Vlan/Switching (Era PenTestL2)

On Mon, Apr 08, 2002 at 09:35:29PM +0200, Luca Berra wrote:
> > Se tu ti presenti con frame taggati sulla porta sbagliata, questi vengono 
> > immediatamente droppati. Se poi cisco si inventa altre cose per ovviare a 
> > questa mancanza, a mio avviso gravissima, questo e' un altra storia. Comunque 

	La mancanza quale sarebbe?

> per tutti tranne che per cisco c'e' un unica istanza di spanning tree per tutte le vlan,

	Vero. PVST+.

> questo probabilemnte permette di determinare mac address di oggetti che non
> stanno nella tua vlan.

	Non vedo come: da quello che so io i BPDU (Bridge Protocol Data
	Unit) sono l'unica cosa che lo spanning tree propaga su tutte le
	porte.
	Il mac address degli oggetti che non stanno sulla tua vlan non
	lo puoi scoprire, perche' l'arp non scavalca le vlan.

> se gli switch sono configurati correttamente e non permettono pacchetti taggati
> dalle porte non in trunk credo di no.

	Il tagging (dot1q, ISL) modifica proprio il frame di livello 2.
	Da quello che so io le apparecchiature Cisco scaricano
	allegramente i frame con informazioni di trunking su porte che
	non ce l'hanno configurato.
	Come penso che facciano le schede di ogni altro vendor. O no?
	Mi piacerebbe saperne di piu'. :)

	Un'altra cosa che mi era venuta in mente era quella di tentare
	di sovvertire lo spanning tree, iniettando BPDU che annuncino te
	come root bridge forzando un ricalcolo continuo dei link
	(bloccando i link per i 50 secondi canonici, se non configurato
	diversamente). Un DOS, bene che vada.
	Almeno per le macchine Cisco ho scoperto oggi che e' possibile
	evitare anche questo, configurando opportunamente le porte che
	non si prevede siano collegate ad altri apparati di rete.

ciao!
-- 
'Why do you close your eyes?' 'So that the room will be empty.'
zen@kill-9.it . Geek . And proud of it .
http://www.kill-9.it/jargon/html/entry/zen.html

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List