Re: ??Le VLAN sono una soluzione comoda??

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2002 ml@sikurezza.org
Soggetto: Re: ??Le VLAN sono una soluzione comoda??
Mittente: Federico
Data: 2 Apr 2002 11:56:08 -0000

Vorrei fare un appunto un pochino OT.
a prescindere dal fatto che personalmente ritengo le VLAN un "comodo"
espediente per proteggere la rete, ovvero, non è invulnerabile ma cmq meglio
avere questa tipologia di policy che non averla.

Inoltre ultimamente molti vendor si stanno "adeguando" o almeno ci provano,
Es Cisco sulle ultime macchine non manda un segmento con lo stesso MAC di
destinazione su due porte diverse!!! Questa sinceramente è una pratica che
non sono mai riuscito a sperimentare per mancanza di tempo, ma il mio
istruttore Cisco a suo tempo disse che era davvero diffiicile fare arp
spoofing/poisoning su reti completamente switchate con apparati recenti (a
meno di delay calcolati).

Seconda cosa, non posso esimermi dal dire che di solito sui Core Switch non
dovrebbe essere fatta alcun tipo di configurazione, sia per questioni di
sicurezza, sia per questioni architetturali.
Essi infatti sono apparati di "permutazione"* che devono soltanto unificare
segmenti evitando la formazione di errori. (modalità store-n-forward) .


* dico permutazione perchè anche non essendo una caratteristica corretta,
nelle tipologie di reti cisco gli switch core possono unificare strutture
sui layer da 1 a 3 (cfr. CCND).

Baci

Federico





----- Original Message -----
From: "Filo" <filippo.cassini@libero.it>
To: <ml@sikurezza.org>
Sent: Thursday, March 28, 2002 4:18 PM
Subject: Re: ??Le VLAN sono una soluzione comoda??


>
> > Ma a monte non sarebbe possibile un piu' semplice arp poisoning?
> > Indipendentemente dalle politiche adottate nella creazione della VLAN le
> > frame eth restano cmq quelle... Quindi non dovrebbe essere
> > indispensabile arrivare allo switch e riconfigurarlo...
>
> Puoi immaginarti la VLAN come una partizione di un disco; usando le VLAN
> dividi lo switch in parti che appartengono a domini in cui sono confinati
i
> frame ethernet. L'hardware dello switch puo' essere configurato per
lavorare
> per porta (port VLAN, ovvero queste porte hanno questo traffico) oppure si
> possono effettuare dei trunk tra le VLAN per fare passare piu' classi di
> broadcast ethernet nello stesso cavo fisico. Per distinguelre, si aggiunge
un
> TAG. Ora non e' possibile ad esempio craftare il TAG poiche' il tuo PC
deve
> essere direttamente connesso alla porta che tagga, e se l'amministratore
e'
> abbastanza intelligente non tagga le altre porte (anche perche' senza
driver
> particolari non si lavora su frame taggati). L'arp poisoning potrebbe
anche
> funzionare, ma solo sulla tua parte switchata... (o no?). In ogni caso e'
> importante un accesso fisico al core switch, cosa che non e' poi molto
facile
> da realizzare.
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: ??Le VLAN sono una soluzione comoda??, ALoR

Data:
- precedente: Re: Bfi-dev file08 - fastweb: vorrete dirlo a tutti (round 1), ALoR
- successivo: Re: Bfi-dev file08 - fastweb: vorrete dirlo a tutti (round 1), scai
- indice

Argomento:
- precedente: Re: Bfi-dev file08 --> CPV/CPL, recidjvo
- successivo: Re: ??Le VLAN sono una soluzione comoda??, ALoR
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005