
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">

<HTML>

<HEAD>

  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">

  <META NAME="GENERATOR" CONTENT="GtkHTML/3.28.3">

</HEAD>

<BODY>

So, picture two servers which talk to each other within a corporate LAN/WAN in a data center, and worker bees in an office location elsewhere in the same city, who only have hard-wired LAN access, and assume they have IP connectivity to the data center. <BR>

<BR>

And picture that these two servers have an unsecured http protocol they talk over. <BR>

<BR>

And picture a worker bee with too much time on their hands and the intent to hijack this. <BR>

<BR>

If said worker bee managed to get WireShark or similar installed on their workstation,&nbsp; they could sniff whatever that hard Cat5 cable can see.&nbsp;&nbsp;&nbsp; Which, assuming it is connected to a switch, not an old-fashioned hub, is pretty much zilch.&nbsp;&nbsp; Basically their own traffic. <BR>

<BR>

They can't see most traffic to/from the guy in the next cubicle to the servers, because the switch doesn't normally let them see it.&nbsp;&nbsp; For performance reasons, it isolates each LAN port.&nbsp;&nbsp;&nbsp; They can't see any of the server-server packets, because the two routers in between behave like switches, not hubs, and don't route local server-server traffic. <BR>

<BR>

So, assuming that Wifi is not available, it seems like the LAN sniffer attack vector based on seeing what is happening is pretty much moot.&nbsp;&nbsp;&nbsp; That is not to say that actively probing isn't rewarding.&nbsp; <BR>

<BR>

Let's take it one step farther: presume that it is trivial for these two servers to switch from talking http:80 to each other and start talking https:443 to each other.&nbsp;&nbsp;&nbsp; From the perspective above, this is a negligible practical improvement.&nbsp;&nbsp;&nbsp; It only gets interesting if we imagine someone able to get onto the local LAN in the data center.&nbsp; But even then, presuming that is also a switch, they ain't gonna see spit. <BR>

<BR>

Let's take it one step farther: assume that they could in fact compromise the data center switch, and capture a pile of the https traffic between servers.&nbsp;&nbsp; Would we logically assume that given today's technology that they could manage to decrypt it with enough CPU and time? <BR>

<BR>

Thoughts? <BR>

<BR>

Neal Rhodes<BR>

MNOP Ltd

</BODY>

</HTML>