Che cosa fa un interruttore contro un attacco di sniffing dei pacchetti?

Con la loro funzione, uno switch inoltra i pacchetti solo alla porta in cui si trova il computer di destinazione (identificato dal suo indirizzo MAC). Per questo motivo, si dice che mitighino l'attacco sniffing.

Tuttavia, gli switch non sono dispositivi di sicurezza ma dispositivi di rete. Per sapere dove si trova un computer specifico, devono sapere dove si trovano. Per questo, leggono l'indirizzo MAC del computer nei diversi pacchetti che li attraversano. Quando possibile, assegneranno il MAC a una porta specifica e continueranno a inoltrare il traffico relativo a questo MAC solo a questa specifica porta. A causa del protocollo, è possibile sfruttare questo vantaggio eseguendo l'avvelenamento ARP, confondendo l'interruttore che alla fine continuerà a funzionare come un hub semplice, inoltrando tutto il traffico a tutte le porte. Con questo attacco, si può ancora eseguire lo sniffing.

Risposta breve: attiva solo l'aiuto durante l'aggiornamento da un hub, non aggiungerlo alla rete a meno che non sia necessario.

M'vy e GreatSeaSpider hanno dato grandi risposte !, cercherò di semplificare e mostrare visivamente cosa significano. Si tratta di domini di collisione ! L'immagine A spiega cosa fa ogni dispositivo e l'immagine B mostra come ciò influisce su una rete.

Hub vs Switch B http://www.networking-basics.net/wp-content/uploads/2014/09/Switch-vs-Hub.gif

Con un hub, qualsiasi dispositivo nel CD (dominio di collisione) può annusare i pacchetti inviati da qualsiasi altro dispositivo nel CD. Un interruttore si arresta che solo inviando il pacchetto al dispositivo appropriato. Gli switch non gestiti sono così economici e performano molto meglio degli hub, ma sarebbe meglio farlo comunque.

Se un interruttore non conosce ancora il dispositivo di destinazione, o la sua tabella ARP viene sovraccaricata dallo spoofing ARP, funzionerà come un hub e trasmetterà a tutti i dispositivi
Questo è dove la sicurezza della porta entra in gioco. Meno frequentemente la tua rete cambia, più facile sarà la sicurezza della porta da configurare. Tuttavia per utilizzarlo hai bisogno di uno switch gestito, che è più costoso di un semplice switch non gestito.

Come ha detto M'vy, gli switch sono dispositivi di rete e non dispositivi di sicurezza. Tuttavia, vale la pena notare che lo sniffing sarà possibile all'interno di ciascun dominio di collisione indipendentemente da eventuali attacchi. Ciò significa che se si connettono più dispositivi a una singola porta dello switch (magari utilizzando un hub), lo switch deve inoltrare tutto il traffico per tutti quei dispositivi a quella porta. Pertanto tutto il traffico inviato a uno di questi dispositivi sarà visibile a tutti questi dispositivi.

Vale anche la pena notare che alcuni switch forniscono funzionalità di sicurezza aggiuntive progettate per aiutare a mitigare diversi tipi di attacchi, come il poisioning / flooding / spoofing ARP e i server DHCP canaglia (vettori che consentono l'intercettazione di pacchetti o lo sniffing di pacchetti). Un paio delle funzionalità di sicurezza più utili sono la sicurezza della porta e lo snooping DHCP.

La sicurezza delle porte significa fondamentalmente che il numero di indirizzi MAC consentiti su ciascuna porta dello switch è limitato e allo switch può essere fornito un elenco di indirizzi MAC fissi oltre a quelli appresi dallo switch. I tentativi di snooping DHCP impediscono qualsiasi risposta DHCP da parte dei server DCHP non autorizzati e cercano di garantire che ogni host utilizzi solo gli indirizzi IP assegnati loro da DHCP.

La quantità di materiale per venditore varia e, naturalmente, il sovraccarico è implicato nella configurazione e nella manutenzione di funzionalità aggiuntive come quelle sopra riportate.