[Lugge] Switched Lan Security

  • From: "theblackangel" <theblackangel@xxxxxxxx>
  • To: "lugge" <lugge@xxxxxxxxx>
  • Date: Tue, 1 Jul 2003 21:23:58 +0200

Salve a tutti, 
queste poche righe che seguono sono una precisazione di quanto detto
nel Workshop su Tecniche di Sniffing.

Nel corso della serata abbiamo parlato di ambienti "switched lan" e
relativa sicurezza.
Una tecnica vista è stata quella del cosidetto arp spoofing ovvero,
tecnica che consiste nel forgiare dei pacchetti ARP (Address
Resolution Protocol) con lo scopo di frapporsi tra due macchine,
ovvero per realizzare un attacco di tipo Man in the Middle (MIM),
letteralmente uomo in mezzo.
Se volessimo schematizzare potremmo farlo così:

situazione normale :
        -------                          
       |       |
A----->|Switch |<--------B
       |       |
        -------         
           ^---------Attaccker

situazione compromessa (dopo arp spoofing):


        -------                          
       |       |
A----->|Switch |<--------B
   *   |       |      + 
   *    -------       +  
   *        ^---------Attaccker
   ******************* 

L'attacker inganna A, e lo switch, in maniera tale che si crea un
circuito virtuale (interno allo switch, disegnato con *) tra A e
l'attaccker, o B fasullo se preferite.
L'attacker ha in questo caso il flusso dati che viaggia verso di lui
quindi può osservarlo, naturalmente l'attacker si preoccuperà di
inoltrare il traffico a B ( + nel disegno ).

Un tool che utilizzabile per sniffing su switched lan è l'ottimo
ettercap, sviluppato da due italiani, che trovate qui
ettercap.sourceforge.net 

Maggiori informazioni sulla tecnica MIM le potete trovare qui:
http://www.blackhats.it/it/papers/Paper-mitm.pdf [ in italiano ! ]


Altra tecnica, di cui non si è parlato nel workshop per motivi di
tempo e perchè me ne sono scordato :D è quella del MAC FLOODING.
Rispetto alla prima è molto meno elegante, il suo funzionamento è
questo si manda una grande quantità di informazioni contenti MAC
address, pacchetti ARP, e dato che la tabella interna dello switch ha
a disposizione spazio limitato è facile che la tebella venga riscritta
con dati fasulli  e spesso ingestibili dallo switch data la loro
quantità.A questo punto le prospettive sono due , o lo switch va in
crash o si comporta come un HUB mandando in broadcast tutti i
pacchetti ed è quindi possibile fare sniffing come nel caso di rete
dotata di hub.
In effetti è molto probabile che lo switch si comporti da hub, perche
questo è quello che fa ogni volta che noi lo spegnamo e lo
riaccendiamo, ovvero si mette nella fase di learning per "imparare
com'è fatta" la rete a cui è collegato.

Bene alcune precisazioni che ci tenevo a fare, 
quando avrò tempo magari vi scrivo qualcosa sulle VLAN.

Saluti
Gianluka 




--
Email.it, the professional e-mail, gratis per te: http://www.email.it/f

Sponsor:
Il più vasto assortimento di strumenti ottici online è solo su Miotti.it!
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=1450&d=1-7
========----------

 Prima di scrivere in m-list per favore leggi il regolamento
 http://www.lugge.net/soci/index.php?link=manifesto.htm#list

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

 Modifica dell'account su freelists
 http://www.freelists.org/cgi-bin/lsg2.cgi

----------=======
 Orari di apertura della sede e come arrivarci:
 http://www.lugge.net/soci/index.php?link=sede.htm




Other related posts:

  • » [Lugge] Switched Lan Security