mercoledì 26 novembre 2008

Sniffing pratico in una LAN

In quest'articolo vedremo in dettaglio i pericoli che incombono sulla fruizione di servizi Internet per computer che si trovano all'interno di una rete locale aziendale o casalinga. Faremo particolare riferimento alle reti cablate. Le reti Wireless presentano, oltre a quelle di seguito presentate, molte altre problematiche che non rientrano nello scopo di questo articolo.

Nella prima parte dell'articolo si esamineranno i concetti base sullo sniffing, che, nella seconda parte, applicheremo alle connessioni cifrate SSL.

Sniffing, le basi

Funzionamento della scheda di rete in modalità promiscua

In una rete Ethernet, i sistemi che ne fanno parte comunicano tra essi incapsulando i datagrammi IP in frame: ogni scheda di rete possiede un suo indirizzo MAC; al fine della spedizione, ogni sistema incapsula i pacchetti IP in frame Ethernet, che contengono l'indirizzo MAC del destinatario, e li invia sulla rete stessa, la quale rete (attenzione) è fisicamente condivisa tra tutti i sistemi.

Ognuno, all'interno di questa rete, può intercettare le comunicazioni che vi transitano. Se una scheda di rete funziona in modalità promiscua, ovvero disabilita il filtro di comparazione degli indirizzi MAC, essa è in grado di leggere ogni frame Ethernet che passa per la rete o, nel caso di reti con switch, per il segmento di rete in cui si trova. Un comune software di packet sniffing (il più famoso è Wireshark, ex Ethereal) può, quindi, intercettare quanto trasmesso su tale segmento.

Dato che i comuni protocolli di livello applicativo di Internet sono plain-text non cifrati (compreso l'HTTP), sarà possibile carpire password e frasi significative, senza sforzo alcuno. Diverso è certamente il caso dell'HTTP su SSL (chiamato spesso HTTPS) o di altri protocolli che si avvalessero dei servizi SSL. In questo caso infatti le comunicazioni sono crittografate e le informazioni che transitano sulla porzione di rete condivisa non sono leggibili.

Un'annotazione: funzionare in modalità promiscua non è sempre sintomo di attività illecite; ad esempio, la modalità bridging di VMWare (famoso software per la virtualizzazione dei sistemi) richiede che la scheda di rete sia in modalità promiscua.

Continua... http://sicurezza.html.it/articoli/leggi/2455/sniffing-pratico-in-una-lan/

Nessun commento: