Configurazione della rete LAN per maggiore protezione

 

Bisogna sostituire l'HUB  con uno switch per avere una difesa effettiva contro uno sniffer. Questa soluzione è estremamente effettiva in pratica ma  non dovrebbe essere utilizzata come unica difesa contro gli sniffer. Uno switch crea ancora un "Broadcast Domain", dando ad un Hacker l'abilità di truffare i pacchetti di ARP.  

Il modo più facile è il "router redirection". ARP contiene il corretto IP-to-MAC mappato per il mittente. Più macchine nasconderanno queste informazioni evitando che un hacker possa reinstradare macchine vicine per spedire traffici attraverso la propria macchina.

Una macchina WINDOWS quando vede che un altro utente usa il proprio indirizzo sopra la rete, fa cadere il proprio stack di TCP/IP e gli  permette di continuare.

Alcuni adattatori Ethernet permettono di configurare manualmente gli indirizzi MAC. Così un hacker  può truffare gli indirizzi MAC riassegnando gli indirizzi sull'adattatore o bypassando lo stack. L'hacker deve mantenere un flusso continuo di frame in partenza in modo da convincere che sia il proprietario legittimo dell'indirizzo di MAC.  

I pacchetti ARP contengono sia il binding locale che il binding desiderato. Per esempio, supponiamo che Alice vuole trovare l'indirizzo Ethernet MAC di Bob. Supponiamo che Bob ha come indirizzo IP  "192.0.2.1". Alice manderebbe una richiesta ARP con le informazioni seguenti.  

 

Operazione: Request 

Alice: 192.0.2.173        00-40-05-A4-79-32 

Bob: 192.0.2.1             ?? ?? ?? ?? ?? ?? 

 

Lo scambio avviene nel seguente modo: Alice ha un pacchetto IP da spedire a Bob per ottenere l'indirizzo MAC di Bob. Bob risponde ad Alice, dicendole il suo indirizzo MAC. Ora Alice spedisce il suo pacchetto all'indirizzo MAC di BOB.  

Ora Bob ha un pacchetto IP da spedire ad Alice. In teoria, Bob avrebbe bisogno dell' ARP di Alice per trovare il suo indirizzo di MAC. Ma lui non lo fa perché ricorda il suo indirizzo MAC,  informazioni che furono spedite nella richiesta di ARP originale.

Infatti, ognuno vede sulla Ethernet locale la richiesta quando è stata  trasmessa. Così se Charles a questo punto vuole colpire Alice, non ha bisogno del suo ARP, anche se lui non è coinvolto nella comunicazione tra Alice e Bob.  

Le trasmissioni sono spedite ad ognuno su un Ethernet switch. Perciò, un utente può sovvertire lo switch mandando l'ARPs e chiedendo di  essere qualcun'altro come indirizzo sorgente. Esso può trasmettere fuori da un ARP dicendo di essere il router in modo che ognuno tenterà di indirizzarlo attraverso esso, oppure l'utente può spedire solo una richiesta di ARP all'indirizzo MAC della vittima, dicendo di essere il router in modo tale che la vittima spedisca pacchetti solo a lui. Al contrario.,un utente può spedire un ARP all'indirizzo MAC del router dicendo di essere la vittima. In tutti questi casi, l'utente deve essere preparato a spedire pacchetti nella vera direzione, altrimenti esso fa cadere la comunicazione.  

La maggior parte degli switch permettono una configurazione statica prevenendo cosi la situazione descritta. Questa gestione risulta difficile da fare per tutti gli end-nodes, ma utile per il router, poiché può restringere l'hacker a intercettare individualmente gli end-nodes anziché tutti contemporaneamente.  

Degli switch possono essere settati dalla modalità "BRIDGING" a "REPEATING" in modo che tutti i frame siano sparsi su tutte le porte nello stesso istante di tempo. Ciò viene fatto inondando la tavola  degli indirizzi con molti indirizzi di MAC falsi. Questo può essere fatto con una semplice fase di generazione di traffico, o spedendo un flusso continuo di immondizia casuale attraverso lo switch. In termini di sicurezza, questo è noto come, "fail open" volendo dire che quando il dispositivo fallisce, le disposizioni di sicurezza sono rimossi.  

 

Adattatori che non supportano lo sniffing

 

In generale non esistono adattatori che non supportano lo sniffing.  

In realtà ci sono alcuni adattatori vecchi che non supportano la modalità promiscua come gli IBM TOKEN RING. Ci sono anche alcuni Ethernet dove la modalità promiscua non può essere imposta, o nel hardware o nel driver. Attualmente ci sono alcuni adattatori ai quali manca semplicemente la funzionalità nel driver di settare la modalità promiscua e ciò significa che tutti i programmi che tentano di metterli in modalità promiscua falliranno anche se l'hardware, in teoria, sostiene la modalità. Anche se un Hacker non può sniffare un intero segmento Ethernet, può installare uno sniffer su macchine per vedere il traffico entrante/uscente. Un adattatore non-promiscuo non è di  aiuto contro questa situazione.