Re: R:R: PenTestL2

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2002 ml@sikurezza.org
Soggetto: Re: R:R: PenTestL2
Mittente: Filippo Cassini
Data: 8 Apr 2002 17:09:47 -0000

Alle 18:59, giovedì 4 aprile 2002, _CaT_ ha scritto:


> firewall L2 integrati, tipo NetScreen. A onor della cronaca però non ho
> trovato nessun documento di test effettuati direttamente sui NetScreen
> eccetto uno fornito da loro, dove cmq informano che la soluzione e
> valida solamente sulla base che non ci siano misconfiguration.
>
> A proposito che ti ha detto il Francese???

Il francese e' stato prodigo di input... :) 
Netscreen puo' funzionare in modalita' switch, ma in quel caso non supporta i 
trunk di VLAN. L'unica maniera per "farglieli capire" e' impostarlo a layer 3 
con una interfaccia per VLAN. Il netscreen 1000 (1Gb di throughput in VPN
3des!!!) puo' essere configurato praticamente solo in questo modo, avendo 2 
interfacce Gigabit (non espandibili) da usare per trunk di VLAN (fino a 100 
interfacce). Questo rende il firewall unicamente adatto a funzionare con i 
core switch, se non vuoi buttare via i soldini ;)

>
> Ottenute in qualche modo tutte queste belle info, da una qualsiasi porta
> non trunk si potrebbe forgiare del traffico taggato per tentare degli
> “hop” indisturbati…e poi chi più ne ha più ne metta la mia fantasia si è
> esaurita.

Se l'802.1q e' rispettato (ma cio' non sembra, stando al documento su 
http://rr.sans.org/switchednet/switch_security.php)
questa cosa non deve succedere. Ti faccio un esempio. Ho qui in laboratorio 
dei bilanciatori Alteon, che di base lavorano come switch. Su queste 
macchine, solo le porte in trunk di VLAN 802.1q supportano i frame taggati. 
Se tu ti presenti con frame taggati sulla porta sbagliata, questi vengono 
immediatamente droppati. Se poi cisco si inventa altre cose per ovviare a 
questa mancanza, a mio avviso gravissima, questo e' un altra storia. Comunque 
penso che questo sui core switch sia un test da fare. L'unica obiezione a 
questo punto e' che dalla data del documento di cui sopra qualcosa sia 
cambiato. Qualcuno in ML ha notizie?

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: R:R: PenTestL2, Luca Berra

In risposta a:
- R:R: PenTestL2, _CaT_

Data:
- precedente: Re: forse OT, Filippo Tonellotto
- successivo: Fwd: E-Privacy a Firenze, Stempa
- indice

Argomento:
- precedente: Re: Re: PenTestL2, Zen
- successivo: Re: R:R: PenTestL2, Luca Berra
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005