| View previous topic :: View next topic |
| Author |
Message |
mrfree
Veteran
Joined: 15 Mar 2003
Posts: 1303
Location: Europe.Italy.Sulmona
|
 Posted: Wed Feb 15, 2006 6:43 pm Post subject: iwconfig: perchè open è più sicuro di restricted? [risolt |
 |
|
Sul man di iwconfig ho letto
| Quote: | | La modalità di sicurezza può essere open o restricted, e il suo significato dipende dalla scheda. Con molte schede, in open nessuna autenticazione viene utilizzata e la scheda può anche accettare sessioni non crittografate, mentre in modalità restricted sono accettate solo sessioni crittografate e la scheda utilizzerà l'autenticazione disponibile. |
Mentre tra i commenti presenti nel file /etc/conf.d/net
| Quote: | # enc open specificata sicurezza aperta (più sicura)
# enc restricted specificata sicurezza ristretta (meno sicura) |
Come mai la modalità open viene considerata più sicura pur permettendo sessioni non crittografate?
_________________
Please EU, pimp my country!
ICE: /etc/init.d/iptables panic
Last edited by mrfree on Tue Feb 21, 2006 1:40 pm; edited 1 time in total |
|
| Back to top |
|
 |
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Wed Feb 15, 2006 6:46 pm Post subject: |
|
|
non so... penso sia un qualcosa che riguarda la crittografia e il metodo di gestione delle chiavi... non ne so abbastanza per dire niente di sensato...
però la domanda è interessante e me la sono posta anche io in passato
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Wed Feb 15, 2006 8:29 pm Post subject: Re: iwconfig: perchè open è più sicuro di restricted? |
|
|
per una questione abbastanza sottile:
se sono collegato ad una rete che so essere open sono concio di questo fatto e adotto (io, personalmente) determinate politiche di sicurezza atte a tutelare me ed i miei dati.
la modalità restricted permette l'accesso a solo alcuni client, ma questo crea nell'utente una falsa sicurezza. crede di essere al sicuro, ma è semplicemente attestato ad una rete "per pochi". il traffico sulla rete è ancora in chiaro, quindi al pari della modalità open tutti i client autorizzati potrebbero portare degli attacchi a me o alla mia connessione. l'utente dovrebbe essere conscio anche di questo, ma spesso non è così. ecco perché la modalità restricted crea una falsa sicurezza, inferiore a quella della rete open, nella quale l'utente normale si comporta in modo molto diverso.
sottolineo che nella modalità restricted si introduce un controllo di accesso davvero basilare, facilmente aggirabile. la modalità restricted è quindi un pagliativo che introduce falsa sicurezza.
c'è da dire anche che a questo livello non si parla di crittografia dei dati, quindi il traffico è sempre in chiaro, ed un'interfaccia portata ad operare in modalità promisqua può sempre condurre tutta una serie di attacchi ai dati ed alla rete.
le reti open possono essere usate come reti di frontiera per fornire accesso ai client fintanto che si autenticano sulla rete vera protetta, criptata e nascosta. la modalità restricted, per la rete, invece crea solo una falsa protezione, per questo è considerata insicura |
|
| Back to top |
|
|
mrfree
Veteran
Joined: 15 Mar 2003
Posts: 1303
Location: Europe.Italy.Sulmona
|
| Posted: Thu Feb 16, 2006 10:54 am Post subject: |
|
|
| man iwconfig wrote: | [...]
in modalità restricted sono accettate solo sessioni crittografate e la scheda utilizzerà l'autenticazione disponibile. |
Non mi è chiaro come questa affermazione sia in linea con la tua
| k.gothmog wrote: | | [...]c'è da dire anche che a questo livello non si parla di crittografia dei dati, quindi il traffico è sempre in chiaro, ed un'interfaccia portata ad operare in modalità promisqua può sempre condurre tutta una serie di attacchi ai dati ed alla rete.[...] |
Utilizzando la modalità restricted permetto l'apertura delle sole sessioni cifrate (immagino ci si riferisca a WEP o WPA in quest'ambito) questo di per se, non dico che sia sufficiente a garantire un'elevata/sufficiente protezione, ma è sempre un qualcosa in più in termini di sicurezza? O mi sfugge qualcosa?
In altri termini per me è controintuitivo che il fatto di permettere sessioni non cifrate possa aiutare in termini di sicurezza, così a naso è come se mancasse all'appello qualche informazione fondamentale per poter appredere quest'affermazione... non so' sparo... magari in modalità restricted se la chiave di cifratura è sbagliata l'AP risponde in maniera negativa mentre nell'altro caso quest'informazione non viene fornita.
_________________
Please EU, pimp my country!
ICE: /etc/init.d/iptables panic |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Thu Feb 16, 2006 11:00 am Post subject: |
|
|
[quote="mrfree"] | man iwconfig wrote: | [...]
in modalità restricted sono accettate solo sessioni crittografate e la scheda utilizzerà l'autenticazione disponibile. |
Non mi è chiaro come questa affermazione sia in linea con la tua
| k.gothmog wrote: | | [...]c'è da dire anche che a questo livello non si parla di crittografia dei dati, quindi il traffico è sempre in chiaro, ed un'interfaccia portata ad operare in modalità promisqua può sempre condurre tutta una serie di attacchi ai dati ed alla rete.[...] |
ops... una svista... non mi ero accorto di quel passo.
mi pare una cosa strana. io ho sempre trovato indicate le reti restricted come quelle che hanno un controllo di accesso, e niente più. in effetti, come dici tu, è un po' ambigua questa frase.
io te l'ho venduta come l'ho sempre trovata, ed è la prima volta che mi capita di leggere questa definizione per "rete restricted" |
|
| Back to top |
|
|
mrfree
Veteran
Joined: 15 Mar 2003
Posts: 1303
Location: Europe.Italy.Sulmona
|
| Posted: Thu Feb 16, 2006 11:14 am Post subject: |
|
|
Pensando magari ad un errore di traduzione dall'inglese ho consultato anche il man in lingua originale
| man iwconfig (en) wrote: | [...]
The security mode may be open or restricted, and its meaning depends on the card used. With most cards, in open mode no authentication is used and the card may also accept non-encrypted sessions, whereas in restricted mode only encrypted sessions are accepted and the card will use authentication if available.
|
Mi sembra che il senso sia quello
Il dubbio rimane... per ora il mio serverino continuerà ad utilizzare, in contro tendenza, la modalità restricted 
_________________
Please EU, pimp my country!
ICE: /etc/init.d/iptables panic |
|
| Back to top |
|
|
btbbass
Apprentice
Joined: 15 Feb 2005
Posts: 287
Location: Asti o Torino
|
| Posted: Thu Feb 16, 2006 5:51 pm Post subject: |
|
|
Il fatto è semplice: con una connessione wireless criptata con wep, se non ho la chiave non posso associarmi con l'access point, e vedere il traffico, o meglio,il traffico poso anche vederlo, ma non potrei decriptare i pacchetti, tralasciando le debolezze intrinseche del wep (con 250.000 pacchetti posso tranquillamente trovare la chiave in un secondo). Questo sempre se sono fuori dalla rete. Ma se io conosco la chiave wep, essendo unica per la maggior parte delle configurazioni, posso tranquillamente vedere il traffico degli altri, come se fosse in chiaro..
_________________
Chi dice che è impossibile non interrompa chi lo sta facendo
-Proverbio Cinese -
___________________________________ |
|
| Back to top |
|
|
mrfree
Veteran
Joined: 15 Mar 2003
Posts: 1303
Location: Europe.Italy.Sulmona
|
| Posted: Fri Feb 17, 2006 7:53 am Post subject: |
|
|
| btbbass wrote: | | Il fatto è semplice [...] |
ehhmmm sarà che sono le 8:49 e ancora le mie sinapsi non riescono a garantire un error rate sufficientemente basso, ma non capisco il tuo post... o meglio... il senso di quello che dici è chiaro ma non credo che risponda alla mia domanda
_________________
Please EU, pimp my country!
ICE: /etc/init.d/iptables panic |
|
| Back to top |
|
|
mrfree
Veteran
Joined: 15 Mar 2003
Posts: 1303
Location: Europe.Italy.Sulmona
|
| Posted: Tue Feb 21, 2006 1:31 pm Post subject: |
|
|
Ok penso di aver trovato la risposta al mio quesito leggedo qui e la su google...
| Danny_Larouche wrote: | What you are talking about is the authentication process. This is the first of 2 steps when connecting to a wireless network
"Open authentication" is more permissive but much more secure. The client is authenticate if its SSID match the AP's SSID. Open authentication mode does not use WEP key. The WEP key is only used to encrypted data when association process is done.
"Shared authentication" is based on a WEP key exchange. The AP send a chalenge in clear text to the client. The client respond with an encrypted version of the challenge. Then the AP verify if it match the expected answer and put the client in forward mode.
The security problem with shared mode is that an hacker sniffing the traffic or acting as rogue AP can determine in few seconds what the WEP is since he have both encrypted and decrypted version of the challenge. |
Adesso è molto più chiara la questione 
Quindi paradossalmente la modalità open risulta essere più sicura per in fatto di non mettere in circolazione nell'etere informazioni che possono essere utilizzate per un cracking addirittura offline!!! 
Questo fine settimana provederò a cambiare le impostazione del mio home-server
_________________
Please EU, pimp my country!
ICE: /etc/init.d/iptables panic |
|
| Back to top |
|
|
mrfree
Veteran
Joined: 15 Mar 2003
Posts: 1303
Location: Europe.Italy.Sulmona
|
| Posted: Tue Feb 21, 2006 1:34 pm Post subject: |
|
|
Ok penso di aver trovato la risposta al mio quesito leggedo qui e la su google...
| Danny_Larouche wrote: | What you are talking about is the authentication process. This is the first of 2 steps when connecting to a wireless network
"Open authentication" is more permissive but much more secure. The client is authenticate if its SSID match the AP's SSID. Open authentication mode does not use WEP key. The WEP key is only used to encrypted data when association process is done.
"Shared authentication" is based on a WEP key exchange. The AP send a chalenge in clear text to the client. The client respond with an encrypted version of the challenge. Then the AP verify if it match the expected answer and put the client in forward mode.
The security problem with shared mode is that an hacker sniffing the traffic or acting as rogue AP can determine in few seconds what the WEP is since he have both encrypted and decrypted version of the challenge. |
Adesso è molto più chiara la questione
Quindi paradossalmente la modalità open risulta essere più sicura per in fatto di non mettere in circolazione nell'etere informazioni che possono essere utilizzate per un cracking addirittura offline!!!
La chiave utilizzata per l'autenticazione è la stessa usata per la cifratura
Qualche link
http://arstechnica.com/articles/paedia/security.ars/2
http://www.intel.com/support/wireless/wlan/pro2915abg/userguide90/security.htm
Questo fine settimana provederò a cambiare le impostazione del mio home-server
_________________
Please EU, pimp my country!
ICE: /etc/init.d/iptables panic |
|
| Back to top |
|
|
|
Forum italiano (Italian)
