Estaba leyendo el wiki sobre el modo promiscuo cuando encontré una información aquí que sugiere que uno podría usar Conmutadores de red para evitar el uso malicioso del modo promiscuo.
En el contexto de una LAN Ethernet, un atacante puede detectar paquetes o realizar una falsificación de ARP como mínimo. Tengo curiosidad acerca de cómo el uso de un conmutador de red puede evitar cualquiera de estos problemas.
El modo promiscuo significa decirle a una tarjeta Ethernet que registre todos los paquetes que pasan, no solo los que se dirigen directamente a ella o las transmisiones.
Sin embargo, si esa tarjeta está conectada a un conmutador, normalmente el conmutador solo envía los paquetes de la tarjeta que se dirigen directamente a él (o para transmitir), por lo que no hay nada más que la tarjeta pueda ver.
Lo dije normalmente porque hay algunas circunstancias en las que un switch envía otro tráfico a un puerto en particular:
Por lo tanto, no puede suponer que la instalación de los conmutadores hace que el modo promiscuo desaparezca completamente como una amenaza; un atacante determinado podría atacar el interruptor para intentar hacer una de estas cosas y enviarle paquetes adicionales que pueda leer con una tarjeta de red promiscua.
(Y, por supuesto, un atacado determinado también hará otras cosas, como atacar a otros bits de la red para hacer que le envíen paquetes que no deberían).
Sin embargo, los interruptores impiden que el usuario ocasional utilice WireShark o Firesheep para hurgar en la red; y, en cualquier caso, ofrecen otras ventajas, por lo que la mayoría de los administradores de redes ya se han actualizado a ellos.
Como lo menciona @ Graham-hill, en un nivel básico con un conmutador, un host en la red solo verá el tráfico destinado a él.
El ataque común citado para esto es la falsificación / envenenamiento ARP donde un host malicioso envía respuestas ARP a las solicitudes para intentar que otros hosts crean que es un sistema específico (generalmente el enrutador para esa subred).
Las defensascontra la falsificación / envenenamiento ARP dependen en gran medida de los interruptores que use. Muchos interruptores tienen características para defenderse de esto. Por ejemplo, Cisco Port Security . Esencialmente, por lo que he visto, esto implica que el switch aprende qué puertos tienen qué direcciones MAC y rechazando el tráfico de los hosts que afirman tener una dirección que ya sabe que se encuentra en un puerto diferente ...
Creo que la entrada podría estar refiriéndose a las diferencias entre un conmutador y un concentrador. Un conmutador no compartirá el tráfico a los otros puertos del dispositivo, a diferencia de un concentrador. Puede oler a cualquier persona que esté conectada a un concentrador (no a un conmutador) independientemente del puerto en el que estén.
También hay problemas con los interruptores. Sin embargo, muchos conmutadores más nuevos protegerán contra la inundación de MAC, también conocida como sobrecarga de un conmutador con respuestas ARP y forzando al conmutador en modo de reenvío, donde alguien en modo promiscuo verá toda la información independientemente del puerto (como un concentrador).
El envenenamiento ARP es un problema, pero algunos servidores DHCP o modificadores más nuevos deben tener la detección integrada.
De cualquier manera, se deben usar herramientas como ARPwatch y varias herramientas de NetMon para detectar irregularidades.
En conclusión, un interruptor es mejor que un concentrador, pero no es perfecto.