[Tech] ok più info x la scheda di rete

[Marco Ermini]

leonardo disse:
> * lunedì 19 aprile 2004, alle 20:22, Marco Ermini scrive:
>> leonardo disse:
>
> ti rispondo perche' penso che qualcuno che legge cose inesatte potrebbe
> prenderle per buone, poi smetto come ho detto in passato.

Potrei farti la battuta: se vuoi evitare le inesattezze smetti di
rispondere ;-)


>> > Poi i denial of service che puoi fare a livello MAC e i
>> > problemi di gestione degli accessi non li risolvi cosi'.
>>
>> Non li risolvi proprio...
>
> questa e' una tua opione, discutibile, sopratutto sul controllo degli
> accessi.

Tutte sono mie opinioni, e sono discutibili quanto le tue, che non hai il
primato della verità.

I DoS non si risolvono e basta... si possono solo alleviare, creare dei
workaround, ma nulla di più. c'è un grossissimo provider USA di servizi
per transazioni bancarie che è da quasi due settimane sotto un attacco per
"estosione" (cioé "o mi paghi o non la smettiamo") e non ci possono fare
nulla...


>> > epidermico un par di p###e.
>>
>> A parte le scurrilità, il problema è proprio epidermico.
>
> mi scuso con chi si e' sentito offeso dal mio fallocentrismo, o
> sferocentrismo che dir si voglia :-)
> il problema rimane tuttaltro che epidermico.

Ripeto, le argomentazioni di Daniele erano un problema soprattutto
"epidermico". Che ci siano problemi tecnici l'ho chiarito piuttosto bene.


>> La crittografia wifi è implementata a vari livelli, dipende dal
>> protocollo. Tu la stai semplificando un po' eccessivamente: nel caso del
>> wifi non ci sono solo arp ed IP come nelle reti "cablate" come le ho
>> definite, e comunque non sono certo immuni dallo spoofing degli IP,
>> dalla
>> falsificazione dei MAC e dallo sniffing del traffico, anzi.
>
> la crittografia nelle WLAN e' implementata a livello MAC. il resto sono
> strumenti che puoi utilizzare in qualsiasi altra rete.

La crittografia è implementata a vari livelli. Tu continui a vedere
unicamente il protocollo IP dimenticandoti che quello è solo il protocollo
di transport. Ci sono vari livelli OSI, ma non ti seccherò oltre con
questioni accademiche e molto ben documentate.



>> Non so se mi sono spiegato: se tu hai la possibilità di attaccarti
>> fisicamente ad uno switch ethernet, in teoria puoi sniffare già senza
>> avere un IP una serie di protocolli spesso propagati in broadcast (ARP,
>> bootp, tftp ecc.) e "spoofare" mac address già presenti in rete: non
>> esiste alcun controllo di accesso nel link layer e nel trasport layer),
>> cosa che invece in teoria per le reti wifi c'è.
>
> la pila osi non e' opinabile. le reti wireless non hanno niente a che
> vedere con lo strato di trasporto.

Eh sì certo... il wi-fi non è un transport ;-)


> Inoltre lo standard 802.1X esiste a priori e lo puoi utilizzare per
> autenticazione a livello mac in ethernet, cosi' come potresti utilizzare
> PPPoE.

"Lo standard esiste a priori" che vuol dire?

Cerca di esplicitare: secondo te quindi in tutti i protocolli wi-fi ci si
autentifica unicamente tramite il mac address?




>> > Per non parlare, al solito,
>> > di denial of service, accessi difficili da controllare... la
>> > crittografia sulle reti wifi risolve (male) dei problemi che sulle
>> wired
>> > non ci sono,
>>
>> Ci sono eccome, anzi mi pare che tu li dia troppo per scontati...
>
> il problema e' quello delle autenticazioni a livello MAC. per reti wired
> di
> piccola dimensione e' un problema che non c'e', se fissi delle acl sullo
> switch per permettere di far passare solo un MAC per porta la cosa e'
> risolta,
> se io attacco il mio portatile allo switch ricevo il traffico
> per il mio MAC ma non quello per gli altri, e non posso spoofare il MAC
> perche' lo switch non mi fa uscire.
> se non posso spoofare il MAC me ne
> faccio poco del traffico ARP o broadcast ethernet. per reti grandi
> ovviamente tutto questo e' poco gestibile, quindi si possono usare i
> protocolli di cui sopra.

Capisco quello che dici. Il fatto è che:

1) Io posso falsificare molto facilmente il mio mac address, sia con
schede wireless che wired, ed una volta introdotto in qualche modo in un
PC che è autenticato il problema non si pone.

2) nelle reti piccole e medie nessuno implementa queste policy, vuoi
perché si usano switch stupidi o addirittura hub, vuoi perché è tempo
perso; nelle reti grandi è ingestibile.

Quindi posso essere d'accordo con te, ma stai facendo un discorso
totalmente teoretico e quindi praticamente inutile.


> per le reti wireless invece c'e' *sempre* e molto piu' grave perche'
> coinvolge anche il parcheggio sotto casa tua, o sotto la sede della
> telecom.

Certo. Allo stato attuale sì.


>> > quindi dire che e' meglio e' come dire che un piccolo poggio
>> > e una grossa buca fa meglio che pari.
>>
>> Non dico che è meglio ma che è _potenzialmente_ meglio. Come spiegavo
>> prima, quello che manca sono due cose:
>>
>> 1) protocolli veramente sicuri, e
>
> no. i protocolli sono gli stessi che potresti applicare alle reti
> wired,

Mi spiace ma a questo punto la discussione si chiude. Definitivamente non
sai cosa è il wi-fi. Questa tua ultima affermazione è eclatante.


[...]
> che cosa sia una "relativa" protezione da attacchi di forza bruta non lo
> so. so pero' che LEAP si e' dimostrato vulnerabile ai dictionary attack.

Devi saper leggere questi security advisory. E' il solito vecchio
problema, uno vede un advisory su Apache e dice "ecco! Apache è
vulnerabile", in realtà sono _tutti_ vulnerabili ed Apache è l'unico che
offre una patch o che affronta il problema...

Io mi auguro solo che tu _non_ ti occupi di security!

Leggi bene: TUTTI i protocolli di autenticazione wi-fi (che guardacaso NON
sono gli stessi delle reti wired, e non so perché ti ostini a dire che
sono gli stessi... come preferisci tu!!!) sono vulnerabili a questi
attacchi, l'_unico_ che offre una qualche protezione è proprio il Cisco
LEAP, che è l'unico (a detta di gente molto più esperta di me e che sta
lavorando proprio con me nel mio progetto attuale, che guarda caso è
correlato - per carità io non sono un esperto specificamente di wifi) che
è in qualche modo sicuro anche se non è certo sicurissimo; tutti gli altri
sono emerite ciofeche.

Il mio discorso era decisamente diverso ed andava ben oltre, visto che io
parlavo di _potenzialità_ e di _enforcing_ dei protocolli. Finché al
singolo utente cazzone è data la possibilità di creare una rete senza
autenticazione e senza criptazione, queste reti saranno sempre insicure.


ciao
-- 
Marco Ermini
http://www.markoer.org
Dubium sapientiae initium. (Descartes)
<< This message is for the designated recipient only and may contain
privileged or confidential information. If you have received it in
error, please notify the sender immediately and delete the original.
Any other use of the email by you is prohibited. >>