Re: ARP cache

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2002 ml@sikurezza.org
Soggetto: Re: ARP cache
Mittente: marco
Data: 15 Oct 2002 17:48:41 -0000

Il ven, 11 ott 2002, hai scritto:
>
> 
> Ma hai preso l'idea da hacker journal ?
> Non e' un buon approccio, o per lo meno non lo e' a detta della mia morale, e
> non ti nascondo che ho letto sorridendo questo pezzo di post e ti racconto
> subito anche il perche';
> E' eticamente scorretto un discorso del genere, vuoi raccogliere a scopo
> statistico chi e cosa viene collegato alla tua rete ? Va bene, fallo pure,
> avvisando i tuoi utenti che ogni qualvolta qualcosa venga attaccato alla rete
> del dipartimento, questo viene loggato e archiviato... piu' che legittimo
> direi.
> Cio' che in realta' fatto sorridere e' il fatto del "bombato" :)
> Cosa facciamo, ircwar ?

Innanzi tutto no, non ho preso l'idea da hacker journal...e'un' idae mia e del
mio correlatore.
Il termine "bombato" viene utilizzato nel gergo di arp_bomber; e'stato coniato
dai programmatori di Princeton che l'hanno costruito.Se ti leggi il README di
arp_bomber lo potrai constatare di persona.
Per informazioni consulta :

http://www.net.princeton.edu/cgi-bin/arp_bomber


> Cosi facendo ti metti praticamente nel panni di un attacker, non puoi
>  inondare di arp un povero studente solo perche' ha attaccato il suo rj45 a
>  una presa di rete in giro per il tuo dipartimento, in questo modo TU stai
>  effettuando un attacco (se pur minimo) verso una macchina di un povero e
>  ignaro utente, e cio' non e' proprio corretto.
> 

Se ti leggi la documentazione di arp_bomber potrai renderti conto che non si
tratta di flooding ma un semplice pacchetto fake arp.
Ti ricordo che se qualcuno si e' inserito sulla rete locale con il proprio
portatile e si e' fregato un IP dei nostri, molto probabilmente e'
malintenzionato.
E'come se uno si frega una auto per fare una rapina in banca...non usera' la
sua personale perche' qualcuno potrebbe annotare la targa!!Gli IP stanno ai
computer come le targhe alle auto...


> > > Piu' che utilizzare un passive fingerprint etc etc, direi che forse
> > > potresti pensare a strutturare la rete in vlan, magari mettendo un mezzo
> > > una qualche authenticazione tipo EAP, magari appoggiandosi a un radius,
> > > in modo che se uno di questi INGENIEROTTI anche se arrivasse con il suo
> > > portatile e si attaccasse alla rete otterrebbe solamente una gran
> > > pernacchia da parte dello switch.
> > > Forse non hai molto chiaro l'argomento che vuoi trattare, o forse sono io
> > > che ho frainteso il thread.
> >
> > Comunque ora provo a dare un'occhiata a quello che mi hai appena proposto!
> 
> Questa e' la strada che secondo me dovresti seguire :)
> 

Niente meccanismi di autenticazione...ordini che vengono dall'alto.

Grazie,
                                              Marco Antonioli


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: ARP cache, Simo Sorce
- Re: ARP cache, Francesco Trentini

In risposta a:
- Fwd: Re: ARP cache, Roberto \"L0rDo\" Villa

Data:
- precedente: Re: Richiesta informazioni su criptografia e Filesystem, Antonio Gallo
- successivo: Re: Richiesta informazioni su criptografia e Filesystem, Paolo Perego
- indice

Argomento:
- precedente: Fwd: Re: ARP cache, Roberto \"L0rDo\" Villa
- successivo: Re: ARP cache, Francesco Trentini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005