Re: [OT] attacco al router
Wed 08 October 2014, alle 10:25 +0200, Gian Uberto Lauri ha scritto:
> allanon writes:
> > Tue 07 October 2014, alle 17:28 +0200, Gian Uberto Lauri ha scritto:
> > > gerlos writes:
> > >
> > > > Hai ragione: (forse) non è inutile, ma di certo è una complicazione
> > > > che rende più scomoda la vita agli utenti legittimi che magari
> > > > occasionalmente vogliono accedere alla rete, perché dovrai ogni
> > > > volta ottenere il MAC della nuova macchina da far accedere e
> > > > registrarlo sul router.
> > >
> > > La sicurezza funziona in questo modo: se l'attaccante deve spendere
> > > più di quello che guadagna allora le difese sono sufficienti.
> >
> > E se il difensore dovesse spendere piu' di quello che guadagna...
>
> Se ci pensi un attimo, il valore dell'oggetto difeso è sempre maggiore
> per il difensore che per l'attaccante. Pensaci.
Difatti e' il valore della difesa che va pagaronato agli sforzi fatti
per difendere qualcosa.
>
> > inserire il mac del device nella lista non e' gratis,
> > comporta un certo onere (di sbattimento) che non tutti sono disposti
> > a sostenere, a maggior ragione quanto la casa e' tipo un porto di mare.
> >
> > Quanti device di amici ci sono?
> > e' possibile inserirli in lista tutti in una volta?
>
> Il discorso è leggermente più complesso di come lo vedi tu. Non c'è
> solo l'essere amichevoli, ma c'è anche l'essere in grado di non mettere
> nei guai gli amici. E forse è meglio pensarci prima e organizzare con
> intelligenza le cose e non limitarsi ad un semplice scatolotto che
> non si presta ad un uso comodo.
>
> > perche' se al primo che arriva e chiede la connessione, tu devi
> > lasciar stare la birrozza che hai in mano;
>
> Se hai bevuto birra, forse è meglio che scordi attività sistemistiche,
> almeno oltre un certo livello di assunzione di alcolici.
>
> > alzarti dal divano;
> > accendere il pc;
>
> Lo spegni? No, non solo perché è comodo, ma ho anche il dubbio che lo
> smaltimento di certi rifiuti sia più antiecologico che mettere un
> computer attivo al minimo. E spegnere e accendere un computer è la
> fonte della sua usura (sono i transitori termici).
Suppongo che in futuro lontano, in una villetta indipendente dal punto di
vista energetico, non sentiro' l'urgenza di non sprecare energia nel
tenere acceso qualcosa anche quando non ci sono compiti da svolgere.
>
> > loggarti al router;
>
> Avendo una casa come un porto di mare ed un cervello tra le orecchie
> sicuro che trovo un modo pratico e sicuro per fare la cosa.
"Quale? Non invocare buone pratiche, esponile. Altrimenti sono buzzword."
cit.
>
> > ma non ricordi la password perche' l'hai impostata *bene*;
>
> Una buona password è sicura e ricordabile senza scriverla da qualche
> parte.
esatto, la uso per keepassx, poi fa tutto lui.
Cosi', anche qualosa dovessi spendere solo una manciata di calorie in
piu' per rimembrare cose, non devo in verita' farlo.
Considerando che ci sono almeno un centinaio di credenziali che un
utente comune utilizza..
>
> > allora devi autenticarti al tuo keepassx di fiducia;
> > loggarti al router;
> > modificare le impostazioni;
> > riavviare?;
>
> Ma usi Windows che riavvii? E non automatizzi una beata fava?
c'e' un punto interrogativo, perche' non sono sicuro che il router vada
riavviato.
>
> > sinceramente
> > e' molto meno oneroso, imho, affidarsi ad altre buone pratiche.
>
> Quali? Non invocare buone pratiche, esponile. Altrimenti sono buzzword.
Ero in effetti indeciso se esplicitarle o meno,
poi ho riflettuto,
le buone pratiche sono state gia' espresse nei post precedenti,
e le ho citate, comunque, in fondo al mio post.
Riguardano la scelta della wpa2, e il cambio periodico, niente di esoterico
>
> > Esempio di esempio pertinente.
>
> Perdona, esempio idiota.
>
> > campo minato -> fossato ricolmo di melma radioattiva -->
> > --> raggi laser --> godzilla ---> filo spinato
> >
> > Mi sembra abbastanza cristallino che lo sprovveduto non tema la sua
> > impotenza verso il ... filo spinato
>
> Mah, io il filo spinato lo vedo usato comunemente e di gozilla ho visto
> solo i modellini Bandai. Un esempio come il tuo è, perdonami, idiota.
E' volutamente idiota ^_^
e' parte dell'argomentazione mia il mostrare fino a quale livello di
idiozia bisogna spingersi prima di considerare *efficace*
il mac filter dopo il wpa2.
Al momento il wpa2 credo sia forzabile dopo 1 anno di consistente
raccolta dati, ergo la soluzione e' cambiare periodicamente la pass,
e agg il firmware del router all'esigenza.
Se il mac filter (google --> cambio mac address) e' un filo spinato
allora
il wpa2 non puo' essere che un campo minato, seguito da fossato
radioattivo, raggi lase e gozilla per finire.
Quello che non capisci e continui a non capire e' che le cose
vanno poste nella giusta proporzione.
Puoi anche mettere un firewall ad una macchina desktop non windows,
ma a che pro?? quale senso di sicurezza e' un muro a fronte di una
totale assenza di servizi da coprire???
mettere firewall e' gratis, ed e' anche una protezione...
ok, ma se e' inutile e' inutile. Fine, Punto.
L'essere "gratis" e l'essere "anche", non cambia l'inutilita' della cosa.
Che poi non e' mai "gratis", ma continua ad essere inutile.
>
> > E mi sembre abbastanza cristallino che un professionista che sia giunto
> > fin li' abbia la strumentazione adeguata per il... filo spinato
>
> Sicuramente. Ma il filo spinato lo obbliga ad impiegare il tempo e
> gli strumenti necessari a neutralizzarlo. Il filo spinato (ed il test
> sul MAC) non sono LA difesa, sono PARTE della difesa e lo scopo è
> principalmente dire "questo posto è difeso".
Mi sembra chiaro che non e' necessario spendere altre argomentazioni,
in quanto tu leggi ma non comprendi.
>
> > Cosi' e' piu' chiaro il diverso ordine grandezza tra la sicurezza
> > offerta dal WPA2 con passwd lunga, complessa, a cambio periodico,
> > e il filtro sul mac address
>
> Vero.
>
> Ma hai considerato che in questo modo nella casa "porto di mare" devi
> condividere eccessivamente il segreto obbligandoti alla rottura di
> rigenerare la password e ricondividerla con tutti quelli che
> transitano nel porto di mare - aumentando la probabilità che il
> segreto diventi un segreto di pulcinella?
In questa casa porto di mare, basta semplicemente dire al nuovo
arrivato che la pass per il wifi si trova in un fogliettino sopra il
router, puo' benissimo leggerla da se', e se vuole condividerla con
altri amici comuni, ha soltanto la mia benedizione.
Perche' la pass per il wifi degli amici non e' che *sembra* un segreto
di pulcinella, E' un segreto di pulcinella.
Perche' io non invito a casa mia gente sospetta.
Non ho motivo di affidare loro il mio conto in banca, ma la pass del
wifi sicuramente si.
--
Francesco Alaimo - GnuPG ID Key: A07FF2DB
Fingerprint 3D2F DCD4 6AB3 9C52 995A 969E D634 02FF A07F F2DB
Reply to: