[Tech] ok più info x la scheda di rete

Marco Ermini markoer@usa.net
Lun 19 Apr 2004 20:22:16 CEST 

leonardo disse:
> * domenica 18 aprile 2004, alle 22:08, Leonardo Boselli scrive:
>> On Sun, 18 Apr 2004, Marco Ermini wrote:
>
>> Io di solito a chi ha fisime di sicurezza suggerisco di criptare
>> personalmente i dati prima di metterli in rete. A questo punto la
>
> ma questo non lo puoi mica fare per tutto... finche' si tratta di email
> e attach va bene, ma non esistono protocolli di alto livello per
> qualsiasi cosa.

Esistono le VPN, che criptano appunto qualsiasi cosa.


> Poi i denial of service che puoi fare a livello MAC e i
> problemi di gestione degli accessi non li risolvi cosi'.

Non li risolvi proprio...


>>> > In fondo il wifi non mi pare abbassi la media della privacy e della
>> > sicurezza individuale... forse il problema è più un senso "epidermico"
>> di
>> > insicurezza che deriva intrinsecamente dal fatto che il transport
>> fisico è
>> > facilmente intercettabile da chiunque... ma già il fatto che un
>> qualche
>
> epidermico un par di p###e.

A parte le scurrilità, il problema è proprio epidermico.



>> > tipo di criptazione (seppur insufficiente, sono d'accordo con te)
>> avvenga
>> > _comunque_ a livello di protocollo, già di per sé lo rende "migliore"
>> > delle tecnologie tradizionali... una rete wifi criptata è come se
>> > operasse, praticamente, su tante VPN.
>
> La crittografia delle wifi si ferma a livello MAC, perche' il problema
> sta a quel livello e in ogni caso e' difficile che sia meglio di una
> rete wired switchata con le tabelle arp fisse.

La crittografia wifi è implementata a vari livelli, dipende dal
protocollo. Tu la stai semplificando un po' eccessivamente: nel caso del
wifi non ci sono solo arp ed IP come nelle reti "cablate" come le ho
definite, e comunque non sono certo immuni dallo spoofing degli IP, dalla
falsificazione dei MAC e dallo sniffing del traffico, anzi.

Le reti wifi hanno una serie di cosette in più in gioco fin nel link e
transport layer OSI che le rendono molto più complesse (ed anche
interessanti...) ma che inevitabilmente moltiplicano e complicano i
fattori in gioco, ma _potenzialmente_ potrebbero essere anche PIU' sicure
delle reti "cablate" proprio perché un protocollo di identificazione e di
controllo di accessi è implementato fin da un livello OSI più basso di
quello previsto per ethernet.

Non so se mi sono spiegato: se tu hai la possibilità di attaccarti
fisicamente ad uno switch ethernet, in teoria puoi sniffare già senza
avere un IP una serie di protocolli spesso propagati in broadcast (ARP,
bootp, tftp ecc.) e "spoofare" mac address già presenti in rete: non
esiste alcun controllo di accesso nel link layer e nel trasport layer),
cosa che invece in teoria per le reti wifi c'è.

Se poi consideri che praticamente nessuna rete di una certa dimensione
effettua controlli sul mac address perché sarebbe praticamente ingestibile
(per non dire che il 99% delle grosse aziende ti dà senza controllare un
tubo un bell'IP, un GW e dei bei DNS in DHCP nel momento zero in cui ti
attacchi in rete... io come consulente ne ho girate di aziende, te
l'assicuro ;-) il wifi potenzialmente permette potenzialmente di applicare
in modo praticamente gestibile dei controlli di accesso fisico alla rete.


> Nel secondo caso chi ti
> vuole sniffare deve almeno entrarti in casa.

Cosa che non è un gran problema in realtà; mi spiego: se parli di casa mia
è un conto, ma se parliamo di grandi aziende con centinaia di consulenti
che entrano ed escono ogni giorno... casa mia è poco interessante, l'IBM o
Unicredito o Telecom Italia lo sono molto di più, e le torrette di rete
nelle sale riunioni sono quasi sempre attive (giusto per darti un'idea di
come potresti fare ;-).

Quasi più facile che girare con la city di Londra con uno scanner per le
reti wifi... ;-)


> Per non parlare, al solito,
> di denial of service, accessi difficili da controllare... la
> crittografia sulle reti wifi risolve (male) dei problemi che sulle wired
> non ci sono,

Ci sono eccome, anzi mi pare che tu li dia troppo per scontati...


> quindi dire che e' meglio e' come dire che un piccolo poggio
> e una grossa buca fa meglio che pari.

Non dico che è meglio ma che è _potenzialmente_ meglio. Come spiegavo
prima, quello che manca sono due cose:

1) protocolli veramente sicuri, e
2) l'_enforcing_ di tali protocolli.

Per esempio il Cisco LEAP ha anche una (relativa) protezione da certi tipi
di attacchi a cui gli altri protocolli sono sensibili a livello di
autenticazione utente (come i dictonary o brute force attack, che dir si
voglia).


ciao
-- 
Marco Ermini
http://www.markoer.org
Dubium sapientiae initium. (Descartes)
<< This message is for the designated recipient only and may contain
privileged or confidential information. If you have received it in
error, please notify the sender immediately and delete the original.
Any other use of the email by you is prohibited. >>

Maggiori informazioni sulla lista flug-tech