|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:463/68.300 23 Feb 2008 22:49:08
To : Maxim Sokolsky
Subject : ip <-> windows user
--------------------------------------------------------------------------------
>>>> Maxim Sokolsky wrote:
AK>> Смотря какие свичи, да и вообще, свич сам по себе не может быть
AK>> гарантией безопасной работы в сети.
MS> Да, это верно. Прочел вот это:
MS> http://www.askapache.com/security/sniffing-on-ethernet-undetected.htm
MS> l
Hу это вообще не имеет никакого отношения к свичам. Это всего лишь вариант, как
исключить передачу любых пакетов через интерфейс, даже если какое-то IP средство
этого захочет. И то - например, от DHCP это не поможет, тот передаст мусор -
потому что работает обычно через BPF. Hо заставить таким образом свич передать
что-то левое - невозможно. (Хотя вдруг китайцы постарались?;))
MS> и ещё вот это:
MS> http://www.askapache.com/security/bypassing-vlan.html
А это сочетание кривоватого свича и фантастически кривых рук админа. Тоже - надо
постараться, чтобы получить из этого что-то реальное.
Вот здесь более реальный пример (он и писан с совершенно реальной истории,
только имена замаскировал):
http://netch.livejournal.com/81017.html
основная диверсия была именно в свиче, который получил пакет с vlan tag и решил,
что плевать, что там админ настроил - всё равно выпустим в сеть.
Реальные же проблемы свичей всех уровней надо искать по словам "переполнение MAC
таблицы". При оном переполнении метод поведения свича совершенно непредсказуем -
одни её просто сбрасывают, другие частично обновляют, третьи переходят
фактически в режим хаба (в смысле, ретранслируют пакеты во все стороны). Вот
третьи и представляют собой тот случай, когда верить, что пакет уйдёт только
тому, кому предназначен - нельзя. Hо среди достаточно умных свичей такого мало,
а среди умеющих VLAN'ы - минимум. И если трафик для подслушивания в чужом VLAN -
то получить его содержимое даже при переполнении таблицы MAC'ов нереально.
MS> и поменял своё мнение. Действительно - ужас. И самое неприятное, что
MS> даже дорогие управляемые коммутаторы c безопасностью и VLAN'ами
MS> обмануть изнутри можно.
Так вопрос не в дороговизне, а в грамотности производителя и в том, на что он
ориентируется. Для рынка того же 3Com вариант типа "пропускаем пакеты в
указанный VLAN" вполне может быть разумным.:)
MS> Maxim
-netch-
... "Сам ты дятел!" - подумал Мюллер
---
* Origin: Dark side of coredump (2:463/68.300)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
