Re: iptables (o altro) accesso solo ad alcuni host

To: debian-italian@lists.debian.org
Subject: Re: iptables (o altro) accesso solo ad alcuni host
From: Lucio Crusca <lucio@sulweb.org>
Date: Wed, 14 Nov 2007 00:18:27 +0100
Message-id: <[🔎] fhdbfb$mn4$1@ger.gmane.org>
References: <[🔎] 200711131458.22668.butterfly@fuckaround.org>

Pol Hallen wrote:

> Come misure di sicurezza (oltre alla cifratura wifi) e ai mac address
> vorrei implementare qualcosa sul server che neghi tutti gli hosts
> (compresi quelli attaccati via cavo) e che accetti soltanto hosts connessi
> via wifi (autenticazione tipo mac address e ip).
L'unica vera autenticazione è quella legata all'utente più che all'hardware.
I mac address sono tranquillamente spoofabili e comunque credo che tu possa
specificare solo quelli degli access point, non quelli dei client wireless,
in quanto una volta attraversato l'access point il mac address del client
non è più visibile al gateway. Secondo me il modo più semplice è richiedere
autenticazioe ad utente e password su squid (credo che squid supporti vari
backend di autenticazione, dal normale file di password a kerberos e
compagnia bella).

> 
> Cio' significa che se qualcuno si attacca via cavo dall'interno alla rete
> non deve poter avere accesso - idem per chi si parcheggia sotto e inizia a
> fare wardriving ;-)
Il wardriving te lo togli di torno mettendo la wireless in WPA ed usando un
bel passwordone generato a caso o ancora meglio un server Radius (tutto
dipende dalle dimensioni della rete, ma 10 access point mi danno
l'impressione di qualcosa per cui Radius potrebbe già valere la pena).

> 
> Cioe': se qualcuno riesce a by-passare le "protezioni" wifi e tutto il
> resto, il server deve comunque agire e bloccare gli intrusi.
Nota che se uno riesce a bypassare le protezioni WPA con Radius,
probabilmente arriva da marte e riesce a bypassare anche l'ultimo ostacolo
sul gateway, quantomeno sniffando la password di qualcun altro che passa
via etere sulla wireless...

> 
> Mi chiedo cosa potrei usare (magari qualche regoletta di iptables?)
Ho paura che non te la caverai con così poco...

> o se 
> esiste qualcosa di gia' fatto che sul server neghi l'accesso a questi host
> intrusi.
iptables -A FORWARD -p all -j DENY_IF_UNKNOWN... ma dubito che funzioni!

> 
> Un'idea potrebbe anche essere openvpn, ma alcuni client non la supportano
> (a memoria mi viene in mente che supportano l2tp, pptp).
Hai pensato all'autenticazione biometrica? Un modo economico potrebbe essere
richiedere agli utenti legittimi di gridare la loro password verso il
gateway, il quale munito di microfono e software di riconoscimento vocale
cerca di matchare il timbro vocale con l'utente e poi verifica anche che la
password sia quella giusta... ok sto scherzando ovviamente, ma era solo per
dire che forse openvpn non è la soluzione adatta, dato che è stato studiato
per risolvere una problematica un po' diversa.

Lucio.

Reply to:

Follow-Ups:
- Re: iptables (o altro) accesso solo ad alcuni host
  - From: Leonardo Boselli <leo@dicea.unifi.it>

References:
- iptables (o altro) accesso solo ad alcuni host
  - From: Pol Hallen <butterfly@fuckaround.org>

Prev by Date: acpi pentium4 ventola rumorosa
Next by Date: Re: Iceweasel + flash-plugin non vedo le pagine flash
Previous by thread: iptables (o altro) accesso solo ad alcuni host
Next by thread: Re: iptables (o altro) accesso solo ad alcuni host
Index(es):
- Date
- Thread