Fwd: Re: ARP cache

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> --- Enclosed, please find the posted message.
> Date: Fri, 11 Oct 2002 08:52:54 +0200
> Subject: Re: ARP cache
> From: "supermac2<at>inwind.it" <supermac2<at>inwind.it>
>
>
> Non e' proprio cosi'...noi cerchiamo di schedare gli host autorizzati e
> creiamo una specie di database contenente le info raccolte. Questo viene
> consultato da un programma che si chiama arp_bomber che e' a guardia
> della LAN.Se uno arriva con il portatile, e non ha il MAC o il SO
> contenuto nel database viene "bombato" da arp_bomber...Questo, almeno,
> quello che dovrebbe succedere in teoria...credi sia un buon approccio?

Ma hai preso l'idea da hacker journal ?
Non e' un buon approccio, o per lo meno non lo e' a detta della mia morale, e
non ti nascondo che ho letto sorridendo questo pezzo di post e ti racconto
subito anche il perche';
E' eticamente scorretto un discorso del genere, vuoi raccogliere a scopo
statistico chi e cosa viene collegato alla tua rete ? Va bene, fallo pure,
avvisando i tuoi utenti che ogni qualvolta qualcosa venga attaccato alla rete
del dipartimento, questo viene loggato e archiviato... piu' che legittimo
direi.
Cio' che in realta' fatto sorridere e' il fatto del "bombato" :)
Cosa facciamo, ircwar ?
Cosi facendo ti metti praticamente nel panni di un attacker, non puoi
 inondare di arp un povero studente solo perche' ha attaccato il suo rj45 a
 una presa di rete in giro per il tuo dipartimento, in questo modo TU stai
 effettuando un attacco (se pur minimo) verso una macchina di un povero e
 ignaro utente, e cio' non e' proprio corretto.

> > Piu' che utilizzare un passive fingerprint etc etc, direi che forse
> > potresti pensare a strutturare la rete in vlan, magari mettendo un mezzo
> > una qualche authenticazione tipo EAP, magari appoggiandosi a un radius,
> > in modo che se uno di questi INGENIEROTTI anche se arrivasse con il suo
> > portatile e si attaccasse alla rete otterrebbe solamente una gran
> > pernacchia da parte dello switch.
> > Forse non hai molto chiaro l'argomento che vuoi trattare, o forse sono io
> > che ho frainteso il thread.
>
> Comunque ora provo a dare un'occhiata a quello che mi hai appena proposto!

Questa e' la strada che secondo me dovresti seguire :)

> Grazie,
>               Marco Antonioli

Ciao ciao

===============================
Roberto "L0rDo" Villa
Network Security Manager
SAIT S.r.l.
Sede Operativa di Malpensa
Office: +39 (0331) 734457
GSM: +39 (329) 8317090
===============================
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9pypRAAr6b67KH9kRAkN1AJ4t7C5lJCB6LOKnPL71Wiwlj6RSrACeKxBH
ZIJHRmSSqWYAw53+nsZ0Eck=
=p9ST
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List