[Tech] firewall trasparente

Andrea Zagli azagli@inwind.it
Ven 10 Ago 2007 19:04:02 CEST 

Il giorno ven, 10/08/2007 alle 18.00 +0200, Silvio Relli ha scritto:
> Andrea Zagli wrote:
> > Il giorno ven, 10/08/2007 alle 14.12 +0200, a.podavini@mclink.it ha
> > scritto:
> >> Quoting Marco Ermini <markoer@markoer.org>:
> >>
> >>> On 8/7/07, Silvio Relli <admin@rello.it> wrote:
> >>> [...]
> >>>> Effettivamente questo tipo di filtraggio è aggirabile tramite
> >>>> mac-spoofing.
> >>> [...]
> >>>
> >>> Molto dura. Potrai forse fare spoofing per qualche pacchetto, ma
> >>> escludo che tu possa avere una rete usabile falsificando il tuo MAC
> >>> address :-)
> >>>
> >> E perche' mai...?
> >> Se quello che intendi dire e' che e' dificile operare mentre il legittimo
> >> proprietario di quel MAC e' connesso hai ragione
> >
> > per questo direi che c'e' l'arp poisoning che puo' darti una mano
> >
> 
> Mhmhmh io non credo che l'arp poisoning possa funzionare...
> Clonando il mac di un host attivo, sulla rete vengono a trovarsi 2
> host con lo stesso mac.
> Un eventuale server dhcp assegna a entrambi gli host lo stesso ip
> (mantenendo il lease).
> A questo punto cambio il mio ip e mantengo gli altri parametri di rete
> assegnati dal dhcp.
> Adesso si hanno 2 host con lo stesso mac ma ip diverso: il risultato è
> che nessuno dei 2 host riesce a navigare perchè nelle tabelle arp
> dello switch (associazione ip+mac+plug) c'è talmente tanto casino che
> i pacchetti vengono instradati un pò quà e un pò là.
> 
> Se non sbaglio gli swich effettuano il routing sul plug in base al
> mac, non so come possano reagire se si trovano lo stesso mac associato
> a 2 plug differenti.

in effetti era un'ipotesi

l'idea era quella di cercare di "convincere" lo switch che il plug
giusto del mac rubato e' quello da dove arrivano piu' pacchetti con quel
mac o gli arp reply

o sperare che lo switch mandi i pacchetti a tutti i plug con quel mac

o con l'aggiunta di un mac flooding mandare lo switch in fail open in
modo che mandi tutto a tutti i plug 
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: Questa è una parte del messaggio	firmata digitalmente
URL:         <http://lists.linux.it/pipermail/flug-tech/attachments/20070810/7f9f3f83/attachment.pgp>

Maggiori informazioni sulla lista flug-tech