rete aziendale "alla cieca",
tieni conto che ci possono essere molti altri meccanismi a parte NAC
che non ti permettono di cambiare MAC address a piacimento - per
esempio molto banalmente port security.


Cordiali saluti

2016-09-27 10:32 GMT+02:00 Kirys :
> On 27/09/2016 10:10, Igor Falcomata' wrote:
>>
>> On Tue, Sep 27, 2016 at 09:30:07AM +0200, Kirys wrote:
>>
>>> Devo dire che ilo spoof del mac mi manda fuori rete compleamente, ma
>>> potrebbe essere NetworkManager che già di suo mi da rogne ^_^' per questo
>>> cercavo qualche dispositivo col mac riprogrammabile.
>>
>> Se non ricordo male mi sembra che nelle ultime release di Network
>> Manager (che non uso) abbiano aggiunto la possibilità di cambiare il mac
>> address direttamente dall'interfaccia.
>
>
> si è quello che avevo provato, e non so se mi caccia il nac o si perde
> network manager...
>
>> Altrimenti stoppi network-manager, stoppi wpa_supplicant, killi dhclient
>> o simile, metti "down" l'interfaccia e cambi il mac address "a mano" con
>> macchanger o ifconfig.
>
>
> Volevo provare proprio quello, appena possibile.
>
>> Ovviamente e' opportuno *NON* metterti a giocare con queste cose se non
>> sei autorizzato a farlo su quella rete (p. es. la rete dell'azienda per
>> cui lavori, etc.) !!
>
>
> a dire il vero sono in una linea che, tra le varie cose, dovrebbe fare le
> "verifiche di sicurezza informatica".
> Poi alla fine sto solo vedendo se spoffando vedo o meno la rete aziendale
> non andrò oltre di certo, anche perchè non ne ho la competenza e
> l'esperienza e non voglio fare cose che possano arrecare danno.
>
> Saluti
>
> K.
> 
> http://www.sikurezza.org - Italian Security Mailing List
>



-- 
Marco Ermini



CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Nac & Mac

[Marco Ermini]

Beh, insomma, un certificato non è esattamente semplice da spoofare...


Cordiali saluti

2016-09-27 6:03 GMT+02:00 Massimo Baschieri :
>>Adesso tra le cose sto cercando un dispositivo di rete usb che mi permetta
>> di cambiare il mac (stavolta address) onde escludere il caso di >whitelist
>> basata su questo.
>
> ISE è dotato di un sistema di profilazione dei dispositivi e dei sistemi
> operativi che può tenere conto di vari fattori, come ad esempio il mac
> address, dhcp fingerprint, http user agent e altri, compresa anche, volendo,
> una scansione nmap.
>
> Non ho mai fatto dei test in merito, ma per quanto complessa sia la regola
> di profilazione si basa su informazioni che a lumi sono tutte spoofabili,
> quindi non credo sia saggio dare accesso diretto alla rete interna tramite
> la sola profilazione.
>
> Solitamente la profilazione “pura” si usa per riconoscere e relegare nelle
> loro vlan ad accesso limitato dispostivi come telefoni, stampanti, ecc…
>
>
>
> Saluti.
>
> M.



-- 
Marco Ermini



CISSP, CISA, CISM, CEH, ITIL, PhD
http://www.linkedin.com/in/marcoermini

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Nac & Mac

[Andrea Dainese]

Il giorno 26 settembre 2016 21:08, Kirys  ha scritto:

> Allora per quanto ne so questa è la situazione aziendale (per inciso
> Cisco), ad esempio le macchine windows richiedono un certificato per
> l'autenticazione 802.1x altrimenti sono sparate su una vlan che permette il
> solo accesso a internet.
> Tuttavia ho notato che i consulenti che hanno un mac accedono alla rete
> interna senza bisogno di tale certificato (il personale aziendale è tutto
> windows fatta eccezione alcuni "eccellenti" che presumo siano causa della
> questione).
> Per inciso i mac dei consulenti in questione non possono aver installato
> alcunchè in quanto non avevano ricevuto alcun intervento dal personale it
> che gestisce la rete.
>

Probabilmente usano la funzione MAB (MAC Authentication Bypass), ossia se
il dispositivo collegato non invia/risponde con 802.1x, lo switch prende il
MAC address e lo usa come nome utente passandolo al RADIUS server.

Adesso tra le cose sto cercando un dispositivo di rete usb che mi permetta
> di cambiare il mac (stavolta address) onde escludere il caso di whitelist
> basata su questo.
>

Se stai facendo test autorizzati, ti consiglio anche una cosa del genere:
http://shellsherpa.nl/nac-bypass-8021x-or-beagle-in-the-middle
Se usano ISE, hanno forse una buona sicurezza (implementata ad altri
livelli), ma poichè ISE costa, è probabile che esita un NAC alla buona che
ha più buchi che altro.

Andrea
-- 
In loving service to Sai - Ho Ho Ha Ha

To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin
Do your work, then step back. The only path to serenity. - Lao Tzu
The higher we soar the smaller we appear to those who cannot fly. - F.
Nietzsche

http://www.routereflector.com/

Re: [ml] Nac & Mac

[Kirys]

On 27/09/2016 10:10, Igor Falcomata' wrote:

On Tue, Sep 27, 2016 at 09:30:07AM +0200, Kirys wrote:


Devo dire che ilo spoof del mac mi manda fuori rete compleamente, ma
potrebbe essere NetworkManager che già di suo mi da rogne ^_^' per questo
cercavo qualche dispositivo col mac riprogrammabile.

Se non ricordo male mi sembra che nelle ultime release di Network
Manager (che non uso) abbiano aggiunto la possibilità di cambiare il mac
address direttamente dall'interfaccia.


si è quello che avevo provato, e non so se mi caccia il nac o si perde 
network manager...



Altrimenti stoppi network-manager, stoppi wpa_supplicant, killi dhclient
o simile, metti "down" l'interfaccia e cambi il mac address "a mano" con
macchanger o ifconfig.


Volevo provare proprio quello, appena possibile.


Ovviamente e' opportuno *NON* metterti a giocare con queste cose se non
sei autorizzato a farlo su quella rete (p. es. la rete dell'azienda per
cui lavori, etc.) !!


a dire il vero sono in una linea che, tra le varie cose, dovrebbe fare 
le "verifiche di sicurezza informatica".
Poi alla fine sto solo vedendo se spoffando vedo o meno la rete 
aziendale non andrò oltre di certo, anche perchè non ne ho la competenza 
e l'esperienza e non voglio fare cose che possano arrecare danno.


Saluti
K.

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Nac & Mac

[Igor Falcomata']

On Tue, Sep 27, 2016 at 09:30:07AM +0200, Kirys wrote:

> Devo dire che ilo spoof del mac mi manda fuori rete compleamente, ma
> potrebbe essere NetworkManager che già di suo mi da rogne ^_^' per questo
> cercavo qualche dispositivo col mac riprogrammabile.

Se non ricordo male mi sembra che nelle ultime release di Network
Manager (che non uso) abbiano aggiunto la possibilità di cambiare il mac
address direttamente dall'interfaccia.

Altrimenti stoppi network-manager, stoppi wpa_supplicant, killi dhclient
o simile, metti "down" l'interfaccia e cambi il mac address "a mano" con
macchanger o ifconfig.

Ovviamente e' opportuno *NON* metterti a giocare con queste cose se non
sei autorizzato a farlo su quella rete (p. es. la rete dell'azienda per
cui lavori, etc.) !!

bye,
K.

http://www.sikurezza.org - Italian Security Mailing List

Re: [ml] Nac & Mac

[Kirys]

On 24/09/2016 22:51, Andrea Dainese wrote:


Il giorno 23 settembre 2016 09:33, Kirys > ha scritto:


Una domanda

Sto facendo delle verifiche "amatoriali" e autorizzate.

Nel sistema NAC credo ci sia una sorta di white list che permette
ai pc apple di accedere alla rete indipendentemente se è o meno
"aziendale".


NAC puo' assumere tanti significanti quante sono le menti pensanti. Ad 
ogni modo le linee generali vogliono che un sistema di NAC preveda di 
autenticare e autorizzare i dispositivi connessi alle reti cablate e 
wireless, assegnando solamente l'accesso necessario. Solitamente ci si 
basa su 802.1x, anche se esistono sistemi, piu' o meno casalinghi, che 
si basano su MAC address, e un sistema di assegnazione dinamica delle 
VLAN (per le reti cablate).
Esistono soluzioni piu' o meno complesse che risolvono 
l'inaffidabilità di 802.1x aggiungendo altri controlli che dovrebbero 
garantire una migliore affidabilità (credo che il piu' completo da 
questo punto di vista sia Cisco ISE).


Allora per quanto ne so questa è la situazione aziendale (per inciso 
Cisco), ad esempio le macchine windows richiedono un certificato per 
l'autenticazione 802.1x altrimenti sono sparate su una vlan che permette 
il solo accesso a internet.
Tuttavia ho notato che i consulenti che hanno un mac accedono alla rete 
interna senza bisogno di tale certificato (il personale aziendale è 
tutto windows fatta eccezione alcuni "eccellenti" che presumo siano 
causa della questione).
Per inciso i mac dei consulenti in questione non possono aver installato 
alcunchè in quanto non avevano ricevuto alcun intervento dal personale 
it che gestisce la rete.
Questa cosa nella mia testa è, seguendo il "lemma delle mele marce", 
equivalente a non avere il nac e volevo capire che regola potessere 
essere stata impletamentata per riconoscere i mac (i noc è muto a 
riguardo) per vedere se era possiibile "simulare" un mac in modo da 
dimostrare come tale situazione potesse far accedere qualsiasi pc alla 
intranet indipendentemente dall'os (che acceda già qualsiasi mac è molto 
probabile dal campione osservato).


Adesso tra le cose sto cercando un dispositivo di rete usb che mi 
permetta di cambiare il mac (stavolta address) onde escludere il caso di 
whitelist basata su questo.


Grazie per l'attenzione
Saluti
K.

Re: [ml] Nac & Mac

[Andrea Dainese]

Il giorno 23 settembre 2016 09:33, Kirys  ha scritto:

> Una domanda
>
> Sto facendo delle verifiche "amatoriali" e autorizzate.
>
> Nel sistema NAC credo ci sia una sorta di white list che permette ai pc
> apple di accedere alla rete indipendentemente se è o meno "aziendale".
>

NAC puo' assumere tanti significanti quante sono le menti pensanti. Ad ogni
modo le linee generali vogliono che un sistema di NAC preveda di
autenticare e autorizzare i dispositivi connessi alle reti cablate e
wireless, assegnando solamente l'accesso necessario. Solitamente ci si basa
su 802.1x, anche se esistono sistemi, piu' o meno casalinghi, che si basano
su MAC address, e un sistema di assegnazione dinamica delle VLAN (per le
reti cablate).
Esistono soluzioni piu' o meno complesse che risolvono l'inaffidabilità di
802.1x aggiungendo altri controlli che dovrebbero garantire una migliore
affidabilità (credo che il piu' completo da questo punto di vista sia Cisco
ISE).

Escludendo che sia basato sui mac address su cosa può basarsi questa regola?
>

802.1x con username/password piuttosto che certificati. Possono poi
aggiungersi particolari software in esecuzione sugli endpoint che
garantiscono una migliore affidabilità.

Andrea
-- 
In loving service to Sai - Ho Ho Ha Ha

To respect the cat is the beginning of the aesthetic sense. - Erasmus Darwin
Do your work, then step back. The only path to serenity. - Lao Tzu
The higher we soar the smaller we appear to those who cannot fly. - F.
Nietzsche

http://www.routereflector.com/