[Tech] ok più info x la scheda di rete

leonardo billtorvalds1@yahoo.it
Mar 20 Apr 2004 00:13:40 CEST


* lunedì 19 aprile 2004, alle 20:22, Marco Ermini scrive:
> leonardo disse:

ti rispondo perche' penso che qualcuno che legge cose inesatte potrebbe
prenderle per buone, poi smetto come ho detto in passato.

> > Poi i denial of service che puoi fare a livello MAC e i
> > problemi di gestione degli accessi non li risolvi cosi'.
> 
> Non li risolvi proprio...

questa e' una tua opione, discutibile, sopratutto sul controllo degli accessi.

> >
> > epidermico un par di p###e.
> 
> A parte le scurrilità, il problema è proprio epidermico.

mi scuso con chi si e' sentito offeso dal mio fallocentrismo, o
sferocentrismo che dir si voglia :-)
il problema rimane tuttaltro che epidermico.

> La crittografia wifi è implementata a vari livelli, dipende dal
> protocollo. Tu la stai semplificando un po' eccessivamente: nel caso del
> wifi non ci sono solo arp ed IP come nelle reti "cablate" come le ho
> definite, e comunque non sono certo immuni dallo spoofing degli IP, dalla
> falsificazione dei MAC e dallo sniffing del traffico, anzi.

la crittografia nelle WLAN e' implementata a livello MAC. il resto sono
strumenti che puoi utilizzare in qualsiasi altra rete.

> Non so se mi sono spiegato: se tu hai la possibilità di attaccarti
> fisicamente ad uno switch ethernet, in teoria puoi sniffare già senza
> avere un IP una serie di protocolli spesso propagati in broadcast (ARP,
> bootp, tftp ecc.) e "spoofare" mac address già presenti in rete: non
> esiste alcun controllo di accesso nel link layer e nel trasport layer),
> cosa che invece in teoria per le reti wifi c'è.

la pila osi non e' opinabile. le reti wireless non hanno niente a che
vedere con lo strato di trasporto. 
Inoltre lo standard 802.1X esiste a priori e lo puoi utilizzare per
autenticazione a livello mac in ethernet, cosi' come potresti utilizzare 
PPPoE.
 

> > Per non parlare, al solito,
> > di denial of service, accessi difficili da controllare... la
> > crittografia sulle reti wifi risolve (male) dei problemi che sulle wired
> > non ci sono,
> 
> Ci sono eccome, anzi mi pare che tu li dia troppo per scontati...

il problema e' quello delle autenticazioni a livello MAC. per reti wired di
piccola dimensione e' un problema che non c'e', se fissi delle acl sullo
switch per permettere di far passare solo un MAC per porta la cosa e'
risolta, se io attacco il mio portatile allo switch ricevo il traffico
per il mio MAC ma non quello per gli altri, e non posso spoofare il MAC
perche' lo switch non mi fa uscire. se non posso spoofare il MAC me ne
faccio poco del traffico ARP o broadcast ethernet. per reti grandi
ovviamente tutto questo e' poco gestibile, quindi si possono usare i
protocolli di cui sopra.
 
per le reti wireless invece c'e' *sempre* e molto piu' grave perche'
coinvolge anche il parcheggio sotto casa tua, o sotto la sede della 
telecom. 


> > quindi dire che e' meglio e' come dire che un piccolo poggio
> > e una grossa buca fa meglio che pari.
> 
> Non dico che è meglio ma che è _potenzialmente_ meglio. Come spiegavo
> prima, quello che manca sono due cose:
> 
> 1) protocolli veramente sicuri, e

no. i protocolli sono gli stessi che potresti applicare alle reti
wired, solo che nelle reti wireless sono meno sicuri perche' ci sono
certi pacchetti che non sono cifrati (leggi pacchetti di
management/controllo) e perche' non si limita al perimetro dell'edificio. 
Per le reti wired il problema se lo pone solo chi ha una grande impresa,
per le wireless se lo sono posti fin dal rincipio in fase di progetto e
non e' facile da risolvere.

> 2) l'_enforcing_ di tali protocolli.
> 
> Per esempio il Cisco LEAP ha anche una (relativa) protezione da certi tipi
> di attacchi a cui gli altri protocolli sono sensibili a livello di
> autenticazione utente (come i dictonary o brute force attack, che dir si
> voglia).

che cosa sia una "relativa" protezione da attacchi di forza bruta non lo
so. so pero' che LEAP si e' dimostrato vulnerabile ai dictionary attack.

http://www.cisco.com/warp/public/707/cisco-sn-20030802-leap.shtml
http://asleap.sourceforge.net/

ciao,
leonardo.

-- 

	   www.lilik.it/users/leonardo
0C5F B8DE 3136 1506 96D0  1806 7674 D513 A66E 7854



Maggiori informazioni sulla lista flug-tech