R: [ml] approposito di 802.1X

Io sto sperimentando le UPN di Enterasys con ports authorization su 802.1x.
Questa funzionalità di 802.1x e mac address l'ho sperimentata anche io,
quindi è prevista anche sul framework è previsto. Solo che quando verifico
le nuove cose cerco di fare il più possibile (anche in base alle mie
conoscenze e a quelle che mi faccio con varie doc)l'avvocato del diavolo! E
appunto facendo questo che ho pensato (non ho ancora avuto modo di provare)
che con un hub sulla porta già autenticata (posso quindi fare sniffing)
intercetto il mac address dell'utente autenticato con il mac-spoofing salto
anche il mac authentication. Questa è un ipotesi, non ho avuto modo di
provarlo ancora perché impegnato su altri test, ma cosa ne dici? L'hai
provata come cosa?

Saluti.

Arturo

P.S. non so se ti ho spiegato bene la situazione...?
 

-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di
Lombardo, Federico
Inviato: venerdì 25 febbraio 2005 8.59
A: ml@xxxxxxxxxxxxx
Oggetto: R: [ml] approposito di 802.1X

Arturo
Come ben sai 802.1x è un framework di autenticazione nato per reti wired che
altro non serve a fare un "port security" (come lo chiama cisco) su apparati
un po' più variegato.

Chiaramente lo switches cosa fa, lascia la porta "bloccata" fino a quando un
client non gli fornisce delle credenziali.
Una volta che le credenziali sono state verificate abilita e profila la
porta.

Chiaramente esistono vari livelli di profilazione della porta, uno di questi
è basato sul MAC address, ovvero lo switches fa questa associazione:

Porta -> credenziali + MAC

Su Cisco grazie ad IBNS puoi impostare l'abilitazione della porta solo al
mac address che si è presentato con le credenziali corrette.

Nel tuo caso (e non so che architettura implementi) lo switch non fa
l'associazione credenziali-MAC quando abilita la porta, quindi una volta
tolto il port security
Accetta qualsiasi mac address.

Saresti così gentile da darmi i dati del framework che stai utilizzando dato
che ci sto smanettando anche io ?



Grazie

Federico




-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di
koba@xxxxxxxxxxxxx
Inviato: giovedì 24 febbraio 2005 10.53
A: ml@xxxxxxxxxxxxx
Oggetto: [ml] approposito di 802.1X

http://www.expita.com/nomime.html
Configuring Mail Clients to Send Plain ASCII Text

----- Forwarded message from Arturo Ronghi <a.ronghi(at)cira.it> -----
From: Arturo Ronghi <a.ronghi(at)cira.it>
Subject: approposito di 802.1X

Salve, in questo periodo stiamo lavorando all?autenticazione su LAN con
802.1X. Quindi durante i test ho attaccato ad una porta disabilitat? da
802.1X un hub. A questo hub ho attaccato un PC che aveva le credenziali per
autenticarsi, e si ? quindi autenticato. Allo stesso hub ho attaccato un
altro PC senza credenziali e senza 802.1X, anche questo PC ha potuto
accedere alla rete senza autenticazione. Ora la cosa pu? essere ovvia perch?
la porta era gi? sbloccata! Ma proprio perch? la cosa ? tanto ovvia penso
che molti si siano imbattuti in questo prima di me! Qualcuno sa quale
soluzione si ? trovato. Escludiamo il mac authentication aggirabile dal
mac-spoofing.

Saluti.
Arturo 

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List