[Tech] firewall trasparente

Silvio Relli admin@rello.it
Mar 7 Ago 2007 12:22:26 CEST 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1



fabio franci wrote:
> a.podavini@mclink.it wrote:
>>
>> Gian wrote:
>>> fabio franci wrote:
>>>
>>>> Buongiorno. Per limitare alcuni usi poco ortodossi della
>>>> rete, ho l'esigenza di assegnare staticamente e in modo certo
>>>> indirizzi IP e  MAC addresses,
>>>>
>>> I MAC address non si dovrebbero** mai assegnare.
>>>
>>> [...]
>>>
>>> ** l'uso del condizionale apre scenari interessanti ;)
>> La cosa che Gian sta cercando di dire è che è facilissimo fare
>> quel che si chiama "MAC spoofing", ossia cambiare al volo il MAC
>> di un'interfaccia per fingere di essere chi non si è.
>>
>> Gli "scenari interessanti" cui allude (e facendo finta di non
>> cogliere l'ammiccamento hackeroso ;-)) si riferiscono al fatto
>> che potendo facilmente manipolare sia IP che MAC, qualsiasi
>> filtro che si basi SOLO su questi parametri è da considerarsi
>> intrinsecamente insicuro.
>
> Vuoi dire che anche se l'associazione MAC-IP non è nota, si può
> comunque ricavare dai pacchetti in transito una coppia valida e
> appropriarsene?


si, e senza nemmeno troppa fatica (arp-poisoning ecc ecc), basta stare
un pò in ascolto con ethereal e beccare qualcosa in broadcast


> Allora mi viene in mente, sarebbe possibile usare IPSEC per evitare
> che connettendomi ad una presa a muro, possa risalire a delle
> credenziali giuste? Che altre soluzioni potrei usare?
>
> Fabio Franci
>

Io ho usato in un occasione queste regole:

# per i mac address non autorizzati viene bloccato il setup delle
connessioni tcp (syn)
# accettiamo il pacchetto di inizio connessione per i mac autorizzati
iptables -A FORWARD -i eth1 -p tcp --tcp-flags SYN SYN -m mac
- --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
 
# droppiamo l'inizio delle connessioni da tutti gli altri host
iptables -A FORWARD -i eth1 -p tcp --tcp-flags SYN SYN -j DROP
# cio' che non è inizio connessione viene lasciato passare
iptables -P FORWARD ACCEPT


Effettivamente questo tipo di filtraggio è aggirabile tramite
mac-spoofing.

- --


+----------------------------SIGNATURE:-------------------------+
| Silvio Relli aka "Rello"  admin(at)rello.it ---> www.rello.it |
|   >>> GPG key: 1024D/B24DEED3 <<<     www.debianhardstyle.net |
| "I videogiochi non influenzano i bambini. Voglio dire,        |
| se pac-man avesse influenzato la nostra generazione, staremmo |
| tutti saltando in sale scure, masticando pillole magiche      |
| e ascoltando musica elettronica ripetitiva"                   |
| (Kristian Wilson, Nintendo Inc, 1989.)                        |
+---------------------------------------------------------------+




-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGuEfiNeGTXLJN7tMRAsRGAKCVijr51iJXSJnmL8tP4AYy0dFugwCeKpWd
4ZoM+lGcYa97mG7BMgkOky0=
=QDwF
-----END PGP SIGNATURE-----

Maggiori informazioni sulla lista flug-tech