Re: R: [ml] approposito di 802.1X

Arturo Ronghi wrote:
> Io sto sperimentando le UPN di Enterasys con ports authorization su 802.1x.
> Questa funzionalità di 802.1x e mac address l'ho sperimentata anche io,
> quindi è prevista anche sul framework è previsto. Solo che quando verifico
> le nuove cose cerco di fare il più possibile (anche in base alle mie
> conoscenze e a quelle che mi faccio con varie doc)l'avvocato del diavolo! E
> appunto facendo questo che ho pensato (non ho ancora avuto modo di provare)
> che con un hub sulla porta già autenticata (posso quindi fare sniffing)
> intercetto il mac address dell'utente autenticato con il mac-spoofing salto
> anche il mac authentication. Questa è un ipotesi, non ho avuto modo di
> provarlo ancora perché impegnato su altri test, ma cosa ne dici? L'hai
> provata come cosa?

Ciao,
si funziona, l'ho provato ed ahime' credo che non ci sia soluzione se 
non quella di evitarare di "moltiplicare" il numero di porte connesse ad 
una porta 802.1x. La sicurezza dell'architettura, del resto, si basa 
proprio sul fatto che il client viene deautenticato quando c'e' 
disconnessione fisica, e quindi se e' chiaro che se hai un host su una 
porta 802.1x non c'e' proprio soluzione per sostituirla senza che venga 
disassociata.
In altre parole se vuoi usare degli hub (o degli switch) in cascata ad 
una porta con il dot1x accetti il compromesso di renderle un po piu' 
insicure e soggette allo spoofing.

Marco Vettor

--
[ Marco Vettor : www.marcat.org /iv3fkx qth jn33ob/ marco@xxxxxxxxxx  ]
[ Key fingerprint: A39D A5D1 6BAA 6DB7 3A85  738C FECA 67C5 0188 DFF1 ]
[ GPG key available on keyserver pgp.mit.edu                          ]

%%