utilizzando gli switch di rete per prevenire l'utilizzo di modalità promiscua dannosa

1

Stavo leggendo il wiki sulla modalità promiscua quando mi sono imbattuto in una porzione di informazione qui che suggerisce che si potrebbe usare switch di rete per impedire l'uso dannoso della modalità promiscua.

Nel contesto di una LAN ethernet, un utente malintenzionato può sniffare pacchetti o eseguire lo spoofing ARP come minimo. Sono curioso di sapere come utilizzare uno switch di rete può impedire uno di questi problemi.

    
posta 25.10.2012 - 11:08
fonte

3 risposte

2

Modalità promiscua significa dire una scheda Ethernet per registrare tutti i pacchetti che passano, non solo quelli indirizzati direttamente ad essa o trasmissioni.

Se quella scheda è collegata a un interruttore, tuttavia, normalmente lo switch invia solo i pacchetti di carte indirizzati direttamente ad esso (o per trasmettere), quindi non c'è nient'altro da vedere per la carta.

Ho detto normalmente perché ci sono alcune circostanze in cui un interruttore invia un altro traffico a una particolare porta:

  • l'amministratore dello switch potrebbe configurarlo per farlo (ad esempio in modo che un IDS possa monitorare il traffico)
  • lo switch potrebbe farlo se ha problemi (ad esempio se non è sicuro su quale porta inviare un pacchetto)

Quindi non si può presumere che la semplice installazione di switch faccia sì che la modalità promiscua svanisca completamente come una minaccia; un determinato attaccante potrebbe attaccare l'interruttore per provare a farlo fare una di queste cose e inviare i suoi pacchetti extra host che può leggere con una scheda di rete promiscua.

(E ovviamente un determinato attaccato farà anche altre cose, come attaccare altri bit della rete per fargli mandare i suoi pacchetti che non dovrebbero.)

Tuttavia, interruttori impediscono all'utente casuale di utilizzare WireShark o Firesheep per sondare la rete; e in ogni caso offrono altri vantaggi, quindi la maggior parte dei gestori di rete li ha già aggiornati.

    
risposta data 25.10.2012 - 12:03
fonte
1

Come @ Graham-hill menziona, ad un livello base con uno switch, un host sulla rete vedrà solo il traffico destinato a esso.

L'attacco comune citato per questo è lo spoofing / avvelenamento ARP in cui un host malintenzionato invia risposte ARP alle richieste per tentare di convincere altri host a credere che si tratti di un sistema specifico (di solito il router per quella sottorete).

le difese contro lo spoofing / avvelenamento ARP dipendono in gran parte dagli switch che usi. Molte opzioni hanno caratteristiche per difendersi da questo. Ad esempio Cisco Port Security . In sostanza, da ciò che ho visto, coinvolgono lo switch che apprende quali porte hanno quali indirizzi MAC e che rifiutano il traffico da host che affermano di avere un indirizzo che già conosce su una porta diversa.

    
risposta data 25.10.2012 - 16:49
fonte
0

Penso che la voce potrebbe riferirsi alle differenze tra uno switch e un hub. A differenza di un hub, uno switch non condivide il traffico verso le altre porte del dispositivo. Puoi annusare chiunque sia collegato a un hub (non a un interruttore) indipendentemente dalla porta su cui si trovano.

Ci sono anche problemi con gli switch. Tuttavia, molti nuovi switch proteggeranno da flooding MAC, ovvero sovraccaricano uno switch con risposte ARP e forzando lo switch in modalità forwarding, in cui qualcuno in modalità promiscua vedrà tutte le informazioni indipendentemente dalla porta (come un hub).

L'avvelenamento da ARP è un problema, ma alcuni dispositivi DHCP o gli switch più recenti dovrebbero avere il rilevamento integrato.

In ogni caso, strumenti come ARPwatch e vari strumenti NetMon dovrebbero essere utilizzati per controllare le irregolarità.

In conclusione, un interruttore è migliore di un hub ma non è perfetto.

    
risposta data 25.10.2012 - 15:44
fonte

Leggi altre domande sui tag