ipsec e racoon & nat

Matteo Riondato rionda a gufi.org
Lun 27 Dic 2004 20:13:52 CET


Il giorno Lun, 27-12-2004 alle 19:49 +0100, Giuseppe dia ha scritto:
> 
> Volendo stare tranquillo, sto usando ipsec per garantire l'integrita' 
> dei dati  e fare si che nessun altro possa connettersi al mio ap 
> casalingo, realizzato con una prism e hostap e 4.10-p5, due schede di 
> rete realtek, una verso il modem e l'altra con indirizzo 192.168.x.x 
> verso lo switch.


Bene. Premetto che non darò la soluzione al tuo problema, ma farò alcune
osservazioni.
a) Ipsec su WIFI ti da un overhead terribile. Se sei sugli 11mbit ancora
peggio. Puoi migliorare un po' le cose con OpenVPN mi pare.
b) Quanto traffico hai? Fai una prova con kismet se puoi. Se riesci a
raccogliere 200mila IVs (Inictial Vector) unici in meno di 4 ore, allora
può avere senso pensare di implementare una sicurezza maggiore.
Altrimenti, aggiorna i firmware delle tue schede a continua ad usare
WEP, con una chiave decente. L'aggiornamento del firmware è abbastanza
indispensabile: con le nuove versioni moltissimi vendors hanno
implementato un sistema di filtraggio degli IV deboli, con un
conseguente miglioramento della sicurezza, almeno in piccoli ambienti
casalinghi che non generano molto traffico. Mi raccomando la pass per
generare la chiave, dev'essere realmente sicura (personalmente
preferisco scegliermi io la chiave direttamente, invece di farla
generare al software di configurazione).
c) Prima di pensare ad IPSEC, hai pensato ad altre cose più ovvie per
"rallentare" gli attacchi? BSSID broadcast disabilitato (ok, utilità
tendente a 0, ma meglio che 0 no?) ? Filtro MAC? Hai un firewall che
filtra anche i pacchetti della LAN? Filtra IP e MAC.
Può essere un'idea mettere su un RARP server?
d)Altra opzione: PPP.
Sì, PPP. Server PPP sull'host FreeBSD, il client si connette, il nome
utente viene passato in chiaro, ma la pass puoi criptarla con MSCHAPv2 o
cose del genere. E' una specie di WPA ante litteram, molto semplificato
e molto meno sicuro. Ci sono dei doc online.


(ultima opzione. Mi aspetto di venire fulminato)
Se passi ad una CURRENT recente (2 settimane fa al massimo, ma a quel
punto arriva a quella attuale), Sam Leffler ha fatto un ottimo lavoro e
ha importato il lavoro che ha fatto sul progetto MadWifi. In pratica ha
modificato i driver di molte schede di rete wifi e riscritto parecchio
del supporto per supportare 802.11i, ossia WPA2. Ovviamente anche WPA,
visto che quasi sempre per avere la possibilità di usare gli algoritmi
richiesti da WPA2 ci vorrà un cambio di hardware (eehhh...).
Documentazione su questo per FreeBSD (ancora) non ce n'e'...ma non
disperate :)


In conclusione (per coloro che sono arrivati fin qui):
Prima di metterti a tirare su VPN a destra e a manca, pensa se hai già
fatto tutto quello che potevi fare per implementare la sicurezza che ti
serve.

Saluti
-- 
Rionda aka Matteo Riondato
GUFI Staff Member (http://www.gufi.org)
FreeSBIE Developer (http://www.freesbie.org)
BSD-FAQ-it Main Developer (http://utenti.gufi.org/~rionda)
Sent from: kaiser.sig11.org running FreeBSD-6.0-CURRENT
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  187 bytes
Descrizione: Questa parte del messaggio =?ISO-8859-1?Q?è?Url:         http://mailman.gufi.org/pipermail/aiuto/attachments/20041227/7a17700e/attachment.bin


Maggiori informazioni sulla lista aiuto