bezpecnost nesifrovane komunikace na siti

[David Rohleder]

dtoman na fortech.cz (Dalibor Toman) writes:

>>
>> To neni tak uplne pravda, protoze mac address table se kontroluje (a
> meni) pri
>> kazdem prichodu datagramu do switche. Takze ten utocnik by musel
>> generovat pomerne netrivialni mnozstvi paketu, ktere by ukazovaly na
>> nej (tj. mely by zdrojovou MAC adresu shodnou s jednim z
>> odposlouchanych stroju).
>>
>> jo a na ARP switche stejne kaslou.
>
> je treba zaplnit MAC tabulku nesmyslama - pak switch nema jinou
> moznost nez poslat kazdy packet vsemi rozhranimi ven protoze hledana
> MACka v tabulce neni a je mozne sniffovat i tok, ktery nemel vubec
> danym rozhranim projit.
>
> Samozrejme takovy utok je mozny jen z lokalni site...

To je sice pravda, ale obavam se, ze takovy utok by bylo mozne pomerne
rychle detekovat, protoze by se vyznamne zmenilo chovani site, zejmena
prenosova rychlost.

Dalsi vec je ta, ze z mac address table se vyhazuji nejdele
nepouzivane zaznamy, takze ten dotycny by musel generovat takove
datagramy neustale. 

K detekci takovych veci je mozne pouzit treba arpwatch nebo
samozrejme spravne nastavit switch (nektere umi omezit pocet MAC
adres, ktere se na danem portu mohou vyskytovat).

-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------