Ciao a tutti...
Recentemente dalle mie parti stanno installando degli hot spot nei piccoli paesini difficilmente coperti da adsl/banda larga, praticamente diverse aziendine fanno arrivare nei vari comuni una sola linea "decente" (spesso delle HDSL da 2m bidirezionale - in una addirittura una ngi, chissa se quelli di ngi sanno che questi qua rivendono il servizio...), e l' "ultimo miglio" (l'ultimo centinaio di metri...) lo fanno arrivare ai clienti tramite un access point wifi e tanti piccoli router come client...
Ora viene il piu' bello. Nessuno di questi apparecchi ha manco il wep abilitato (figurati il WPA), vengono installati router PIETOSI ultra economici ad una singola antenna, che se il segnale arriva è un miracolo (basta che il tempo cambia che i ping schizzano a piu' di 300ms - quando arrivano).
Il bello è che forniscono anche dei comuni e municipi... Quindi password pop3 ed altro viaggiano allegramente nell'aria senza protezioni.
Uno di questi clienti è un mio amico, al quale ho parlato della criticita' della situazione, il quale ha rigirato la lamentela ai fornitori del servizio, i quali hanno risposto:
"Se riscono a bucare la rete gli offro una cena"...
Ora, entrare nella rete dei pc di un client non credo sia semplice (c'e' un router che fa il natting - l'interfaccia esterna è la rete wifi, e la interna è la sua rete - per inciso, i router hanno le password di default...), ma si puo' tranquillamente sniffare tutto il traffico internet.
Ed ho gia' visto decine di comuni messi nella stessa situazione.
Ma è possibile? La privacy è normale che possa essere messa in mano a gente simile?
Per economici che sono questi router hanno tutti la possibilita' di fungere da client vpn. Perchè non fare un canale vpn sopra il quale far viaggiare i dati?
Voi cosa ne pensate? faccio male a sentirmi così allarmato?
Ultimo miglio con reti wifi... CRITICA
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Che tristezza...!
La unica cosa che mi vine in mente x "giustificare" questa poca protezione è la paura di rallentare la rete wi-fi usando WPA...
Chiaramente, se anche fosse, non li giustifico e sicuramente mi incaxxerei anche io!
Molto probabilmente gli sa fiacca (o non sono abbastanza competenti) per avere una struttura sicura...
In che provincia sono questi paesini?
La unica cosa che mi vine in mente x "giustificare" questa poca protezione è la paura di rallentare la rete wi-fi usando WPA...
Chiaramente, se anche fosse, non li giustifico e sicuramente mi incaxxerei anche io!
Molto probabilmente gli sa fiacca (o non sono abbastanza competenti) per avere una struttura sicura...
In che provincia sono questi paesini?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Mah, non so se dirlo dove si trovano... Gia' sono reti 'a rischio', magari qualcuno che non se n'e' ancora accorto va a farci un giro e ruba per es. dei dati anagrafici dei comuni e sono ca**i...
Meno si sa di questi fenomeni, meglio è...
Dalle mie parti è pieno di piccoli paesini sparsi, dove la telecom fa fatica a portare copertura con l'adsl. Si sa che il 3g non è una soluzione, percio' di per se l'idea per abbattere il digital divide col wifi non è male, ma è come è stata implementata...
Ok che wpa e vpn aumenterebbero l'overhead, quindi la banda disponibile scende, ma montando dei router decenti con antenne furbe tutto quello che perdi con la crittografia lo riprendi (e probabilmente con gli interessi...). Come latenza l'isdn è 100 volte meglio (in alcuni posti dove fanno solo navigazione mi hanno detto di essersi trovati meglio con l'isdn!!! Ovvio che se scarichi roba grossa, non c'e' paragone)
La cosa che mi rattrista è che è lo stato a pagare ai comuni questo servizio ai comuni (tramite varie convenzioni), perchè ai comuni lo stato fa arrivare solo l'isdn rupar (e MOLTO raramente fastweb, adsl e connessioni satellitari BIDIREZIONALI direttamente gestite da loro), quindi con i soldi pubblici si pagano questi scempi...
Altra cosa carina, non c'e' un minimo di qos tra i vari client
Insomma, tutto campato li per aria...
Meno si sa di questi fenomeni, meglio è...
Dalle mie parti è pieno di piccoli paesini sparsi, dove la telecom fa fatica a portare copertura con l'adsl. Si sa che il 3g non è una soluzione, percio' di per se l'idea per abbattere il digital divide col wifi non è male, ma è come è stata implementata...
Ok che wpa e vpn aumenterebbero l'overhead, quindi la banda disponibile scende, ma montando dei router decenti con antenne furbe tutto quello che perdi con la crittografia lo riprendi (e probabilmente con gli interessi...). Come latenza l'isdn è 100 volte meglio (in alcuni posti dove fanno solo navigazione mi hanno detto di essersi trovati meglio con l'isdn!!! Ovvio che se scarichi roba grossa, non c'e' paragone)
La cosa che mi rattrista è che è lo stato a pagare ai comuni questo servizio ai comuni (tramite varie convenzioni), perchè ai comuni lo stato fa arrivare solo l'isdn rupar (e MOLTO raramente fastweb, adsl e connessioni satellitari BIDIREZIONALI direttamente gestite da loro), quindi con i soldi pubblici si pagano questi scempi...
Altra cosa carina, non c'e' un minimo di qos tra i vari client
Insomma, tutto campato li per aria...
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ma ogni casa o azienda ha una sua dmz e quindi subnet o sono tutti nella stessa subnet...?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Come dicevo prima, c'e' l'access point che fornisce l'accesso (probabilmente tramite mac address o indirizzo ip - collegando un client l'access point lo collega normalmente e gli da pure un ip, ma poi non naviga - è solo per evitare che gente navighi a scrocco...), poi ogni edificio ha un router wireless con l'indirizzo ip statico. L'interfaccia interna dei router ha un indirizzo in un'altra subnet rispetto all'interfaccia esterna, quindi il router fa il nat per permettere alle postazioni internet di navigare, usandolo come gateway.
Quindi, entrare nelle reti non credo che sia semplice, ma sniffare il traffico non protetto, quello è cosa sicura
Quindi, entrare nelle reti non credo che sia semplice, ma sniffare il traffico non protetto, quello è cosa sicura
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ok, almeno 2 clienti non sono nella stessa subnet e quindi non si posso vedere (in teoria) tra loro...
Ricordate una cosa: IL NAT NON E' UNA TECNICA DI SICUREZZA anche se è meglio di nulla...
Cmq si, sniffando si fa poca fatica a trovare i mac che possono fare traffico e a fare spoofing...
Ricordate una cosa: IL NAT NON E' UNA TECNICA DI SICUREZZA anche se è meglio di nulla...
Cmq si, sniffando si fa poca fatica a trovare i mac che possono fare traffico e a fare spoofing...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Il nat puo' essere sicuro se all'interno della stessa rete ci sono piu' host che navigano contemporaneamente, in modo che i pacchetti escano molto mischiati ad altri (tipo passati nel tritadocumenti), ma pacchetti come quelli di autenticazione sono piccoli, credo che si possano trovare facilmente. Poi mettendo insieme tutti quelli diretti verso lo stesso host, non credo sia difficile avere il dato di origine...
-
daysleeper
- Network Emperor
- Messaggi: 347
- Iscritto il: gio 20 ott , 2005 12:47 pm
- Località: Gioia del Colle(ba)
Ma per caso usano i mikrotik?
A daje e daje le cipolle diventan'aje!!!
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Sai che non mi ricordo?
Da come era l'interfaccia sembrava una cineseria...
Solo in un comune ho trovato un wrt54g... Poveraccio, montato all'interno di una scatola sopra un palo sul tetto... Gia' di per se quei cosi scaldano una botta, ancora messi al sole senza ricambio di aria...
Vedo all'orizzone molti guasti
Dal mio amico hanno messo un routerino di quelli a singola antenna (molto corta)...
Da come era l'interfaccia sembrava una cineseria...
Solo in un comune ho trovato un wrt54g... Poveraccio, montato all'interno di una scatola sopra un palo sul tetto... Gia' di per se quei cosi scaldano una botta, ancora messi al sole senza ricambio di aria...
Vedo all'orizzone molti guasti
Dal mio amico hanno messo un routerino di quelli a singola antenna (molto corta)...
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Ma sai che ci ho gia' pensato!!
Vado un secondo la sotto con la backtrak 3, giusto il tempo ti tirare via qualche pass pop3 o web non ssl, magari il testo di qualche mail...
Naaa, sarei da denuncia...
Sarebbero loro quelli da denuncia!!!
Pensa te, neanche WPA, neanche il gusto di usare le rainbow tables :->
E non mi stupirei se prendendo ip e/o mac di uno dei router client(preventivamente scollegato - tanto ad esempio il router del mio amico è messo comodo sul balcone, basta una scala) ci posso navigare con la loro connessione, e magari organizzare un attentato terroristico nel week end
Pazzesco...
Vado un secondo la sotto con la backtrak 3, giusto il tempo ti tirare via qualche pass pop3 o web non ssl, magari il testo di qualche mail...
Naaa, sarei da denuncia...
Sarebbero loro quelli da denuncia!!!
Pensa te, neanche WPA, neanche il gusto di usare le rainbow tables :->
E non mi stupirei se prendendo ip e/o mac di uno dei router client(preventivamente scollegato - tanto ad esempio il router del mio amico è messo comodo sul balcone, basta una scala) ci posso navigare con la loro connessione, e magari organizzare un attentato terroristico nel week end
Pazzesco...
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Oltre al blocco su MAC (se c'è) non esiste nessuna autenticazione su radius (ad esempio)?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
La VPN su Wireless NON è una soluzione.......ma,scusa,io non ci credo che abbiano potuto fare una cosa del genere....basta che io metto su un router WIFI,sniffo per 30 sec e navigo a sbafo......ummm......vai e sniffa.....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Perchè la vpn non la vedresti bene come soluzione?
WPA potrebbe anche essere sufficiente (finchè non trovano un modo per evitare le rainbow tables... SHA-1 è l'algoritmo, giusto?), ma per una sicurezza decente penso che una vpn non sia così male... In fondo la banda a disposizione è sufficiente (antenne, portata e disturbi permettendo) da permetterlo...
Poi per navigare a sbafo penso che dovro' o prendere l'ip o il mac (o entrambi) di uno dei dispositivi, il che implica anche tirarlo giu' (2 mac o 2 ip sulla stessa rete non sono una bella cosa )
WPA potrebbe anche essere sufficiente (finchè non trovano un modo per evitare le rainbow tables... SHA-1 è l'algoritmo, giusto?), ma per una sicurezza decente penso che una vpn non sia così male... In fondo la banda a disposizione è sufficiente (antenne, portata e disturbi permettendo) da permetterlo...
Poi per navigare a sbafo penso che dovro' o prendere l'ip o il mac (o entrambi) di uno dei dispositivi, il che implica anche tirarlo giu' (2 mac o 2 ip sulla stessa rete non sono una bella cosa
)