[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2

El jue, 23-05-2013 a las 07:27 -0300, ciracusa escribió:
> Flako, gracias por tu respuesta.
> 
> Va entre tus líneas:
> 
> On 22/05/13 19:59, Flako wrote:
> > El día 22 de mayo de 2013 19:16, ciracusa<ciracusa@gmail.com>  escribió:
> >    
> >> On 22/05/13 12:32, Flako wrote:
> >>      
> >    
> >>> De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta
> >>> seguridad vpn y te hakean el certificado y una ip valida y te entrar a
> >>> tu red...
> >>>
> >>>        
> >> Haber, la idea de "agregar" el filtro por la IP es justamente para "además"
> >> de los certificados, obligar a que solo se conecten desde el lugar que yo
> >> disponga.
> >>
> >>      
> >     No se si estamos hablando de lo mismo.. yo me refiero a que
> > cualquier filtro de ip que se realice pensando en aumentar la
> > seguridad (pensando en autenticar a un host remoto)  no sirve de
> > nada..
> >     No te da mas seguridad.. es muy fácil (pa el que sabe), hacerse
> > pasar por una ip valida.. y tu idea de "conecten desde el lugar que yo
> > disponga"  se va al diablo.
> >    
> Entiendo, pero la idea es "aumentar" un poco la seguridad.
> >     Puedes hacer un filtro por ip, pero solo va ser un decorado.. , no
> > lo pienses como algo que va a impedir que se conecte otro...
> >     Si estas penando en que alguien se puede robar tu certificado,
> > deberías tener en cuenta que también te "roben" alguna de esas ip
> > validas...
> >    
> En mi caso, sería mas probable que se "roben" los certificados y 
> directamente se conecten a que se roben los certificados y luego tengan 
> en cuenta el tema de la ip desde donde origina la "nueva" conexión.
> 
> Ya que estamos te consulto, me puedes comentar como un usuario luego de 
> "robar" mis certificados puede irse a su casa -por ejemplo- y simular la 
> IP pública que yo tendría habilitada?

IP Spoofing:

http://es.wikipedia.org/wiki/Spoofing

Es cierto que se puede hacer pero no es tan fácil. Como te estás
haciendo pasar por otra IP las respuestas no te llegan a ti sino a la IP
falsificada. A menos que también tengas acceso a la IP falsificada (con
lo cual quizá ya no te interesa hacer un ataque IP spoofing) la
comunicación es a ciegas. Tu envías paquetes pero no ves las respuestas.
Para poder predecir las respuestas que el servidor envía (y que tu no
ves) debes haber estudiado antes al milímetro el comportamiento del
entorno donde estas haciendo el ataque, especialmente para predecir el
numero de secuencia TCP.

Con "nmap -O -v ipservidor" puedes medir la dificultad del ataque:

TCP Sequence Prediction: Difficulty=263 (Good luck!)

Saludos.


-- 
Francesc Guitart
Reply to: