Un utente malintenzionato può intercettare i dati Ethernet se possono connettersi ad esso? Sì. Un utente malintenzionato collegato fisicamente alla rete Ethernet può probabilmente intercettare tutti i pacchetti inviati su tale rete locale .
Si potrebbe pensare che l'Ethernet commutato lo impedisca, ma in realtà su molti / molti switch Ethernet non lo fa. Un utente malintenzionato può utilizzare flooding MAC a forzare lo switch in una modalità degradata in cui invia una copia di tutti i pacchetti all'attaccante , consentendo così all'utente malintenzionato di intercettare tutto il traffico inviato su tale rete Ethernet dell'area locale. Allo stesso modo, lo ARP spoofing può consentire a un utente malintenzionato di instradare alcuni pacchetti verso di lui. Non tutti i router sono noti per essere vulnerabili, ma questi attacchi possono essere piuttosto sottili, e non sono certo che la comunità abbia esplorato a fondo lo spazio di possibili attacchi in questo senso. Pertanto, ti consiglio di assumere prudenzialmente che questo attacco sia possibile.
In altre parole, ti consiglio di pensare che chiunque possa collegarsi alla tua rete Ethernet possa probabilmente intercettare tutti i pacchetti inviati su quella rete locale.
Questi attacchi non richiedono una speciale scheda di interfaccia di rete. È sufficiente qualsiasi scheda Ethernet. L'hacker deve solo eseguire un programma sniffer di pacchetti, che imposta la scheda Ethernet in modalità promiscua e chiede di mostrare tutti i pacchetti Ethernet visibili a quella scheda Ethernet.
Come difendersi da questo? La difesa più strong è usare la crittografia avanzata per crittografare tutte le comunicazioni, e assicurarsi che solo le persone fidate / autorizzate ricevano le chiavi crittografiche. L'utilizzo di IPSec per crittografare tutto il traffico sarebbe sufficiente. Così qualsiasi altro VPN o software di crittografia a livello di collegamento. Lo svantaggio principale è che queste soluzioni possono richiedere una configurazione considerevole e quindi essere goffo da usare.
Un'altra difesa è fare il più maleducato per assicurarsi che le persone non fidate non possano collegarsi alla rete Ethernet. Ad esempio, se si desidera esporre porte Ethernet in spazi pubblici, è possibile creare una rete ospite separata, protetta dalla rete aziendale interna, e assicurarsi che tutte le prese Ethernet in spazi pubblici siano connesse alla rete ospite. Dovresti completare questo con sicurezza fisica, per garantire che le persone non autorizzate non abbiano accesso al tuo spazio di lavoro, agli armadi di rete, alle stanze dei server, ecc.
È anche possibile il firewall delle reti interne l'una dall'altra, seguendo il principio del "minimo privilegio". Ad esempio, se la busta paga dispone di informazioni particolarmente sensibili sui propri sistemi e reti Ethernet locali, è possibile organizzare che la propria rete Ethernet dell'area locale sia limitata al proprio edificio o ai propri uffici, in modo che altri dipendenti che non fanno parte del libro paga il dipartimento non ha una connessione a tale rete Ethernet locale.
Una terza difesa è quella di incoraggiare gli utenti a utilizzare la crittografia per tutte le comunicazioni sensibili. Ciò fornisce un ripiego nel caso in cui un utente malintenzionato acceda alla rete Ethernet interna. Ad esempio, è possibile garantire che i servizi Web interni sensibili siano impostati per utilizzare SSL in tutto il sito e che altri servizi interni sensibili siano configurati per l'utilizzo della crittografia. È possibile proibire le password non crittografate sulla rete interna (ad es. Richiedere SSH e SFTP invece di telnet e FTP). Puoi incoraggiare gli utenti a utilizzare HTTPS ovunque per proteggere il loro traffico web, laddove supportato dai server Web.
Una quarta difesa è quella di abilitare le funzionalità sugli switch Ethernet per difendersi da tali attacchi. È possibile utilizzare l'autenticazione client (ad es. 802.1X) per garantire che solo i client autorizzati possano connettersi alla rete Ethernet. (Il filtraggio degli indirizzi MAC è una versione povera di questo, che fornisce solo un basso livello di sicurezza.) È anche possibile abilitare la "sicurezza della porta" e funzionalità di sicurezza simili progettate specificamente per prevenire attacchi di MAC flooding e ARP spoofing.