bridge e ipsec

cerri · Posted: Thu Jul 17, 2003 9:47 am Post subject: bridge e ipsec

Hola,
questo e' quello che ho:

[rete 192.168.8.0/21] == [access point in wlap] ~~~~~ [access point in wlap] == [rete 192.168.8.0/21]

Vorrei interporre tra la rete e gli access point due bridge linux, e fin qui non c'e' problema.
Il problema e': e' possibile costruire il bridge con ipsec? Ossia che il canale sia criptato?

Non sono riuscito a trovare nulla a riguardo... qualcuno mi puo' dare qualche hint?
_________________
Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito

shev · Posted: Thu Jul 17, 2003 6:50 pm Post subject: Re: bridge e ipsec

leon_73 · Guru Joined: 13 Mar 2003 Posts: 505 Location: Milano

Ciao,

Non so se sia possibile con linux, ma avevo letto qualcosa di simile in ambiente Openbsd, se mi ricordo venive definito trasparent bridge.

Prova a fare un ricerca in rete... magari riesci a trovare qualcosa da "tradurre" da un ambiente all'altro ;-)

LEO

shev · Posted: Fri Jul 18, 2003 10:58 am Post subject:

cerri · Posted: Fri Jul 18, 2003 1:47 pm Post subject:

Allora: al momento il bridging e' fatto dai tuoi access point, ma vorrei farlo con linux perche' vorrei fare in modo che il tunnel creato venga criptato e firewallato.
Ossia, sei i due bridge si chiamano A e B, le connessioni in ingresso a queste due macchine possono solo essere fatte rispettivamente da B e A (ovviamente parlo dell'interfaccia bridge).

In sostanza: il tunnel creato dovrebbe essere cifrato per motivi di sicurezza.
In realta', quello che a me interessa e' che nessuno possa entrare nella mia rete tramite questo ponte wireless.

Quello che ho fatto finora e':

1) WEP a 128bit (per quel poco che puo' servire...

)
2) MAC Filtering (abilitando solo gli ACCESS POINT)
3) disabilitazione MU

questo fa si che:

1) la connessione e' cifrata (seeeeeeeeeee

)
2) nessuno e' abilitato ad entrare poiche' c'e' un filtro via MAC (e in caso di MAC Spoofing, il link cade e viene disabilitato)
3) nessuno e' abilitato ad entrare perche' le MU non sono ammesse.

Ma non mi basta.
La soluzione era creare il bridge in linux, esponendo cosi' soltanto due pc firewallati, ma sarebbe il massimo se fosse possibile anche creare questo tunnel in maniera cifrata.

Spero di aver chiarito la cosa. Denghiu.

leon_73 e shev: io devo fare un transparent bridge.
_________________
Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito

koma · Advocate Joined: 06 Jun 2003 Posts: 2702 Location: Italy

non fai prima a tagliare i file di connessone? poi se devi condividere qlc metti su cd :DDDD WHaHwHWHahwa mi sembri un pazzo che vuole rendere casa sua inespugnabile a.... nulla =)
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD

cerri · Posted: Fri Jul 18, 2003 2:00 pm Post subject:

E' una rete aziendale...

_________________
Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito

shev · Posted: Fri Jul 18, 2003 2:56 pm Post subject:

Bhe, non ti resta che tirar su i due bridge/firewall e piazzarli tra rete e ap, implementando normalmente ipsec tra i due; così a occhio non credo ci siano problemi particolari. Se funziona senza accrocchi particolari tante pippe in meno, altrimenti poniti il problema e vediamo di trovare materiale in più :lol:

cerri · Posted: Fri Jul 18, 2003 6:14 pm Post subject:

shev · Posted: Fri Jul 18, 2003 6:54 pm Post subject:

cerri · Posted: Sat Jul 19, 2003 1:52 am Post subject:

Il problema e' questo:

1) non posso cambiare i segmenti, quindi un discorso tipo ipsec (che si basa sul routing, visto che deve connettere due segmenti differenti) non lo posso attuare;
2) devo utilizzare un bridge per il motivo di cui al punto 1.

Ora: come faccio a legare i due punti?
_________________
Enjoy your freedom.
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
<----------------------->
Andrea Cerrito

shev · Posted: Sat Jul 19, 2003 8:38 am Post subject:

Un tunnel IPSec? E' pensato anche (e sopratutto) per sistemi gateway-gateway, però non so se e come si possa implementare nella tua "originale" configurazione. Certo è che se non puoi cambiare gli indirizzi (

) il tutto si fa molto più discutibile e non so quanto possibile sia fare ciò che dici. Tra l'altro dubito tu possa demandare ai due bridge la gestione del tunnel IPSec, visto che per definizione il bridge opera a livello 2 massimo. Quindi dovresti metterci due gateway linux se vuoi fare questo (non che in termini di hardware cambi molto

), e in questo caso dubito che possano collegare segmenti di lan con gli stessi indirizzi. Implementare IPSec tra tutti i client credo sia un bel casino... insomma, fossi in te io insisterei per cambiare gli indirizzi (che non mi sembra problema insormontabile). Buona fortuna