Re: [ml] Contro ARP Poisoning e MITM

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2005 ml@sikurezza.org
Soggetto: Re: [ml] Contro ARP Poisoning e MITM
Mittente: Alberto Ornaghi
Data: Thu, 28 Apr 2005 12:05:15 +0200 (CEST)

Damiano Bolzoni wrote:

Rissone Ruggero ha scritto:
Qualcuno degli iscritti alla ML ha avuto modo di provare questo modulo di hardening contro ARP poisoning e MITM ?
Uno dei creatori (Alberto Ornaghi) dello stesso Ettercap ha realizzato
un modulo del kernel, per la propria tesi di laurea, denominato Secure
ARP, che tramite funzioni crittografiche permette di verificare
l'identità del mittente.
Non mi pare ne sia stata fatta un'implementazione "pubblica".
http://www.acsac.org/2003/abstracts/111.html


in realta' l'implementazione c'e' ed e' su:

http://alor.antifork.org/projects/s-arp/

cmq non mi pare che bloccare le arp unsolicited sia la panacea di tutti
i mali. pensate ad esempio ad un ambiente di produzione con i firewall
in HA. quando uno dei due fallisce, l'altro pubblica la sua nuova arp
per fare il takeover (ok ok dipende dalle implementazioni, ma spesso le
gratuitous arp sono usate per fare HA). in questa situazione il server
con a bordo arp* verrebbe tagliato fuori finche' il modulo firewall
fallito viene rimesso come master e questo direi che e' male.

ora non ho tempo di controlalre il codice di arp*, ma vorrei sapere come
si comporta in caso di un arp responder che risponda prima dell'host a
cui la richiesta e' stata fatta. in sostanza la vittima riceve 2 arp
reply, la prima finta, la seconda vera.  che fa ? le scarta ? se si,
allora posso fare dos perche' la vittima non parlera' mai con
quell'host, se no, una delle due la deve accettare, e quindi il
poisoning avra' successo.
ripeto, dovrei fare delle prove, ma cosi' su due piedi sono perplesso.
il modo di aggirarlo sembra esserci.

in generale, a livello di host non puoi sapere chi e' l'effettivo mittente di un frame ethernet. l'unico modo per essere sicuri e' usare autenticazione. quindi qualsiasi sistema di anti-spoofing su rete locale puo' essere aggirato se la protezione e' solo a livello host. per un'effettiva protezione io propenderei di piu' per una soluzione a livello di switch. il DAI di cisco fa un buon lavoro per impedire arp poisoning. lo switch e' l'unico che puo' essere sicuro dell'effettivo mittente di un frame perche' ragiona a porte fisiche e non ad indirizzi source e dest...

il tutto ovviamente IMHO.

regards

--

   --==> ALoR <==---------------------- -  -   -

 There are only 10 types of people in this world...
 Those who understand binary, and those who don't.

In risposta a:
- [ml] Contro ARP Poisoning e MITM, Rissone Ruggero
- Re: [ml] Contro ARP Poisoning e MITM, Damiano Bolzoni

Data:
- precedente: Re: [ml] Mail-abuse, Buttha
- successivo: Re: [ml] Contro ARP Poisoning e MITM, Dario Lombardo
- indice

Argomento:
- precedente: Re: [ml] Contro ARP Poisoning e MITM, Damiano Bolzoni
- successivo: Re: [ml] Contro ARP Poisoning e MITM, Dario Lombardo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005