R: R: [ml] approposito di 802.1X

Questo su rete LAN? Poi solo EAP-TLS non PEAP?

Saluti.

Arturo


-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di
Lombardo, Federico
Inviato: martedì 1 marzo 2005 14.24
A: ml@xxxxxxxxxxxxx
Oggetto: R: R: [ml] approposito di 802.1X

Arturo,

Non vorrei dirti una cacchiata, sto cercando meglio però mi sembra che
EAP-TLS e EAP-TTLS permettano di "riverificare" il certificato
Client e server a "tempo" anche ad autenticazione avvenuta.
Per questo se tu bypassi chi si è autenticato, non hai comunque i
certificati per rispondere alla richiesta temporizzata e quindi vieni
tagliato fuori
Dopo "t"
Sto cercando notizie ulteriori per darti una risposta precisa.


Federico


 


-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di
Arturo Ronghi
Inviato: martedì 1 marzo 2005 8.41
A: ml@xxxxxxxxxxxxx
Oggetto: R: R: [ml] approposito di 802.1X

Salve,
giusto ieri ho provato "l'intrusione", con un hub su una porta dello switch
con autenticazione 802.1x. Pur avendo attivato l'acquisizione del mac
address, come previsto "sniffando" il mac autenticato e con lo spoofing
dello stesso...il gioco è fatto! Ma penso che sia naturale che 802.1x è un
sistema di autenticazione, e come tutti i sistemi di autenticazione ha le
sue debolezze che devono essere protette in altri modi...Comunque, sto
lavorando ad una soluzione che mi permetta per quanto si può di
risolvere(ovviamente non modificando nulla nella struttura intrinseca del
protocollo...)di proteggermi da questo tipo di "attacco"...

saluti.

Arturo

P.S. Informerò la lista ovviamente sull'eventuale soluzione.
 

-----Messaggio originale-----
Da: ml-bounces@xxxxxxxxxxxxx [mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di
Marco Vettor
Inviato: lunedì 28 febbraio 2005 13.20
A: ml@xxxxxxxxxxxxx
Oggetto: Re: R: [ml] approposito di 802.1X

Arturo Ronghi wrote:
> Io sto sperimentando le UPN di Enterasys con ports authorization su
802.1x.
> Questa funzionalità di 802.1x e mac address l'ho sperimentata anche 
> io, quindi è prevista anche sul framework è previsto. Solo che quando 
> verifico le nuove cose cerco di fare il più possibile (anche in base 
> alle mie conoscenze e a quelle che mi faccio con varie doc)l'avvocato del
diavolo!
E
> appunto facendo questo che ho pensato (non ho ancora avuto modo di
provare)
> che con un hub sulla porta già autenticata (posso quindi fare 
> sniffing) intercetto il mac address dell'utente autenticato con il 
> mac-spoofing
salto
> anche il mac authentication. Questa è un ipotesi, non ho avuto modo di 
> provarlo ancora perché impegnato su altri test, ma cosa ne dici? L'hai 
> provata come cosa?

Ciao,
si funziona, l'ho provato ed ahime' credo che non ci sia soluzione se non
quella di evitarare di "moltiplicare" il numero di porte connesse ad una
porta 802.1x. La sicurezza dell'architettura, del resto, si basa proprio sul
fatto che il client viene deautenticato quando c'e' 
disconnessione fisica, e quindi se e' chiaro che se hai un host su una porta
802.1x non c'e' proprio soluzione per sostituirla senza che venga
disassociata.
In altre parole se vuoi usare degli hub (o degli switch) in cascata ad una
porta con il dot1x accetti il compromesso di renderle un po piu' 
insicure e soggette allo spoofing.

Marco Vettor

--
[ Marco Vettor : www.marcat.org /iv3fkx qth jn33ob/ marco@xxxxxxxxxx  ] [
Key fingerprint: A39D A5D1 6BAA 6DB7 3A85  738C FECA 67C5 0188 DFF1 ]
[ GPG key available on keyserver pgp.mit.edu                          ]

%%
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List