Intel spara nanosonde contro il cancro

Con un istituto di ricerca non profit il chipmaker studierà l'impiego delle nanotecnologie per il rilevamento precoce delle malattie e per sviluppare metodi di diagnosi più efficaci

Stanford (USA) – Alcune fra le più avanzate tecnologie su scala molecolare utilizzate oggi per la produzione dei chip potranno presto essere impiegate nel campo della ricerca medica. A renderlo possibile sarà una collaborazione fra Intel e il Fred Hutchinson Cancer Research (FHCR) – un istituto di ricerca indipendente non profit in cui lavorano due premi Nobel – per un’iniziativa di ricerca in cui l’esperienza del chipmaker californiano nel campo delle nanotecnologie verrà applicata allo sviluppo di metodi di diagnosi più efficaci per il rilevamento precoce delle malattie.

Si tratta, secondo quanto spiegato da Intel , di utilizzare la tecnologia impiegata per rilevare le imperfezioni microscopiche sui chip di silicio per verificare la struttura chimica delle molecole e analizzare la presenza di eventuali malattie.

Lee Hartwell “Questa collaborazione rappresenta un’interazione unica nel suo genere”, ha affermato Lee Hartwell , Premio Nobel nonché Presidente e Direttore dell’FHCR. “I biologi non hanno mai potuto disporre finora di un tale metodo per lo studio della struttura molecolare della biologia. Si tratta di una vera e propria ricerca basata su scoperte. Non sappiamo che cosa scopriremo o apprenderemo, ma potremmo entrare in una nuova era di diagnostica molecolare , con metodi più efficaci per il rilevamento precoce delle malattie”.

Andrew Berlin, a capo del team del progetto “Intel Precision Biology”, ha spiegato che la prima tappa cruciale dell’iniziativa è lo sviluppo, presso i laboratori dell’FHCR di Seattle, dell’Intel Raman Bioanalyzer System (IRBS): questo strumento indirizza un fascio laser su minuscoli campioni biologici, ad esempio di siero ematico, per creare immagini che rivelino la struttura chimica delle molecole. L’obiettivo è determinare se questa tecnologia, in precedenza utilizzata per rilevare le imperfezioni microscopiche sui chip di silicio, possa essere impiegata anche per la rilevazione di tracce impercettibili di malattia.

Il sistema IRBS è basato su una tecnica nota come spettroscopia Raman , utilizzata da Intel per analizzare le composizioni chimiche impercettibili durante il processo di fabbricazione dei chip. Indirizzando un fascio laser su un oggetto, le molecole all’interno della sostanza sono stimolate a diffondere uno spettro che può essere rilevato dai sensori di uno spettrometro Raman. Avendo una composizione chimica univoca, ogni sostanza produce uno spettro Raman univoco, l’equivalente – ha spiegato Intel – di un codice a barre chimico.

I ricercatori dell’FHCR si augurano che questo strumento, definito “il più sensibile del mondo nel suo genere”, contribuisca a identificare le proteine nel siero ematico che predicono la suscettibilità, la presenza o la prognosi di malattie come il cancro. Allo stesso tempo, Intel acquisirà informazioni sulle potenziali applicazioni e sui vantaggi della tecnologia.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Dyndns.org
    Vorrei sapere che differenza c'è con il servizio che offre dyndns? A me sembra più o meno la stessa cosa.
    • debianaro scrive:
      Re: dyndns
      - Scritto da: Anonimo
      Vorrei sapere che differenza c'è con il
      servizio che offre dyndns? A me sembra più o
      meno la stessa cosa.ma scherzi l'IP personale fa molto piu naif' :)
    • Anonimo scrive:
      Re: Dyndns.org
      - Scritto da: Anonimo
      Vorrei sapere che differenza c'è con il
      servizio che offre dyndns? A me sembra più o
      meno la stessa cosa.Con il dyndns viene associato ad un ip dinamico un nome di dominio.Che da una sicurezza minore rispetto all'ip statico su ip dinamico che offre McLink.NB: con l'ip statico non si risolvono tutti i problemi di sicurezza.
    • Anonimo scrive:
      Re: Dyndns.org
      Con Dyndns si puo agire sulla risoluzione diretta (Nome -
      Ip) di svariati domini da loro ospitati, ma in entrata su un gateway viene identificato cmq il tuo ip numerico, non il fqdn (nome di dominio).Int
  • Anonimo scrive:
    Dunque... Ho capito bene?
    Ho capito giusto?Provider -
    (ip dinamico)-
    (tunnel dati sicuro)-
    McLink-
    (ip statico)Quindi...-
    (tunnel dati sicuro)-
    VpnAziendalein quanto il solo ip statico e' una sicurezza in piu', apprezzabile, ma insufficiente.Non e'meglioProvider-
    (ip dinamico)-
    (tunnel dati sicuro)-
    Mia Azienda?Anche perche' i rappresentanti aziendali si collegano sempre dall'estero, in modalita' "road warrior :)", attraverso i provider che trovano sul posto.Quindi il degrado delle prestazioni per la connession tra provider e McLink e McLink e azienda puo' essere un problema grosso.
    • Anonimo scrive:
      Re: Dunque... Ho capito bene?
      Si hai capito bene,e' una cavolata.La vera soluzione e' l'ip mobility, ma per questo servirà l'ipv6FP
  • darkman scrive:
    Ma ci avete lavorato con le VPN...
    ...o siamo tutti in un cyber-bar a farci un Cynar (tanto per fare una citazione)?1) L'IP statico non e' che si utilizza per la connessione fisica, ma quella virtuale VPN, altrimenti il provider con cui ti colleghi ti fa una grossa pernacchia!!!Io(PSTN o ADSL o quello che me pare) -
    Radius Server dell'ISP -
    ottengo un indirizzo IP nell'ambito del providerA questo punto devo iniziare l'autenticazione col Radius di mclink, che utilizza una "soluzione" Cisco per costruire un tunnel crittografico, e qui bisogna vedere in che modo viene gestito. In ogni caso, viene convalidato l'IP statico assegnato da mclink all'utente, che affianca l'IP "normale" del primo provider. Tuttto il traffico a questo punto viene "incapsulato"pacchetto con IP del provider -
    contiene al suo interno un pacchetto con IP di mclink (sicuramente crittato). A questo punto lascio da parte BGP, perché la comunicazione su IP di mclink (statico ma "privato") viaggiaIo(cifratura/decifratura lato client) -
    Server Radius mclink(cifratura/decifratura lato server) e/o Radius aziendamentre la "vera" comunicazione èio -
    provider qualsiasi -
    mclink -
    azienda 2) Il grande spooffo non so cosa ci fa con tutto questo, oltre a comprarvi le riviste leggete anche un libro serio, vorrei solo fare notare che non è detto che con lo spoofing non riesco ad avere le risposte, comunque lasciamo stare---3) mclink fa da man in the middle? allora non utilizziamo piu' la firma digitale, il principio è lo stesso. Se non mi fido dell'autorità di certificazione perché ho le mie paranoie, sto con carta penna e inchiostro simpatico. Ma quando leggete la posta con hotmail, per dirne una, che pensate di utilizzare? La parola magica? No, una sorta di tunnel crittografico (per la sola autenticazione client/server) gestita con SSL e certifficati digitali.4) L'unica critica seria, a parte il fatto che la soluzione puo' non piacere a prescindere, è il pesante decadimento di prestazioni che implica una (possibile) cifratura di tutti i pacchetti dall'azienda alla casa dell'utente. Questo non è un sistema applicabile ad una normale connessione 56k, ci vuole almeno un ADSL. Questo è il motivo fondamentale per il quale solo ora si inizia a vendere soluzioni di questo tipo a privati "casalinghi".
    • Anonimo scrive:
      Re: Ma ci avete lavorato con le VPN...
      "ci ho lavorato anch'io" con le VPN :D
      1) L'IP statico non e' che si utilizza per
      la connessione fisica, ma quella virtuale
      VPN, altrimenti il provider con cui ti
      colleghi ti fa una grossa pernacchia!!!No comment...
      Io(PSTN o ADSL o quello che me pare) -

      Radius Server dell'ISP -
      ottengo un
      indirizzo IP nell'ambito del provider
      A questo punto devo iniziare
      l'autenticazione col Radius di mclink, che
      utilizza una "soluzione" Cisco per costruire
      un tunnel crittografico, e qui bisogna
      vedere in che modo viene gestito. In ogni
      caso, viene convalidato l'IP statico
      assegnato da mclink all'utente, che affianca
      l'IP "normale" del primo provider. Tuttto il
      traffico a questo punto viene "incapsulato"
      pacchetto con IP del provider -
      contiene al
      suo interno un pacchetto con IP di mclink
      (sicuramente crittato). A questo punto
      lascio da parte BGP, perché la comunicazione
      su IP di mclink (statico ma "privato")
      viaggia
      Io(cifratura/decifratura lato client) -

      Server Radius mclink(cifratura/decifratura
      lato server) e/o Radius azienda
      mentre la "vera" comunicazione è
      io -
      provider qualsiasi -
      mclink -

      azienda Quella che sembra trasudare da un italiano molto sofferto sembra essere una spiegazione plausibile.
      2) Il grande spooffo non so cosa ci fa con
      tutto questo, oltre a comprarvi le riviste
      leggete anche un libro serio, magari anche un grammatica... :|
      vorrei solo
      fare notare che non è detto che con lo
      spoofing non riesco ad avere le risposte,
      comunque lasciamo stare---Ah... Bhe! questo spiega tutto :D
      3) mclink fa da man in the middle? allora
      non utilizziamo piu' la firma digitale, il
      principio è lo stesso. Se non mi fido
      dell'autorità di certificazione perché ho le
      mie paranoie, sto con carta penna e
      inchiostro simpatico. Ma quando leggete la
      posta con hotmail, per dirne una, che
      pensate di utilizzare? La parola magica? No,
      una sorta di tunnel crittografico (per la
      sola autenticazione client/server) gestita
      con SSL e certifficati digitali.Magari su Hotmail non ci si fa inviare documenti riservati.
      4) L'unica critica seria, a parte il fatto
      che la soluzione puo' non piacere a
      prescindere, è il pesante decadimento di
      prestazioni che implica una (possibile)
      cifratura di tutti i pacchetti dall'azienda
      alla casa dell'utente. Questo non è un
      sistema applicabile ad una normale
      connessione 56k, ci vuole almeno un ADSL.
      Questo è il motivo fondamentale per il quale
      solo ora si inizia a vendere soluzioni di
      questo tipo a privati "casalinghi".I concetti ci sono... peccato l'italiano e qualche idea "ingarbugliata" che rende oscuri molti periodi di questo post.
      • Anonimo scrive:
        Re: Ma ci avete lavorato con le VPN...
        -
        I concetti ci sono... peccato l'italiano e
        qualche idea "ingarbugliata" che rende
        oscuri molti periodi di questo post.si interessante l'argomento ma non "c'ho capito un'acca"
      • darkman scrive:
        Re: Ma ci avete lavorato con le VPN...
        Beh hai lavorato con le VPN e il tuo commento è di lavorare sull'italiano?Allora è proprio vero che siamo al bar... pazienza, la prossima volta parlerò per metafore come sembra andare molto di moda da queste parti
        • Anonimo scrive:
          Re: Ma ci avete lavorato con le VPN...
          - Scritto da: darkman
          Beh hai lavorato con le VPN e il tuo
          commento è di lavorare sull'italiano?
          Allora è proprio vero che siamo al bar...
          pazienza, la prossima volta parlerò per
          metafore come sembra andare molto di moda da
          queste partiNon e' questione di metafore.Prova a rileggere quello che hai scritto e vedi se ci capisci qualcosa. :|Ed e' un peccato, conosco tecnici molto preparati e desiderosi di condividere le proprie esperienze ma non riescono a farsi capire a causa del poco allenamento alla scrittura.Un vero peccato.
    • Anonimo scrive:
      Re: Ma ci avete lavorato con le VPN...
      Ottima spiegazione teorica ed ottima conclusione, ma perchè dovrei pagare una cosa che già faccio verso la lan di casa con gprs o wifi?
      • darkman scrive:
        Re: Ma ci avete lavorato con le VPN...
        Ecco, questa è una bella domanda...Beh, loro vendono un servizio, evidentemente qualcuno glielo avrà chiesto. Ma concordo con te che probabilmente non sarà un grosso successo. Chi ha bisogno di questo tipo di connettività può utilizzare meglio le soluzioni che hai proposto.
    • Anonimo scrive:
      Re: Ma ci avete lavorato con le VPN...
      Non si capisce niente di quello che hai scritto.Sembrerebbe che tu faccia una sorta di spiegazione tecnica di come funziona... embe'? Lo so bene come funziona la sto usando ora..boh- Scritto da: darkman
      ...o siamo tutti in un cyber-bar a farci un
      Cynar (tanto per fare una citazione)?
      1) L'IP statico non e' che si utilizza per
      la connessione fisica, ma quella virtuale
      VPN, altrimenti il provider con cui ti
      colleghi ti fa una grossa pernacchia!!!
      Io(PSTN o ADSL o quello che me pare) -

      Radius Server dell'ISP -
      ottengo un
      indirizzo IP nell'ambito del provider
      A questo punto devo iniziare
      l'autenticazione col Radius di mclink, che
      utilizza una "soluzione" Cisco per costruire
      un tunnel crittografico, e qui bisogna
      vedere in che modo viene gestito. In ogni
      caso, viene convalidato l'IP statico
      assegnato da mclink all'utente, che affianca
      l'IP "normale" del primo provider. Tuttto il
      traffico a questo punto viene "incapsulato"
      pacchetto con IP del provider -
      contiene al
      suo interno un pacchetto con IP di mclink
      (sicuramente crittato). A questo punto
      lascio da parte BGP, perché la comunicazione
      su IP di mclink (statico ma "privato")
      viaggia
      Io(cifratura/decifratura lato client) -

      Server Radius mclink(cifratura/decifratura
      lato server) e/o Radius azienda
      mentre la "vera" comunicazione è
      io -
      provider qualsiasi -
      mclink -

      azienda
      2) Il grande spooffo non so cosa ci fa con
      tutto questo, oltre a comprarvi le riviste
      leggete anche un libro serio, vorrei solo
      fare notare che non è detto che con lo
      spoofing non riesco ad avere le risposte,
      comunque lasciamo stare---
      3) mclink fa da man in the middle? allora
      non utilizziamo piu' la firma digitale, il
      principio è lo stesso. Se non mi fido
      dell'autorità di certificazione perché ho le
      mie paranoie, sto con carta penna e
      inchiostro simpatico. Ma quando leggete la
      posta con hotmail, per dirne una, che
      pensate di utilizzare? La parola magica? No,
      una sorta di tunnel crittografico (per la
      sola autenticazione client/server) gestita
      con SSL e certifficati digitali.
      4) L'unica critica seria, a parte il fatto
      che la soluzione puo' non piacere a
      prescindere, è il pesante decadimento di
      prestazioni che implica una (possibile)
      cifratura di tutti i pacchetti dall'azienda
      alla casa dell'utente. Questo non è un
      sistema applicabile ad una normale
      connessione 56k, ci vuole almeno un ADSL.
      Questo è il motivo fondamentale per il quale
      solo ora si inizia a vendere soluzioni di
      questo tipo a privati "casalinghi".
    • Quasar scrive:
      Re: Ma ci avete lavorato con le VPN...
      - Scritto da: darkman[cut]
      3) mclink fa da man in the middle? allora
      non utilizziamo piu' la firma digitale, il
      principio è lo stesso. Se non mi fido
      dell'autorità di certificazione perché ho le
      mie paranoie, sto con carta penna e
      inchiostro simpatico. Perdonami ma stai facendo un pò di confusione su questo punto : la firma digitale (aka autenticazione tramite chiave asimmetrica) non è affatto lo stesso principio e non inserisce un man-in-the-middle in quanto non c'è niente tra te che generi la tua chiave ed il server che ne conosce la parte pubblicaIl tuo discorso potrebbe essere teoricamente valido con le "certificazioni" ma innanzi tutto nulla ti vieta di autocertificarti, ovvero (es. pratico) di avere certificati rilasciati dal server al quale ti vuoi connettere (che magari accetta solo certificati rilasciati da lui medesimo), in secondo luogo un'eventuale CA che ti rilascia un certificato dai lei firmato non è propriamente un "man-in-the-middle", dato che non è che ti connetti al tuo server aziendale tramite lei..... a meno che la tua CA non sia anche il tuo provider o mc-link stessa!!In ogni caso non confondere "firma digitale" con "certificazione"
      4) L'unica critica seria, a parte il fatto
      che la soluzione puo' non piacere a
      prescindere, è il pesante decadimento di
      prestazioni che implica una (possibile)
      cifratura di tutti i pacchetti dall'azienda
      alla casa dell'utente. Questo non è un
      sistema applicabile ad una normale
      connessione 56k, ci vuole almeno un ADSL.
      Questo è il motivo fondamentale per il quale
      solo ora si inizia a vendere soluzioni di
      questo tipo a privati "casalinghi".Secondo me invece questo è solo un difetto marginale e tra l'altro non certo imputabile direttamente al servizio in quanto tale. I difetti del servizio son ben altri e comunque il difetto di fondo è che spacciano questo servizio come un "servizio per aumentare la sicurezza", il che secondo me non solo non è vero ma anzi la peggiora
      • Anonimo scrive:
        Re: Ma ci avete lavorato con le VPN...
        - Scritto da: Quasar
        Secondo me invece questo è solo un difetto
        marginale e tra l'altro non certo imputabile
        direttamente al servizio in quanto tale. I
        difetti del servizio son ben altri e
        comunque il difetto di fondo è che spacciano
        questo servizio come un "servizio per
        aumentare la sicurezza", il che secondo me
        non solo non è vero ma anzi la peggioraPrego spiegazioni sul peggiora!!!!!
        • Quasar scrive:
          Re: Ma ci avete lavorato con le VPN...
          - Scritto da: Anonimo
          - Scritto da: Quasar


          Secondo me invece questo è solo un difetto

          marginale e tra l'altro non certo
          imputabile

          direttamente al servizio in quanto tale. I

          difetti del servizio son ben altri e

          comunque il difetto di fondo è che
          spacciano

          questo servizio come un "servizio per

          aumentare la sicurezza", il che secondo me

          non solo non è vero ma anzi la peggiora

          Prego spiegazioni sul peggiora!!!!!
          Tanto per non ripetermi : http://punto-informatico.it/forum/pol.asp?mid=467200Se vuoi che vada ancora più nel dettaglio, sono a disposizione
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar

            - Scritto da: Anonimo

            - Scritto da: Quasar




            Secondo me invece questo è solo un
            difetto


            marginale e tra l'altro non certo

            imputabile


            direttamente al servizio in quanto
            tale. I


            difetti del servizio son ben altri e


            comunque il difetto di fondo è che

            spacciano


            questo servizio come un "servizio per


            aumentare la sicurezza", il che
            secondo me


            non solo non è vero ma anzi la peggiora



            Prego spiegazioni sul peggiora!!!!!



            Tanto per non ripetermi :
            http://punto-informatico.it/forum/pol.asp?mid

            Se vuoi che vada ancora più nel dettaglio,
            sono a disposizioneed allora comincia!!!!!Vedi la sicurezza è un mondo infinito non esiste meglio o peggio tutto dipende da cosa ci serve quali sono le esigenze ecc ecc....se navigo con un modem da 56kb con il mio portatile non mi porto a presso un pix per potermi proteggere giusto? che dici!!!....io la vpn di mclink che viene offerta gratuitamente ai propri abbonati la uso da tempo è fino ad ora non ho mai avuto problemi ci gestisco una piccola intranet e la uso per collegamenti esterni per 4 5 utenti le esigenze sono molto esigue e non ci sono cose segretissime da proteggere quindi come soluzione è perfetta la pago con l'abbonamento, non ci vedo nulla di male, è chiaro che lo stesso servizio non lo userei mai per amministrare da remoto es. il server delle transazioni di banca sella ovvio...capisci la differenza capisci il target che cambia????quello dell'ip statico secondo me è una grande comodità perchè oltre alle mille soluzioni da te indicate per la sicurezza uno dei consigli che si applica è proprio quello di poter accedere ad una macchina remota da un solo ip....ripeto uno dei consigli e non la soluzione assoluta, questo vuol dire che....mclink ti assegna un ip statico PUBLICO tramite VPN perchè se ti colleghi con un altro isp solo così può assegnarti ip statico sempre uguale poi sei tu che devi adottare tutta un altra serie di precauzioni ovvio ma questo è scontato qui non si è capito quello che mclink sta proponendo...non sta proponendo una vpn sta dando la possibilità alla gente di poter portarsi a presso un ip publico statico non so se il concetto è chiaro il fatto che sia o meno crittografato non è neanche fondamentale la cosa fondamentale è ip statico non so se hai idea delle mille applicazioni che questo può comportare se poi te non le vedi ma addirittura dici che è peggio mah!!!...che lavoro fai?che poi non si sono inventati nulla è vero ma questo che vuol dire!!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            Se vuoi che vada ancora più nel dettaglio,

            sono a disposizione

            ed allora comincia!!!!!E te chiedi. Non pretenderai mica che ti faccia un excursus sulla sicurezza tutta. L'hai detto tu stesso che la sicurezza è un mondo infinito. Te chiedi e ti verrà risposto
            non esiste meglio o peggio tutto dipende da cosa
            ci serve quali sono le esigenze ecc
            ecc....Primo errore. La sicurezza ha un valore assoluto : puoi averne di più (=meglio), puoi averne di meno (=peggio). La sicurezza non dipende dalle esigenze. Piuttosto, siccome che per ottenere migliori gradi di sicurezza si deve o sacrificare funzionalità oppure lavorare per implementare meccanismi di sicurezza maggiori (ove tecnicamente possibile), dalle esigenze dipende semmai solo il grado di sicurezza che può soddisfarti, in relazione al livello di "sensibilità" dei tuoi dati. Quindi : a seconda di quanto vale la pena proteggere i tuoi dati (=le tue esigenze), tu scegli un grado di sicurezza maggiore (=migliore) o minore (=peggiore)
            se navigo con un modem da 56kb con il
            mio portatile non mi porto a presso un pix
            per potermi proteggere giusto? Giusto. Non di meno fai un secondo errore : io il pix appresso non me lo porto in nessun caso. Io mi porto il mio portatile con il mio sistema operativo preferito dotato del supporto per VPN. Non mi serve nessun IP statico pubblico, e tanto menu una mc-link che fornisce il medesimo. Mi serve solo di aver configurato il mio server aziendale (o per meglio dire: il firewall in sua vece) per instaurare VPN con il mio portatile, che è perfettamente identificabile in maniera univoca e molto più certa che non con un IP address, grazie ad una chiave asimmetrica magari accompagnata da certificato di autenticità il quale magari è stato rilasciato dal mio server aziendale (così non metto di mezzo nemmeno una CA esterna)
            la uso da tempo è fino ad ora non ho mai avuto
            problemiNessuno (non io) ti sta dicendo che non funziona. Non ho motivo di dubitare dell'efficienza dei servizi offerti da mc-link, nè tanto meno della sua serietà, onestà e buona fede. Ti trovi bene con questo servizio? bene, benissimo, sono davvero felice per te. Io ti dico solo : okkio che stai dando le spalle ad mc-link con le braghe calate. Sicuramente mc-link è tua vera amica percui non se ne approfitterà mai, ma tu sappi che sei in quella condizione
            non ci vedo nulla di maleNon c'è proprio niente di male. E' un servizio come un altro. Perfettamente inutile a mio modo di vedere, ma questo non è importante. Basta che non venga venduto come un servizio di sicurezza perchè non lo è per niente e quindi in tal caso diventerebbe truffa
            è chiaro che lo stesso servizio non lo userei
            mai per amministrare da remoto es. il server
            delle transazioni di banca sella
            ovvio...capisci la differenza capisci il
            target che cambia????Capisco tutto quello che vuoi, ma non vedo proprio nessuno scenario per il quale un servizio come quello di mc-link abbia davvero una sua utilità, soprattutto in ragione del fatto che con uno sforzo veramente minimo in più posso avere di più e di meglio e non dipendendo da nessuno . Descrivimi il tuo di scenario, sarò lieto di ricredermi qualora io non trovassi una soluzione alternativa. Ma devi essere un pò più dettagliato che non un semplice "4 o 5 utenti che si collegano", perchè anche con le VPN IPSec che faccio io ci si collegano decine di "road-warrior" contemporaneamente, ovunque si trovino, solo loro e senza ip statico pubblico
            quello dell'ip statico secondo me è una
            grande comodità perchè oltre alle mille
            soluzioni da te indicate per la sicurezza
            uno dei consigli che si applica è proprio
            quello di poter accedere ad una macchina
            remota da un solo ipTerzo errore: quello che dici te ha certamente una sua valenza se tu hai il controllo diretto di tutti i nodi che stanno tra il mittente ed il destinatario di un pacchetto, ma questo è il caso delle LAN non certo di Internet. Nonostante ciò anche io uso volentieri l'ip pubblico statico ma solo se non c'è motivo per fare qualcosa di più oppure per soluzioni temporanee
            non si è capito quello che mclink sta
            proponendo...non sta proponendo una vpn sta
            dando la possibilità alla gente di poter
            portarsi a presso un ip publico statico non
            so se il concetto è chiaro Certo che è chiaro, ma non serve a niente portarsi appresso un ip pubblico statico perchè ci sono altri metodi migliori di identificare i road-warriors.Vedi, se fosse gratuito ma soprattutto immediato, potrei anche essere d'accordo nel vederlo come un metodo "intermedio", ma mc-link vuole soldi e neanche pochi, con quei soldi oggi ti compri un routerino con funzionalità VPN integrate; poi, mc-link ti installa un software apposito (immagino sia l' EzVPN di Cisco), essa stessa si deve configurare per inoltrare il tuo traffico road-warrior server .... insomma : non è immediato. E allora, con la stessa cifra (o forse poco più) mi configuro la mia VPN personale, è mia, ne ho la completa amministrazione e giurisdizione e la scalo come mi pare senza dover chiedere nulla a nessuno ed ho "vera" sicurezza end-to-end, al passo con le tecnologie più moderne
            il fatto che sia o meno crittografato non è neanche
            fondamentale la cosa fondamentale è ip staticoAllora a maggior ragione il servizio mc-link non serve a niente: se hai una tua VPN personale puoi assengare un ip statico della tua rete privata, il che è anche meglio per un sacco di altre cose
            poi te addirittura dici che è
            peggio mah!!!...Leggi bene, amico mio : parlavo di sicurezza. E' peggio perchè è meno sicuro dei metodi di identificazione e sicurezza convenzionali, ed è meno sicuro perchè si aggiunge un elemento (il server mc-link) tra il client ed il server aziendale. Questo elemento in più ha tutto ciò che gli serve per effettuare con comodo e calma tutte quelle operazioni di auditing sul tuo traffico, tale e quale a quello che potrebbe fare il provider di connettività. Mc-link vede transitare tutto il traffico da/per il tuo server da/per i tuoi road-warrior, quindi potrebbe analizzarlo, studiarlo, e se tu non lo cripti potrebbe anche spiarlo. Questo tipo di situazioni si chiamano in gergo "man-in-the-middle", e sono tra quelle più pericolose e subdole nella sicurezza, tanto che la stragrande maggioranza delle tecniche di sicurezza sostanzialmente mirano a difendere la privacy proprio contro queste situazioni. Anche tutti i normali nodi (i router) sul percorso tra te il tuo server sono dei men-in-the-middle, ma essi si vedono passare miliardi di pacchetti tutti i giorni di tutto il mondo quindi un operazione di auditing da parte loro diventa proibitiva. Ma per mc-link buona parte della fatica è già fatta. Ovviamente questo non vuol dire che mc-link ne approfitti, ma è nelle condizioni perfette per farlo e tu non hai nemmeno alc
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            Piu' chiaro di cosi' si muore. Se la gente non capisce significa che non vuol capire.Complimenti per il post. Io sicuramente avrei fatto solo di peggio!Ciao
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            Ah dimenticavo: l'unica utilita' di un ip statico pubblico e' la possibilita' di fornire servizi. Ma chi lo fa via PSTN a 56kbps? Inoltre si possono fornire servizi anche con ip dinamici sfruttando qualche trucchetto descritto in questo stesso forum ...RiCiao
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Anonimo
            Ah dimenticavo: l'unica utilita' di un ip
            statico pubblico e' la possibilita' di
            fornire servizi. Ma chi lo fa via PSTN a
            56kbps? Inoltre si possono fornire servizi
            anche con ip dinamici sfruttando qualche
            trucchetto descritto in questo stesso forumPunto primo i trucchetti che non sono truchetti non sono affidabili come un ip statico vero!!!!!Punto secondo con un 56kb puoi veramente fare molto, il problema è solo uno tu sicuramente sei abituato a molte finestre io mi diletto di più da riga di comando!!! :))
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar Quindi : a seconda di quanto vale
            la pena proteggere i tuoi dati (=le tue
            esigenze), tu scegli un grado di sicurezza
            maggiore (=migliore) o minore (=peggiore)hai fatto un bellissimo discorso per poi chiudere con " a seconda di quanto vale la pena proteggere i tuoi dati (=le tue esigenze), tu scegli un grado di sicurezza maggiore (=migliore) o minore (=peggiore)"Quindi anche tu affermi che è un discorso di esigenze è chiaro che poi le esigenze si basano su quanto sono importanti i tuoi dati ma sempre esigenze sono!!!

            se navigo con un modem da 56kb con il

            mio portatile non mi porto a presso un pix

            per potermi proteggere giusto?

            Giusto. Non di meno fai un secondo errore :
            io il pix appresso non me lo porto in nessun
            caso.Ovviamente era un esempio non me lo porto a presso neanche io e neanche lo uso!!!
            Io mi porto il mio portatile con il
            mio sistema operativo preferito dotato del
            supporto per VPN. Non mi serve nessun IP
            statico pubblico, e tanto menu una mc-link
            che fornisce il medesimo. Mi serve solo di
            aver configurato il mio server aziendale (o
            per meglio dire: il firewall in sua vece)
            per instaurare VPN con il mio portatile, che
            è perfettamente identificabile in maniera
            univoca e molto più certa che non con un IP
            address, grazie ad una chiave asimmetrica
            magari accompagnata da certificato di
            autenticità il quale magari è stato
            rilasciato dal mio server aziendale (così
            non metto di mezzo nemmeno una CA esterna)Perfetto ma se a tutto questo aggiungi che alla tua lan aziendale puoi accedervi soltanto da un preciso ip PUBLICO non credi che sia ancora meglio....tu confondi un pò le cose ti ripeto quello che ti offre mclink è un valore aggiunto che non deve farti rinunciare a tutte le precauzioni che già adotti!!!!


            la uso da tempo è fino ad ora non ho mai
            avuto

            problemi
            Nessuno (non io) ti sta dicendo che non
            funziona. Non ho motivo di dubitare
            dell'efficienza dei servizi offerti da
            mc-link, nè tanto meno della sua serietà,
            onestà e buona fede. Ti trovi bene con
            questo servizio? bene, benissimo, sono
            davvero felice per te. Io ti dico solo :
            okkio che stai dando le spalle ad mc-link
            con le braghe calate. Sicuramente mc-link è
            tua vera amica percui non se ne approfitterà
            mai, ma tu sappi che sei in quella
            condizioneAnche tu guando fai transazioni bancarie ti devi fidare della tua banca noo? e cmq ti ripeto dipende sempre dalle esigenze io non proteggo dati minitari!!

            non ci vedo nulla di male
            Non c'è proprio niente di male. E' un
            servizio come un altro. Perfettamente
            inutile a mio modo di vedere, ma questo non
            è importante. Basta che non venga venduto
            come un servizio di sicurezza perchè non lo
            è per niente e quindi in tal caso
            diventerebbe truffaTi ripeto è un impiù che non guasta avere!!

            è chiaro che lo stesso servizio non lo
            userei

            mai per amministrare da remoto es. il
            server

            delle transazioni di banca sella

            ovvio...capisci la differenza capisci il

            target che cambia????
            . Descrivimi il tuo di scenario,
            sarò lieto di ricredermi qualora io non
            trovassi una soluzione alternativa. Ma devi
            essere un pò più dettagliato che non un
            semplice "4 o 5 utenti che si collegano",
            perchè anche con le VPN IPSec che faccio io
            ci si collegano decine di "road-warrior"
            contemporaneamente, ovunque si trovino, solo
            loro e senza ip statico pubblicoLe soluzioni alternative le conosco anche io quello che non capisci è il target se devo gestire da remoto20 30 clienti diversi tra loro non posso per ogni cliente creare e gestire un vpn preferisco usare mclink visto che cmq..ti ripeto non proteggo dati minitari!!!

            quello dell'ip statico secondo me è una

            grande comodità perchè oltre alle mille

            soluzioni da te indicate per la sicurezza

            uno dei consigli che si applica è proprio

            quello di poter accedere ad una macchina

            remota da un solo ip
            Terzo errore: quello che dici te ha
            certamente una sua valenza se tu hai il
            controllo diretto di tutti i nodi che stanno
            tra il mittente ed il destinatario di un
            pacchetto, ma questo è il caso delle LAN non
            certo di Internet. Ma cosa hai detto? forse non ci stiamo capendo...io non intendo assolutamente che l'utilizzo dell'ip deve essere esteso a tutti gli utilizzatori della vpn 10 user150 ? a user 1500 ? ma siamo matti!!io dico che averne 1 da utilizza per l'amm. remota èconsentire solo a quello alcuni servizzi è comodo!!
            Certo che è chiaro, ma non serve a niente
            portarsi appresso un ip pubblico statico
            perchè ci sono altri metodi migliori di
            identificare i road-warriors.Non hai capito avere un ip statico portabile ha mille scopi non solo quello che dici tu ma che sei tarato vedi solo road-warriors e vpn!!!!
            E allora, con la stessa cifra
            (o forse poco più) mi configuro la mia VPN
            personale, è mia, ne ho la completa
            amministrazione e giurisdizione e la scalo
            come mi pare senza dover chiedere nulla a
            nessuno ed ho "vera" sicurezza end-to-end,
            al passo con le tecnologie più moderneCome sopra devi capire che avere un ip publico sempre a presso ti permette di fare mille cosenon solo vpn!!!!!

            poi te addirittura dici che è

            peggio mah!!!...
            Leggi bene, amico mio : parlavo di
            sicurezza. E' peggio perchè è meno sicuro
            dei metodi di identificazione e sicurezza
            convenzionali, ed è meno sicuro perchè si
            aggiunge un elemento (il server mc-link) tra
            il client ed il server aziendale.Ripeto non è il rimedio per la sicurezza è una cosa in più i tuoi meccanismi di sicurezza continuali ad usarli pure.....
            Questo
            elemento in più ha tutto ciò che gli serve
            per effettuare con comodo e calma tutte
            quelle operazioni di auditing sul tuo
            traffico, tale e quale a quello che potrebbe
            fare il provider di connettività. Mc-link
            vede transitare tutto il traffico
            da/per il tuo server da/per i tuoi
            road-warrior, quindi potrebbe analizzarlo,
            studiarlo, e se tu non lo cripti potrebbe
            anche spè vero ma quello che a me interessa è IP PUBLICOdopo ho mille modi per evitare una cosa eventuale e cmq sappi che anche la tua vpn passa per chissà quanti nodi se volessero sniffare i tuoi dati lo farebbere cmq quindi per star tranquilli spengi il pc è l'unica!!!NB Ho dovuto fare molti cut altrimenti non i bastavano i caratteri spero di essere stato chiaro!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            hai fatto un bellissimo discorso per poi
            chiudere con...A bello di mamma, questa è stata la tua frase:"Vedi la sicurezza è un mondo infinito non esiste meglio o peggio" nella sicurezza il meglio ed il peggio esistono eccome e tu in base alle esigenze decidi se ti basta una sicurezza migliore o una sicurezza peggiore. Se poi in realtà intendevi dire la stessa cosa che ho detto io allora impara a esprimerti meglio. Una dritta: comincia con l'usare la punteggiatura

            io il pix appresso non me lo porto in
            nessun

            caso.

            Ovviamente era un esempio non me lo porto a
            presso neanche io e neanche lo uso!!!Bene. E allora che cazzo hai portato a fare quell'esempio?

            .... rilasciato dal mio server aziendale (così

            non metto di mezzo nemmeno una CA esterna)

            Perfetto ma se a tutto questo aggiungi che
            alla tua lan aziendale puoi accedervi
            soltanto da un preciso ip PUBLICO non credi
            che sia ancora meglio....Noneeeee è totalmente superfluoooooooo
            ti ripeto quello che ti offre mclink
            è un valore aggiunto che non deve farti
            rinunciare a tutte le precauzioni che già
            adotti!!!!E allora a che cazzo serveeeeeeeee!!!! dell'ip statico pubblico per gli "utenti remoti" non me ne fo di una segaaaaaaaa!!!!!

            Io ti dico solo :

            okkio che stai dando le spalle ad mc-link

            con le braghe calate. Sicuramente mc-link
            è

            tua vera amica percui non se ne
            approfitterà

            mai, ma tu sappi che sei in quella

            condizione

            Anche tu guando fai transazioni bancarie ti
            devi fidare della tua banca noo? Non c'entra un cazzo : si parla di sicurezza end-to-end. Quando faccio transazioni bancarie con la mia banca io sono un end e la banca e l'altro end. Nel tuo caso il tuo "utente remoto" (non ti piace il termine road-warrior) è un end e il tuo server è l'altro end. MC-LINK E' UN TERZO CHE SI FRAPPONE FRA I TUOI DUE END
            e cmq ti
            ripeto dipende sempre dalle esigenze io non
            proteggo dati minitari!!Si, intanto hai evitato accuratamente di descrivere il tuo scenario. Forse temi che ti possa dimostrare come la soluzione mc-link sia ridicola se raffrontata con le soluzioni convenzionali? E poi se i tuoi dati non sono così sensibili allora probabilmente non ti serve nemmeno l'ip statico

            Descrivimi il tuo di scenario,

            sarò lieto di ricredermi qualora io non

            trovassi una soluzione alternativa. Ma
            devi

            essere un pò più dettagliato che non un

            semplice "4 o 5 utenti che si collegano",

            perchè anche con le VPN IPSec che faccio
            io

            ci si collegano decine di "road-warrior"

            contemporaneamente, ovunque si trovino,
            solo

            loro e senza ip statico pubblico

            Le soluzioni alternative le conosco anche io
            quello che non capisci è il target se devo
            gestire da remoto
            20 30 clienti diversi tra loro non posso per
            ogni cliente creare e gestire un vpnAscolta, se non sei competente dillo, non c'è niente di male. VPN significa Virtual Private NETWORK e una volta configurata se si collegano 1 utente o 100000 utenti non fa alcuna differenza

            Terzo errore: quello che dici te ha

            certamente una sua valenza se tu hai il

            controllo diretto di tutti i nodi che
            stanno

            tra il mittente ed il destinatario di un

            pacchetto, ma questo è il caso delle LAN
            non

            certo di Internet.

            Ma cosa hai detto? Ho risposto a questa tua obiezione: "uno dei consigli che si applica è proprio quello di poter accedere ad una macchina remota da un solo ip" Se non ti ricordi nemmeno ciò che hai scritto te stiamo messi bene...
            io non intendo assolutamente che l'utilizzo dell'ip deve
            essere esteso a tutti gli utilizzatori della vpn 10 user
            150 ? a user 1500 ? ma siamo matti!!Veramente io ero convinto che tu avessi un ip per ciascuno dei tuoi utenti!!!!! Invece hai 1 solo ip statico per tutti i tuoi 4-5 utenti? e allora che cazzo identifichi?? già con un ip per ogni utente non potevi essere certo che a collegarsi tramite quell' ip fosse il legittimo utente. Con un ip solo ancora peggio! mi stai dicendo che il tuo server dà accesso a chiunque si connetta a mc-link proclamando di essere uno dei tuoi utenti e quindi acquisendo il tuo ip anche solo temporaneamente? mi auguro che tu abbia qualche ROBUSTO meccanismo di autenticazione su mc-link altrimenti sei proprio col culo per terra
            io dico che averne 1 da utilizza per l'amm.
            remota è
            consentire solo a quello alcuni servizzi è
            comodo!!Cito testualmente: "è chiaro che lo stesso servizio non lo userei mai per amministrare da remoto" . Deciditi e poi fammi sapere

            Certo che è chiaro, ma non serve a niente

            portarsi appresso un ip pubblico statico

            perchè ci sono altri metodi migliori di

            identificare i road-warriors.

            Non hai capito avere un ip statico portabile
            ha mille scopi non solo quello che dici tu
            ma che sei tarato vedi solo road-warriors e
            vpn??? ma, ma .... HAHAHAHAHA!!! ma è quello di cui stiamo parlandooooooo in questo foruuuuuummmm ed è la problematica affrontata dal servizio di mc-liiiiiiink!!!! oddio mi fai schiantare dal ridere!!!Comunque attendo ancora di conoscere queste miriadi di applicazioni che puoi fare con "ip statico portabile" (come lo chiami tu) e non puoi fare con VPN personale. Finchè non le dici e rimani sul generico posso solo continuare a motteggiarti
            quello che a me interessa è IP PUBLICONO! quello che ti interessa per un "utente remoto" è poterlo identificare univocamente con certezza e l'ip NON è il mezzo giusto. l'ip è un recapito e averlo statico ti interessa solo per i server. Pretendere di identificare un computer tramite l'ip statico è come pretendere di identificare una persona tramite il suo indirizzo di casa; può essere solo un buon indizio ma non è la certezza, perchè chiunque stia davanti a quel portone di casa può dire di essere il proprietario e ricevere tutta la "posta" e decidere cosa farne. Un'implementazione di sicurezza fatta bene prevede che ANCHE IL SERVER venga identificato da una firma digitale. Altro che ip statico. Tsè. Ma lo sai che l'ip statico sarebbe teoricamente superfluo persino per i server? tu potresti lavorare solo con FQDN e al resto penserebbe il DNS. Poi nella pratica giustamente non si fa perchè da un lato non è necessario arrivare a tanto e dall'altro si sovraccaricherebbero di lavoro e responsabilità i server DNS, ma tecnicamente è perfettamente fattibile e assolutamente funzionante (DynDNS ti dice niente? ;) )
            e cmq sappi che anche la tua vpn passa per chissà quanti
            nodi se volessero sniffare i tuoi dati lo farebbere cmqE proprio ciò che ho detto ioooooo e le connessioni criptate sono la soluzione al problemaaaaaComunque, guarda, io ti ho informato, poi fai te, a me non me ne
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar


            hai fatto un bellissimo discorso per poi

            chiudere con...

            A bello di mamma, questa è stata la tua
            frase:
            "Vedi la sicurezza è un mondo infinito non
            esiste meglio o peggio"
            nella sicurezza il meglio ed il peggio
            esistono eccome e tu in base alle
            esigenze decidi se ti basta una sicurezza
            migliore o una sicurezza peggiore. "...e tu in base alle esigenze decidi se ti basta una sicurezza migliore o una sicurezza peggiore"Perfetto siamo d'accordo è quello che intendevo!!!


            io il pix appresso non me lo porto in

            nessun


            caso.

            Ovviamente era un esempio non me lo porto
            a

            presso neanche io e neanche lo uso!!!
            Bene. E allora che cazzo hai portato a fare
            quell'esempio?


            .... rilasciato dal mio server
            aziendale (così


            non metto di mezzo nemmeno una CA
            esterna)

            Perfetto ma se a tutto questo aggiungi che

            alla tua lan aziendale puoi accedervi

            soltanto da un preciso ip PUBLICO non
            credi

            che sia ancora meglio....
            Noneeeee è totalmente superfluoooooooo

            ti ripeto quello che ti offre mclink

            è un valore aggiunto che non deve farti

            rinunciare a tutte le precauzioni che già

            adotti!!!!
            E allora a che cazzo serveeeeeeeee!!!!
            dell'ip statico pubblico per gli "utenti
            remoti" non me ne fo di una segaaaaaaaa!!!!!


            Io ti dico solo :


            okkio che stai dando le spalle ad
            mc-link


            con le braghe calate. Sicuramente
            mc-link

            è


            tua vera amica percui non se ne

            approfitterà


            mai, ma tu sappi che sei in quella


            condizione

            Anche tu guando fai transazioni bancarie
            ti

            devi fidare della tua banca noo?
            Non c'entra un cazzo : si parla di sicurezza
            end-to-end. Quando faccio transazioni
            bancarie con la mia banca io sono un end e
            la banca e l'altro end. Nel tuo caso il tuo
            "utente remoto" (non ti piace il termine
            road-warrior) è un end e il tuo server è
            l'altro end. MC-LINK E' UN TERZO CHE SI
            FRAPPONE FRA I TUOI DUE END

            e cmq ti

            ripeto dipende sempre dalle esigenze io
            non

            proteggo dati minitari!!
            Si, intanto hai evitato accuratamente di
            descrivere il tuo scenario. Forse temi che
            ti possa dimostrare come la soluzione
            mc-link sia ridicola se raffrontata con le
            soluzioni convenzionali? E poi se i tuoi
            dati non sono così sensibili allora
            probabilmente non ti serve nemmeno l'ip
            statico


            Descrivimi il tuo di scenario,


            sarò lieto di ricredermi qualora io non


            trovassi una soluzione alternativa. Ma

            devi


            essere un pò più dettagliato che non un


            semplice "4 o 5 utenti che si
            collegano",


            perchè anche con le VPN IPSec che
            faccio

            io


            ci si collegano decine di
            "road-warrior"


            contemporaneamente, ovunque si trovino,

            solo


            loro e senza ip statico pubblico
            Ascolta, se non sei competente dillo, non
            c'è niente di male. VPN significa Virtual
            Private NETWORK e una volta
            configurata se si collegano 1 utente o
            100000 utenti non fa alcuna differenzama di cosa parli tu lavori in un'azienda e forse certe problematiche ti sfuggono!!!Se io ho 20 30 clienti i quali hanno le loro adsl128-640 a casa al negozio ecc ecc e hanno la necessita in qualche modo di collegarsi al proprio pc quando sono fuori la soluzione mclink secondo me è la più facile comoda ed economica!!!
            Veramente io ero convinto che tu avessi un
            ip per ciascuno dei tuoi utenti!!!!! Invece
            hai 1 solo ip statico per tutti i tuoi 4-5
            utenti? e allora che cazzo identifichi?? Non solo non ci siamo capiti ma vedo con piacere che parli di mclink ma non conosci minimamente il servizio che offre e che ora ha ulteriormente potenziato mclink per i propri abbonati da la possibilità, da tempo, di configurare una vpn che tramite la configurazione di alias, che io assegno permette di identificare l'utente che si collega , la cosa comoda è che gli ip assegnati ai singoli alias sono statici ma in questo caso privati della classe 10.x.x.x Tutto questo mi permette ad es. di avere un server web configurato su un ip statico pubblico dove tengo il sito e nello stesso tempo è configurato su ip statico privato della vpn il tutto con auth Digest e con acl che permettono l'accesso hai soli ip della vpn, per far accedere dall'esterno 4 5 persone all'area intranet il tutto su una sola macchina con una spesa che rientra nell'abbonamento non credo che si possa spendere di meno.

            io dico che averne 1 da utilizza per
            l'amm.

            remota è

            consentire solo a quello alcuni servizzi è

            comodo!!


            perchè ci sono altri metodi migliori di


            identificare i road-warriors.te l'ho detto mille volte ip statico è un impiù che non disdegno gli altri mille modi li continuo ad usare ma sei di coccio!!!!

            Non hai capito avere un ip statico
            portabile

            ha mille scopi non solo quello che dici tu

            ma che sei tarato vedi solo road-warriors
            e

            vpn
            ??? ma, ma .... HAHAHAHAHA!!! ma è quello di
            cui stiamo parlandooooooo in questo
            foruuuuuummmm ed è la problematica
            affrontata dal servizio di mc-liiiiiiink!!!!
            oddio mi fai schiantare dal ridere!!!si questo è vero ma io la possibilità dell'ip statico sempre, la vedo con un'altra ottica non solo la sicurezza e quindi credo che persone inteliggenti invece di criticare potrebbero anche evidenziare altri aspetti della cosa che l'articolo non ha fatto!
            Comunque attendo ancora di conoscere queste
            miriadi di applicazioni che puoi fare con
            "ip statico portabile" (come lo chiami tu) e
            non puoi fare con VPN personale. Finchè non
            le dici e rimani sul generico posso solo
            continuare a motteggiartiPurtroppo qui entriamo in un argomento che credo ti sfugga ma a me l'idea di potermi portare a presso un server web sempre accessibile, poter configurare un un server ftp un beeweeb server oppure un mod-davtutti strumenti per condividere risorse o strumentisul mio pc con un ip publico e statico non mi dispiace affatto anzi!!!

            quello che a me interessa è IP PUBLICO
            NO! quello che ti interessa per un "utente
            remoto" è poterlo identificare univocamente
            con certezza e l'ip NON è il mezzo giusto.lo so, però è un mezzo che mi restringe ulterio il campo.es se devo amm, 30 adsl con router, come mi connetto ai router in caso di necesità?telnet, che è ormai l'insicurezza in assoluto ed allora che faccio?permetto l'accesso a quel router soltanto dal mio ip statico non è il massimo ma cmq è quello che faresti anche tu noo??
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            Perfetto siamo d'accordo è quello che
            intendevo!!!Come volevasi dimostrare. Serietà, senso civile e netiquette vorrebbe che tu ti scusassi per esserti spiegato male, ma vabbè, sorvoliamo

            VPN significa Virtual

            Private NETWORK e una volta

            configurata se si collegano 1 utente o

            100000 utenti non fa alcuna differenza

            ma di cosa parli tu lavori in un'azienda e
            forse certe problematiche ti sfuggono!!!Ma falla finita con queste patetiche insinuazioni, sei solo ridicolo. Sai una sega te di dove lavoro io. E comunque continui "elegantemente" a glissare sui tuoi precedenti sproloqui, confermando la tua totale mancanza di serietà oppure (a tua scelta) totale incapacità di distinguere gli argomenti : qui infatti hai tagliato il quoting sul tuo commento "se devo gestire da remoto 20 30 clienti diversi tra loro non posso per ogni cliente creare e gestire un vpn" al quale rispondevo con la mia spiegazione su Virtual Private NETWORK, atta a farti presente che non devi "creare e gestire un vpn per ogni cliente", bensì ne basta una per tutti. Tu ancora una volta pensi bene di rispondere con qualcosa che non c'entra niente, suggerendo che sia io a non capire. Ma non c'è problema, ti rispondo subito
            Se io ho 20 30 clienti i quali hanno le loro
            adsl
            128-640 a casa al negozio ecc ecc e hanno la
            necessita in qualche modo di collegarsi al
            proprio pc quando sono fuori la soluzione
            mclink secondo me è la più facile comoda ed
            economicaPiù facile comoda e economica per chi? forse per chi la rivende. Certo, lui non deve fare un bel niente e nemmeno spendere un centesimo. Facile e comoda per l'utente, certo, bella forza, per lui qualsiasi soluzione è facile e comoda, fin tanto che paga qualcuno che gliela implementi. Anche una VPN personale è facile e comoda per l'utente, non è mica lui che deve metterla in piedi. Economica? lo vediamo subito : dimmi quanto costa esattamente tutto l'ambaradan. Intanto, lo sai quanto costa un router capace di instaurare 4-5 tunnel contemporanei per i tuoi 4-5 utenti su una VPN IPSec personale tramite PSK? tra i 200 e i 300 euro. La configurazione? mezz'ora sul router, 10 minuti per ogni client, sia esso Windows che Linux (non so per altri s.o.). Ecco fatto. Se invece lavori con chiavi asimmetriche e/o certificati il router costa un pò di più (intorno ai 4-500 euro) ed il tempo di configurazione in più è il tempo necessario a generare chiavi ed eventualmente certificati ed inserirli sul router e sui client. Diciamo un quarto d'ora per ogni certificato tò. Cazzo che fatica!! (Inutile dire che a un serverino apposito puoi fargli fare tutte le cose insieme risparmiando la spesa del router, ma lasciamo stare)

            Veramente io ero convinto che tu avessi un

            ip per ciascuno dei tuoi utenti!!!!!
            Invece

            hai 1 solo ip statico per tutti i tuoi 4-5

            utenti? e allora che cazzo identifichi??

            Non solo non ci siamo capiti ma vedo con
            piacere che parli di mclink ma non conosci
            minimamente il servizio che offreCerto! sto commentando un servizio di "ip statico portabile" in generale. Apprendo ora da PI dell'esistenza di qualcuno che dà tale servizio e lo trovo estremamente inutile. D'altro canto tu fai ben poco (e male) per descrivere meglio il sistema
            la cosa comoda è che gli ip
            assegnati ai singoli alias sono statici ma
            in questo caso privati della classe 10.x.x.xAh, quindi ci vuole un altro tunnel tra il server mc-link e il tuo server. Quindi il tuo server (gateway) lo devi configurare comunque. O è un'altro dei tuoi sproloqui?
            Tutto questo mi permette [cut] con una spesa che rientra
            nell'abbonamento non credo che si possa
            spendere di menoMa stai scherzando? ti devi aggiornare amico mio



            perchè ci sono altri metodi
            migliori di



            identificare i road-warriors.

            te l'ho detto mille volte ip statico è un
            impiù che non disdegno gli altri mille modi
            li continuo ad usare ma sei di coccio!!!!Oh, ma ci sei o ci fai? ma ti sei accorto che hai ri-quotato e ri-risposto ad un mio commento di 3 messaggi fà?? comunque il "di coccio" sei te che non t'entra nel cervelletto che l'ip statico pubblico è un di più che per l'utenza remota non serve a un cazzo, e anzi nel contesto di sicurezza e identificazione può essere ingannevole. Un sacco di tempo sprecato a spiegarti il perchè e il percome e tu continui a fare lo gnorri. Boh, fatti tuoi....
            io la possibilità
            dell'ip statico sempre, la vedo con un'altra
            ottica non solo la sicurezzaQuale, cribbio, quale! è due giorni che ti chiedo di illustrare quali siano queste ottiche e tu continui a glissare. Credi forse di avere ragione semplicemente ripetendo come un robottino la stessa frase?

            Finchè non

            le dici e rimani sul generico posso solo

            continuare a motteggiarti

            Purtroppo qui entriamo in un argomento che
            credo ti sfugga Aaahhhh, la mettiamo sul "tanto te non puoi capire"! bene, questo si che è "facile e comodo", ma anche da (troll)
            ma a me l'idea di potermi
            portare a presso un server web sempre
            accessibile, poter configurare un un server
            ftp un beeweeb server oppure un mod-dav
            tutti strumenti per condividere risorse o
            strumenti
            sul mio pc con un ip publico e statico non
            mi dispiace affatto anzi!!! Ahhh fermo fermo, ora si scopre che in realtà il tuo "utente remoto" (road-warrior) non accede ai servizi del tuo server aziendale come hai pomposamente dichiarato finora, bensì è lui ad offrire servizi? ho capito bene? e perchè mai un road-warrior dovrebbe avere server web, ftp, ecc... ?
            se devo amm, 30 adsl con router, come mi connetto ai
            router in caso di necesità?:o No, dai, stai scherzando, dì la verità :| Guarda che per fare questo ti basta davvero dyndns. Oppure puoi usare il TUO server (e non quello di mc-link) come ponte per venire a conoscenza dell'ip del router remoto in quel momento e quindi connettertici. Dài, via, mi hai preso per il culo finora dài! ci sono cascato, ero convinto che tu parlassi seriamente!
            telnet, che è ormai l'insicurezza in assolutoSi, dài via mi stai prendendo per il culo! "telnet ormai l'insicurezza in assoluto"??? ma telnet non è MAI stato sicuro perchè NON E' CRIPTATO e chiunque lungo il percorso tra il client e il server vede tutto il traffico IN CHIARO, lo legge AD OCCHIO NUDO. Il provider di connettività e nel tuo caso anche mc-link possono davvero spoofarti, leggere le tue password in transito, entrare spacciandosi per te e fare tutto ciò che puoi fare te, in barba al tuo amato "ip statico portabile". Ma sei matto!? dài, via, tranquillizzami, dimmi che stai scherzando! sono davvero preoccupato per te e i tuoi utenti :S
            permetto l'accesso a quel router soltanto dal mio ip statico
            non è il massimo ma cmq è quello che faresti anche tu
            noo??MA NO DAVVERO! io
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar

            Perfetto siamo d'accordo è quello che

            intendevo!!!

            Come volevasi dimostrare. Serietà, senso
            civile e netiquette vorrebbe che tu ti
            scusassi per esserti spiegato male, ma
            vabbè, sorvoliamoio credo di essermi spiegato bene ecco perchè non mi scuso ma giustamente ammetto che volevamo dire la stessa cosa!

            ma di cosa parli tu lavori in un'azienda e

            forse certe problematiche ti sfuggono!!!
            Ma falla finita con queste patetiche
            insinuazioni, sei solo ridicolo. Sai una
            sega te di dove lavoro io. E comunque
            continui "elegantemente" a glissare sui tuoi
            precedenti sproloqui, confermando la tua
            totale mancanza di serietà oppure (a tua
            scelta) totale incapacità di distinguere gli
            argomenti : qui infatti hai tagliato il
            quoting sul tuo commento "se devo gestire da
            remoto 20 30 clienti................Rispondo sotto!!!


            Se io ho 20 30 clienti i quali hanno le
            loro

            adsl

            128-640 a casa al negozio ecc ecc e hanno
            la

            necessita in qualche modo di collegarsi al

            proprio pc quando sono fuori la soluzione

            mclink secondo me è la più facile comoda
            ed

            economica

            Più facile comoda e economica per chi? forse
            per chi la rivende. Certo, lui non deve fare
            un bel niente e nemmeno spendere un
            centesimo. chi la rivende la deve amministrare e gestire e già mi leva un impiccio!!!che poco che sia è sempre un impiccio!!
            Economica? lo vediamo subito :
            dimmi quanto costa esattamente tutto
            l'ambaradan.Nell'abbonamento adsl 128-640 da 77 ? + iva al mese ai 10 client vpn da poter configurare per quella cifra credo che una soluzione più economica non la trovi...adsl di per se è un pò cara ma ti assicuro che non ho mai avuto un problema che durasse + di pochi minuti!!!
            Intanto, lo sai quanto costa un
            router capace di instaurare 4-5 tunnel
            contemporanei per i tuoi 4-5 utenti su una
            VPN IPSec personale tramite PSK? tra i 200 e
            i 300 euro. La configurazione? mezz'ora sul
            router, 10 minuti per ogni client, sia esso
            Windows che Linux (non so per altri s.o.).
            Ecco fatto.Vedi che non capisci che il problema è il target se devo fare una cosa in proprio migliore e più affidabile mi prendo uno scassone di pc e sopra ci monto openbsd e faccio la mia bella vpn con meno spese ma con più tempo...invece cosi per l'utente casalingo che non ha pretese gli faccio la vpn in due minuti lo capisci!!!
            Diciamo un quarto d'ora
            per ogni certificato tò. Cazzo che fatica!!
            (Inutile dire che a un serverino apposito
            puoi fargli fare tutte le cose insieme
            risparmiando la spesa del router, ma
            lasciamo stare)perchè lasciamo stare?


            Veramente io ero convinto che tu
            avessi un


            ip per ciascuno dei tuoi utenti!!!!!

            Invece


            hai 1 solo ip statico per tutti i tuoi
            4-5


            utenti? e allora che cazzo
            identifichi??

            la cosa comoda è che gli ip

            assegnati ai singoli alias sono statici ma

            in questo caso privati della classe
            10.x.x.x

            Ah, quindi ci vuole un altro tunnel tra il
            server mc-link e il tuo server. Quindi il
            tuo server (gateway) lo devi configurare
            comunque. O è un'altro dei tuoi sproloqui?gateway? scusa qui non ti capisco un altro tunnel ma cosa!!! spiegati meglio!!

            Tutto questo mi permette [cut] con una
            spesa che rientra

            nell'abbonamento non credo che si possa

            spendere di meno

            Ma stai scherzando? ti devi aggiornare amico
            mio





            perchè ci sono altri metodi

            migliori di




            identificare i road-warriors.



            te l'ho detto mille volte ip statico è un

            impiù che non disdegno gli altri mille
            modi

            li continuo ad usare ma sei di coccio!!!!
            Oh, ma ci sei o ci fai? ma ti sei accorto
            che hai ri-quotato e ri-risposto ad un mio
            commento di 3 messaggi fà??si non è stato volontari la fretta!!!
            comunque il "di
            coccio" sei te che non t'entra nel
            cervelletto che l'ip statico pubblico è un
            di più che per l'utenza remota non serve a
            un cazzo, e anzi nel contesto di sicurezza e
            identificazione può essere ingannevole. Un
            sacco di tempo sprecato a spiegarti il
            perchè e il percome e tu continui a fare lo
            gnorri. Boh, fatti tuoi....no comment..la sicurezza per me è fatta di tante piccole cose e questa è una di quelle che ti devo dire..se ti senti sicuro solo dei tuoi certificati e della tua vpn bravo ma occhio il primo pericolo è sempre dall'interno !!!
            Ahhh fermo fermo, ora si scopre che in
            realtà il tuo "utente remoto" (road-warrior)
            non accede ai servizi del tuo server
            aziendale come hai pomposamente dichiarato
            finora, bensì è lui ad offrire servizi? ho
            capito bene? e perchè mai un road-warrior
            dovrebbe avere server web, ftp, ecc... ?Lo sapevo non ci saresti arrivato....e qui non aggiungo altro credo che tu sia un pò limitato cmq appena avro la possibilità di provarlo vado da un mio amico con fastweb a 10 M mi configuro la vpn con ip statico e vediamo come vado che dici questo ti basta tanto per fare un esempi!!!!


            se devo amm, 30 adsl con router, come mi
            connetto ai

            router in caso di necesità?

            :o No, dai, stai scherzando, dì la verità :|
            Guarda che per fare questo ti basta davvero
            dyndns.Dyndns cosa!!! e certo sullo zyxel gli faccio un acl sul nome ma che dici!!!!
            Oppure puoi usare il TUO server (e
            non quello di mc-link) come ponte per venire
            a conoscenza dell'ip del router remoto in
            quel momento e quindi connettertici.questo già lo faccio ma averne uno che mi porta a presto lo ritengo più comodo già te l'ho detto con un ip statico ci si possono fare altre cose.
            Dài,
            via, mi hai preso per il culo finora dài! ci
            sono cascato, ero convinto che tu parlassi
            seriamente!ma io sono serio :)))

            telnet, che è ormai l'insicurezza in
            assoluto

            Si, dài via mi stai prendendo per il culo!forse che ti devo dire....buon "man in the...." !!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            Economica? lo vediamo subito :

            dimmi quanto costa esattamente tutto

            l'ambaradan

            Nell'abbonamento adsl 128-640 da 77 ? +
            iva al mese ai 10 client vpn Si? e questi? "Il costo del servizio varia dai 150 ai 300 euro l'anno con un contributo di attivazione di 50 euro (prezzi Iva esclusa)" ma stiamo parlando della stessa cosa? io sto parlando della notizia di questo forum, e tu?
            Vedi che non capisci che il problema è il
            targetAmico, basta che ti decidi su quale sia questo target perchè ad ogni post lo cambi e mi passi dall'azienda con 4-5 accessi da esterno, all'utente privato che vuole accedere da fuori al suo PC casalingo, passando per te che devi amministrare 20-30 router ADSL. Di nuovo, deciditi e poi fammi sapere. Vuoi parlare di tutti questi e magari di molti altri? benissimo, basta che lo dici una buona volta... avresti anche rotto il cazzo con i 'sti giochini da bambino

            (Inutile dire che a un serverino apposito

            puoi fargli fare tutte le cose insieme

            risparmiando la spesa del router, ma

            lasciamo stare)

            perchè lasciamo stare?La verita? perchè mi sembra troppo complicato per te


            la cosa comoda è che gli ip


            assegnati ai singoli alias sono
            statici ma


            in questo caso privati della classe

            10.x.x.x



            Ah, quindi ci vuole un altro tunnel tra il

            server mc-link e il tuo server. Quindi il

            tuo server (gateway) lo devi configurare

            comunque. O è un'altro dei tuoi sproloqui?

            gateway? scusa qui non ti capisco un altro
            tunnel ma cosa!!! spiegati meglio!!Allora : tu dici che quando "l'utente mobile" si collega a mc-link questi gli assegna sempre il solito IP ma della classe privata 10.x.x.x. Se così è, e se questa identificazione univoca tramite IP statico deve essere "tramandata" al server finale (cioè il server finale deve essere in grado di identificare univocamente l'utente mobile grazie a questo benedetto IP statico), quest'ultimo deve essere istruito in modo tale che il traffico verso la rete 10.x.x.x venga inoltrato al server mc-link, e questo, poichè quella classe è privata e non verrebbe inoltrata correttamente dai router Internet "neutrali", può avvenire solo tramite un altro tunnel di qualche genere (anche un "semplice" IP-in-IP, insomma una sorta di VPN point-to-point) tra il server mc-link ed il server finale. Diversamente l'unica altra alternativa per evitare ciò sarebbe che il server mc-link effettuasse NAT (certamente overloaded) tramite uno dei suoi IP pubblici, ma allora il server finale perderebbe l'informazione relativa all'identità dell'utente remoto e quindi non posso credere che sia questo il meccanismo. Onde per cui ho optato per la soluzione "tunnell mclink---serveraziendale". Se così non è sarebbe l'ora che tu lo spiegassi (se ti riesce) e poi se ne riparla

            Un sacco di tempo sprecato a spiegarti il

            perchè e il percome e tu continui a fare
            lo

            gnorri. Boh, fatti tuoi....

            no comment..Appunto : fai lo gnorri. E' proprio questo il motivo dell'insulsaggine di questa discussione : io ti ho fatto affermazioni spiegandole e argomentandole, tu di contro finora sei stato capace solo di obbiettare con "tu non capisci qua.... tu non capisci la.... per me non è così....". Abbiamo capito perfettamente che per te non è così ma se vuoi sperare di essere minimamente credibile sarebbe ora che tu iniziassi a spiegare i motivi, altrimenti, credimi, non ci fai bella figura. Poi, ribadisco, fai te, sono fatti tuoi, m'importa assai delle tue convinzioni. Di certo non sprecherò ulteriore tempo dietro ad un interlocutore come te
            che ti devo dire..se ti senti sicuro solo
            dei tuoi certificati e della tua vpn bravobuah, si vedono continuamente pareri discordi sugli argomenti più disparati ma uno che negasse l'efficacia degli odierni metodi pro-privacy ancora mi mancava. Ok, prendo atto
            ma occhio il primo pericolo è sempre
            dall'interno !!!Già, infatti chissà come mai ho sempre parlato di connessioni sicure end-to-end, e comunque il pericolo dall'interno non è certo un buon motivo per trascurare il pericolo dall'esterno. Ma sono sicuro che avrai da ridire anche su questo.... proprio te, che fai l'amministrazione con telnet 8) il toro che dà di cornuto all'asino....

            ho capito bene? e perchè mai un road-warrior

            dovrebbe avere server web, ftp, ecc... ?

            Lo sapevo non ci saresti arrivato....e qui
            non aggiungo altro credo che tu sia un pò
            limitatoSi, si, certo, certo, però intanto ancora non lo dici! ma come! ti fai scappare un'occasione così limpida per farmi fare la figura del frolloccone! dài! nemmeno un rigore a porta vuota! Ahhh ho capito: te sei di quelli che dicono che sono dei ganzi loro che ne sanno una più del diavolo e di non potersi abbassare a donare il loro sapere alle altre povere menti... si, si, va bene
            cmq appena avro la possibilità di
            provarlo vado da un mio amico con fastweb a
            10 M mi configuro la vpn con ip statico e
            vediamo come vadoma dove vai! ma stattene a casina tua che è meglio :D
            che dici questo ti basta
            tanto per fare un esempi!!!!ma di che! ma te sei malato! "vado dal mio amico fastweb 10M mi configuro la vpn con ip statico e vediamo come vado"! che fulgido esempio di esempio esplicativo!!!


            se devo amm, 30 adsl con router, come
            mi

            connetto ai


            router in caso di necesità?



            No, dai, stai scherzando, dì la verità

            Guarda che per fare questo ti basta
            davvero

            dyndns.

            Dyndns cosa!!! e certo sullo zyxel gli
            faccio un acl sul nome ma che dici!!!!ma acl de chè! A RINCOOO! sei te che hai tirato in ballo i 30 router adsl da amministrare: io ho voluto dare per scontato che si trattassero di 30 adsl con ip pubblico dinamico perchè se non è così si cade nel ridicolo davvero. E quindi (santa pazienza) se tu devi amministrare 30 router "dinamici" dal tuo portatile ovunque tu sei, con DynDNS ti basta telnettare il nome (e sorvolo di commentare ulteriormente l'abitudine di amministrare con telnet...). Ma io mi ti vedo : a te t'hanno infilato in testa il comando "acl" del Cisco IOS e per te è come se t'avessero dato i 10 Comandamenti..... "non avrai altre acl all'infuori di me" ... "non desiderare le acl d'altri" ... "onora le acl e le access-list extended (quelle da 100 a 199 e da 2000 a 2699)" ...
            già te l'ho detto con un ip statico ci si possono
            fare altre cosesi, si, certo, certo, anche co 'sta minchia ci si fanno tante cose 8)

            ci sono cascato, ero convinto che tu parlassi

            seriamente!

            ma io sono serio :))):o gosh!

            Si, dài via mi stai prendendo per il culo!

            forse che ti devo dire....buon "man in
            the...." !!!!Grazie, buon "MCLINK-in-the-middle" a te! :DNiente da fare: ogni volta io cerco di parlare seriamente ma poi
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar

            Nell'abbonamento adsl 128-640 da 77 ? +

            iva al mese ai 10 client vpn
            ma stiamo parlando della
            stessa cosa? io sto parlando della notizia
            di questo forum, e tu?scusa tu mi hai chiesto una cosa io ti ho risposto rileggiti il post, ti ho detto che l'articolo parla di un potenziamento di un servizio che già c'è!!!!

            Vedi che non capisci che il problema è il

            target
            Amico, basta che ti decidi su quale sia
            questo target perchè ad ogni post lo cambi....Non è che lo cambio sono tutte situazioni reali che mi capitano io non sto con il culo su di una sedia tutto il giorno a fare la stessa cosa fortunatamente!!!

            perchè lasciamo stare?

            La verita? perchè mi sembra troppo
            complicato per temai sottovalutare nessuno ricordatelo presuntuoso!!



            la cosa comoda è che gli ip



            assegnati ai singoli alias sono

            statici ma



            in questo caso privati della classe


            10.x.x.x





            Ah, quindi ci vuole un altro tunnel
            tra il


            server mc-link e il tuo server. Quindi
            il


            tuo server (gateway) lo devi
            configurare


            comunque. O è un'altro dei tuoi
            sproloqui?



            gateway? scusa qui non ti capisco un altro

            tunnel ma cosa!!! spiegati meglio!!

            Allora : tu dici che quando "l'utente
            mobile" si collega a mc-link questi gli
            assegna sempre il solito IP ma della classe
            privata 10.x.x.x. bravooooo!!!!
            Se così è, e se questa
            identificazione univoca tramite IP statico
            deve essere "tramandata" al server finale
            (cioè il server finale deve essere in grado
            di identificare univocamente l'utente mobile
            grazie a questo benedetto IP statico),ES.(213.203.147.2) (213.203.147.4) (213.203.147.3) pc1 10.0.0.2 pc2 10.0.0.3 pc3 10.0.0.4 | | | | | | |____________INTERNET__________ | 195.110.128.10 Server MClink VPN | | Server 172.110.128.23 (10.0.0.1)Questa è la situazione già esistente quella dell'articolo è un'ulteriore evoluzione secondome comoda!!!!!
            Appunto : fai lo gnorri. E' proprio questo
            il motivo dell'insulsaggine di questa
            discussione : io ti ho fatto affermazioni
            spiegandole e argomentandole, tu di contro
            finora sei stato capace solo di obbiettare
            con "tu non capisci qua.... tu non capisci
            la.... per me non è così....". Abbiamo
            capito perfettamente che per te non è così
            ma se vuoi sperare di essere minimamente
            credibile sarebbe ora che tu iniziassi a
            spiegare i motivi, altrimenti, credimi, non
            ci fai bella figura.mi sembra che le cose te le ho dette sei tu che ti stai sclerotizzando su di un articolo che sicuramente poteva dare spunto ad altre discussioni ma tu, forse giustamente vedi solo vpn e sicurezza.

            che ti devo dire..se ti senti sicuro solo

            dei tuoi certificati e della tua vpn bravo

            buah, si vedono continuamente pareri
            discordi sugli argomenti più disparati ma
            uno che negasse l'efficacia degli odierni
            metodi pro-privacy ancora mi mancava. Ok,
            prendo attovedi che non leggi, ho detto "solo" il che vuol dire che non sono i soli certificati e le sole vpn a farti stare sicuro con questo non ho assolutamente messo in dubbio la loro efficacia...è diverso noo!!!sei di cemento!!!

            ma occhio il primo pericolo è sempre

            dall'interno !!!

            Già, infatti chissà come mai ho sempre
            parlato di connessioni sicure end-to-end, e
            comunque il pericolo dall'interno non è
            certo un buon motivo per trascurare il
            pericolo dall'esterno. Ovvio la mia era una battuta ma possibile che sei cosi quadrato!!!Quindi usi "arp watch" spero! :D
            Ma sono sicuro che
            avrai da ridire anche su questo.... proprio
            te, che fai l'amministrazione con telnet 8)
            il toro che dà di cornuto all'asino....Ma chi fa l'amministratore con il telnet ma perchè scrivi quello che ti fa comodo.Ho detto che se devo connettermi ad un router adsl da remoto devo usare il telnet, cosa che capita sporadicamente ma capita ed allora permetto l'accesso da un solo ip tutto qua!!!se proprio lo vuoi sapere da remoto uso ssh vnc su ssh e radmin contento conosci questi strumenti???


            ho capito bene? e perchè mai un
            road-warrior


            dovrebbe avere server web, ftp, ecc...
            ?



            Lo sapevo non ci saresti arrivato....e qui

            non aggiungo altro credo che tu sia un pò

            limitato

            Si, si, certo, certo, però intanto ancora
            non lo dici! ma come!
            ti fai scappareMi sembra che te lo abbia detto il fatto di avere sulla mia macchina dei servizzi lato server e portarmeli ovunque mi trovo, visto che il mio partatile è sempre acceso mi fa comodo lo capisci o no non ti basta!!

            cmq appena avro la possibilità di

            provarlo vado da un mio amico con fastweb
            a

            10 M mi configuro la vpn con ip statico e

            vediamo come vado
            ma dove vai! ma stattene a casina tua che è
            meglio :D

            che dici questo ti basta

            tanto per fare un esempi!!!!
            ma di che! ma te sei malato! "vado dal mio
            amico fastweb 10M mi configuro la vpn con ip
            statico e vediamo come vado"! che fulgido
            esempio di esempio esplicativo!!!poi dici a me invece tu ne dai tante di spiegazioni nel tuo non essere daccordo non mi sembra che hai spiegato un bel niente cosa ci trovi di tanto ridicolo?dammi un riferimento e quando lo faro ti faccio sapere i risultati!!!!



            se devo amm, 30 adsl con router,
            come

            mi


            connetto ai



            router in caso di necesità?





            No, dai, stai scherzando, dì la verità


            Guarda che per fare questo ti basta

            davvero
            ma acl de chè! A RINCOOO! sei te che hai
            tirato in ballo i 30 router adsl da
            amministrare: io ho voluto dare per scontato
            che si trattassero di 30 adsl con ip
            pubblico dinamico perchè se non è così si
            cade nel ridicolo davvero.scusa ma qui tu sei ridicolo io ho detto che il telnet è un colabrodo ma visto che alle volte ho necessita di arrivare su dei router adsl ip dinamico o statico sti caz... l'importante è che almeno permetto il telnet da un solo ip invece che da tutto il mondo questo non è per amm. ma per fare piccole modifiche ogni tanto. acl è un termine che non riquarda solo cisco che a quanto ho capito non ti sta simpatica!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            l'articolo parla di un potenziamento di un
            servizio che già c'è!!!!A me non sembra (leggi più avanti)

            basta che ti decidi su quale sia

            questo target perchè ad ogni post lo
            cambi....

            Non è che lo cambio sono tutte situazioni
            reali che mi capitanoSi ma se vuoi farti capire non puoi cambiarle da una riga all'altra senza avvisare il tuo interlocutore


            perchè lasciamo stare?



            La verita? perchè mi sembra troppo

            complicato per te

            mai sottovalutare nessuno ricordatelo
            presuntuoso!!Ti ho reso pan per focaccia, caro mio. Dài e dài sembra che finalmente tu abbia moderato un pò i termini e io mi adeguo. Ma se ricominci, non temere che ricomincio anch'io (anzi, ti lascio proprio perdere xchè mi sarei anche rotto i coglioni. Figuriamoci se ho tempo da perdere per insultare chicchessia)
            INTERNET
            195.110.128.10
            Server MClink
            |
            |
            Server
            172.110.128.23
            (10.0.0.1)Eh! Appunto! Quindi ti ci vuole il tunnel (VPN) per instradare 10.x.x.x da "Server" a "Server MClink", proprio come dicevo io. Ergo, il "Server" lo devi configurare per instaurare questo tunnel con mc-link, in modo che "Server" invii il traffico per 10.0.0.2 tramite il suo IP 172.110.128.23 verso 195.110.128.10, il quale estrarrà dal tunnel, vedrà che è traffico per 10.0.0.2 e quindi spedirà a 213.203.147.2. E se ti devi prendere la briga di configurare 'sto tunnel con mc-link, non potresti prenderti la stessa briga per configurare una VPN personale? in altre parole: dove sarebbe la semplicità e immediatezza di configurazione rispetto a una VPN personale?
            Questa è la situazione già esistente quella
            dell'articolo è un'ulteriore evoluzione
            secondome comoda!!!!!Mah, a me sembra che sia invece proprio ciò che è descritto nell'articolo e quindi non ci vedo nessuna evoluzione. Tutt'al più da questa frase "l?utente può connettersi con il suo IP personale che si sovrappone a quello previsto dalla connessione principale" si potrebbe interpretare che mclink non lavori più su rete privata 10.x.x.x bensì effettui NAT direttamente su uno dei suoi ip pubblici, di fatto affittandoli, ma di fatto ponendosi il limite del numero di IP pubblici a sua disposizione. Non mi sembrerebbe una cosa furba da fare, perciò tendo a escluderla

            sarebbe ora che tu iniziassi a

            spiegare i motivi, altrimenti, credimi,
            non

            ci fai bella figura

            mi sembra che le cose te le ho dette sei tu
            che ti stai sclerotizzando su di un articoloIo non sclerotizzo su di un articolo. Io commento un servizio che fornisce un "oggetto" (l'ip statico portabile) dicendo che è "Il modo più semplice per assicurare la certezza dell?identificazione ... per farsi riconoscere tramite un IP statico che permette di individuare in modo certo l?utente". Nota le parole in neretto: chi afferma ciò è un bugiardo. Come se non bastasse devi (ovviamente) accettare che il SUO server si frapponga fra il tuo client e il TUO server. Direi che è il colmo della (non) sicurezza!
            che sicuramente poteva dare spunto ad altre
            discussioni ma tu, forse giustamente vedi
            solo vpn e sicurezzaNe parla mclink, e io commento nel contesto tirato in ballo da lei stessa. Forse continua a sfuggirti questo dettaglio
            vedi che non leggi, ho detto "solo" il che
            vuol dire che non sono i soli certificati e
            le sole vpn a farti stare sicuroCioè secondo te non sono adeguatamente efficaci. Io invece dico che se fatte bene sono tutto ciò che serve per stare "sicuri". Poi certamente tutto è perfettibile, ma non è certo aggiungendo un ip statico che aggiungi sicurezza alle VPN, perchè l'ip è solo un recapito, non un identificazione
            sei di cemento!!!che fai ricominci? allora ricomincio anch'io? vabbè per stavolta la lascio correre và


            ma occhio il primo pericolo è sempre


            dall'interno !!!



            Già, infatti chissà come mai ho sempre

            parlato di connessioni sicure end-to-end,

            e comunque il pericolo dall'interno non è

            certo un buon motivo per trascurare il

            pericolo dall'esterno.

            Ovvio la mia era una battutaMah, sarà
            Quindi usi "arp watch" spero!Che c'entra arp watch? stavamo parlando di pericoli esterni...
            Ma chi fa l'amministratore con il telnet ma
            perchè scrivi quello che ti fa comodoGuarda che l'avevi detto te! infatti lo ridici anche ora, anche se (per fortuna) correggi il tiro...
            Ho detto che se devo connettermi ad un
            router adsl da remoto devo usare il telnetFai te. Su un router senza ssh io proprio non ci faccio l'amministrazione remota, anche perchè un router senza ssh è probabilmente un router minimo = utente minimo = esigenze minime = una volta installato difficilmente può insorgere motivo di rimetterci le mani, a meno che non si sconfiguri ma in tal caso non puoi accederci da remoto
            se proprio lo vuoi sapere da remoto uso sshOh, ora sono + tranquillo. M'hai fatto venire un'accidente, mannaggia
            Mi sembra che te lo abbia detto il fatto di
            avere sulla mia macchina dei servizzi lato
            server e portarmeli ovunque mi trovoHO CAPITO! CHE TI FA COMODO! l'hai detto 7000 volte, ma perche? che ci metti? gli upgrade da far scaricare ai tuoi clienti? i pornazzi e gli mp3? il tuo sito personale? o cosa? e su un portatile? PERCHE'? dicevi che non c'hai segreti militari! e dille le cose allora, sennò come fò a dirti come io faccio o farei la stesse cose? COSI' CHE LA FACCIAMO DIVENTARE COSTRUTTIVA QUESTA CAZZO DI DISCUSSIONE!! e poi: sempre acceso? ma che c'hai, il rifornimento in volo?
            poi dici a me invece tu ne dai tante di
            spiegazioni nel tuo non essere daccordo non
            mi sembra che hai spiegato un bel nienteCOME? e le migliaia di caratteri che ho scritto per spiegarti come e perchè IMHO il servizio di mclink è superfluo ed insicuro che fine hanno fatto?? se ti sembrano insufficienti o poco chiare o hai di che obbiettare, devi solo FARLO (di obbiettare...)
            cosa ci trovi di tanto ridicolo?
            dammi un riferimento e quando lo faro ti
            faccio sapere i risultati?? un riferimento? di che? per cosa? per farti fare cosa?
            alle volte ho necessita di arrivare su dei router adsl ip
            dinamico o statico ...ahhhh quindi parlavi del caso in cui sei te l'utente mobile in questione e vuoi l'ip fisso per inserirlo nelle acl dei tuoi 30 router così che fanno accedere solo te, e non che i tuoi 30 router hanno l'ip dinamico e tu gli vuoi dare l'ip fisso per farci l'amm. Cazzo, mi sei saltato da un caso all'altro ad ogni riga senza dire nulla e poi la tua domanda "come mi connetto ai router in caso di necesità?" mi aveva definitivamente sconcertato. Vabbene, stavolta hai ragione te: non avevo fatto 1+1 io. Okkey, questo te lo concedo: in quei casi meglio un controllo sull'ip statico che niente (naturalmente dò p
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar

            INTERNET

            195.110.128.10

            Server MClink

            |

            |

            Server

            172.110.128.23

            (10.0.0.1)

            E se ti devi
            prendere la briga di configurare 'sto tunnel
            con mc-link, non potresti prenderti la
            stessa briga per configurare una VPN
            personale? in altre parole: dove sarebbe la
            semplicità e immediatezza di configurazione
            rispetto a una VPN personale?Che il costo sta nell 77 ? di connessione che cmq devo pagare per la linea e che il tutto lo faccio con 10 click e ...ripeto...il target è talmente basso che questo tipo di offerta è secondo me più che soddisfacenete!!!!


            Questa è la situazione già esistente
            quella

            dell'articolo è un'ulteriore evoluzione

            secondome comoda!!!!!

            Mah, a me sembra che sia invece proprio ciò
            che è descritto nell'articolo e quindi non
            ci vedo nessuna evoluzione. Ma perchè continui ad essee cosi "quadrato" questo servizio mclink lo offre da almeno 2 anni, due anni fa le tue vpn non costavano 300 ?, ora però in più ti da la possibilità di avere un ip pubblico cosa che prima non era possibile questa è l'evoluzione che poi ti piaccia o no è un'altra cosa!!!! e se non vedi evoluzione che ti devo dire!!!! io si!!!!
            Tutt'al più da


            sarebbe ora che tu iniziassi a


            spiegare i motivi, altrimenti, credimi,

            non


            ci fai bella figura



            mi sembra che le cose te le ho dette sei
            tu

            che ti stai sclerotizzando su di un
            articolo

            Io non sclerotizzo su di un articolo. Io
            commento un servizio che fornisce un
            "oggetto" (l'ip statico portabile) dicendo
            che è "Il modo più semplice per assicurare
            la certezza dell?identificazione ...
            per farsi riconoscere tramite un IP statico
            che permette di individuare in modo
            certo l?utente". La possibilità di scrivere qui è anche legata al fatto che si può discutere e approfondirlo un argomento quindi visto che io ritengo che quello dell'ip statico è un impiù e ci vedo anche altre possibilità ne parlo, non mi fermo all'articolo, tu invece continui imperterrito sul contenuto dell'articolo che sicuramente è stato scritto da un commerciale e non da un tecnico di mclink!!!
            Nota le parole in
            neretto: chi afferma ciò è un bugiardo. Come
            se non bastasse devi (ovviamente) accettare
            che il SUO server si frapponga fra il tuo
            client e il TUO server. Direi che è il colmo
            della (non) sicurezza!Prova un secondo a lasciar perdere il discorso articolo e sicurezza e pensa all'ip statico forse qualcosa ti viene in mente di carino nooo!!!

            che sicuramente poteva dare spunto ad
            altre

            discussioni ma tu, forse giustamente vedi

            solo vpn e sicurezza

            Ne parla mclink, e io commento nel contesto
            tirato in ballo da lei stessa. Forse
            continua a sfuggirti questo dettaglionon mi è sfugito ma se io ci vedo altre possibili funzionalità ne parlo!!!


            vedi che non leggi, ho detto "solo" il che

            vuol dire che non sono i soli certificati
            e

            le sole vpn a farti stare sicuro
            Cioè secondo te non sono adeguatamente
            efficaci. Scommetto che tuo padre da bambino ti picchiava con la cinta....questo tuo continuo puntualizzare per far finta di non capire...dire "non sono adeguate" non vuol dire dire "non sono efficaci".La sicurezza è fatta di mille accorgimenti che vanno da quelli più banali a quelli più corposi per fare un es. accettare connessione da un solo ip cambiare le porte di default di un servizio ecc ecc rientrano tra quelle banali, certificati, chiavi asimmetriche, vpn,emulatori di OS ecc rientrano tra i più corposi ora la differenza tra me e te sta nel fatta che per me la sicurezza è un insieme di cose che ti ho riportato per te solo chiavi certificati e vpn!!!!

            Quindi usi "arp watch" spero!
            Che c'entra arp watch? stavamo parlando di
            pericoli esterni...si ho capito!! ma siccome ti ho detto che il primo pericolo viene dall'interno ti ho fatto una battuta dicendoti se usi arp watch!!! cmq io te lo consiglio!

            Ma chi fa l'amministratore con il telnet
            ma

            perchè scrivi quello che ti fa comodo

            Guarda che l'avevi detto te! infatti lo
            ridici anche ora, anche se (per fortuna)
            correggi il tiro...si ma in che termini? te lo ripeto non riesci mai ad aprire le vedute della tua mente per comeriporti tu le cose sembra che in telnet mi ci connetto sulla mia linuxbox per amministrare il server delle transazioni della bnl!!!! e che diamine stai tranquillo!!!

            se proprio lo vuoi sapere da remoto uso
            ssh

            Oh, ora sono + tranquillo. M'hai fatto
            venire un'accidente, mannaggiacome sei simpatico però ricorda.....l'ultimo bug di ssh ben documentato che permetteva da remoto di cambiare la password dell'utente ed entrare tranquillamente....è ovvio che solo uno stupido consente l'accesso da remoto con ssh per l'utente root....ha fatto sfracelli e anche un amministratore attento poteva cascarci.. il pericolo qui non è solo l'informatico esperto che sfruttando il bug ti può far danno quanto il piscello che legge una qualche rivista che ne parla...ormai ne siamo pieni.....e si mette ha sperimentarlo, è proprio quello oggi il pericolo maggiore quindi, è qui torniamo al discorso a noi tanto caro in quel caso l'accesso alla macchina da un solo ip avrebbe sortito da tampone non credi?
            COSI' CHE LA
            FACCIAMO DIVENTARE COSTRUTTIVA QUESTA CAZZO
            DI DISCUSSIONE!! e poi: sempre acceso? ma
            che c'hai, il rifornimento in volo?sempre accesso perchè ovunque sto ho internet quindi ho anche un AC....e cmq anche se ho fatto un cut, si... ci facci anche tutto quello che hai elencato tu senza pornazzi che sul mio pc non hanno mai visto la luce!!!! e mai la vedranno!!!

            poi dici a me invece tu ne dai tante di

            spiegazioni nel tuo non essere daccordo
            non

            mi sembra che hai spiegato un bel niente

            COME?mi riferivo a quello detto subito sopra che però hai tagliato...credo si parlasse di fastweb idea a mio avviso buona se non fosse che la differenza di prezzo dell'offre mclink è dovuta proprio alla larghezza di banda e + di 512 non ti da...cmq io una prova la farei 512 a 300 ? l'hanno anche se rendono 256 non mi sembrano niente male!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            ... e che tutto lo faccio con 10 clickMa non dì cazzate. Passi per il costo ma se devi configurare il "Server" e il client non sono certo 10 click. E comunque molto dipende anche dall'applicazione precisa nonchè dal protocollo di VPN usato. Ma tu come sempre fai il vago.... Forse solo con PPTP e SOLO tra computer Windows possono essere 10 click, ma in tal caso mi sbellico ancora più dalle risate : PPTP è famosissimo per la sua non-sicurezza STRUTTURALE e, come tutte le cose microsoft, non è certo il massimo dell'interoperabilità, mentre tu mi parli allegramente di server e router di ogni genere (facendo sempre il vago.... secondo me lo fai apposta perchè sai che se entri nel dettaglio mi dai tutti gli elementi per smontarti pezzo per pezzo il tuo amato servizino ;))

            Mah, a me sembra che sia invece proprio

            ciò che è descritto nell'articolo e quindi non

            ci vedo nessuna evoluzione

            Ma perchè continui ad ...Macchè quadrato e rettangolo. Ti sto dicendo che non mi sembra abbiano variato proprio niente. Sei andato avanti te per 3 giorni a dire "secondo me è un evoluzione utile", potrò dire io che "secondo me" non c'è proprio nessuna evoluzione? L'eventuale evoluzione di avere ip pubblico invece che 10.x.x.x è solo un'interpretazione deduttiva mia personale fatta su quella frase generica nella notizia di PI e sul fatto che sarebbe l'unica soluzione a giustificare dei costi aggiuntivi, ma NON CERTO QUEI costi. Tu hai preso la mia interpretazione come quella veritiera? ti ringrazio per la stima.... ma se così fosse allora sono pure ladri! un ip pubblico 150 (come minimo) euro + 50 di attivazione? Secondo me invece quello sarà il nuovo costo di tutto l'ambaradan così come è ora (10.x.x.x o ip pubblico che sia). Se poi invece l'ho indovinata, allora vuol dire che le mie capacità analitiche e deduttive sono sempre in ottima forma!! E non avrò invidia per i polli che cadranno nella rete di mclink!!
            La possibilità di scrivere qui è anche ...Volentieri. Ma sei te quello deputato a proporre. Sei te che dici che è un servizio utile e che ha un sacco di applicazioni. Invece ho dovuto usare le pinze per estipartene qualcuna, che comunque finora hai descritto solo in maniera molto generica e quindi poco commentabile. Io continuo imperterrito primo perchè rimane comunque il topic del forum, secondo perchè solo ora hai cominciato a dire qualcosina di extra, a forza di "rinco" e "ahò ma sei de coccio"
            Prova un secondo a lasciar perdere il
            discorso articolo e sicurezza e pensa all'ip
            statico forse qualcosa ti viene in mente di
            carinoPiù ci penso e meno ne trovo (perchè per ogni situazione che trovo c'è la soluzione alternativa più stabile, certa e sicura), e più ci penso e più penso ai rischi di sicurezza connessi

            Ne parla mclink, e io commento nel
            contesto

            tirato in ballo da lei stessa. Forse

            continua a sfuggirti questo dettaglio

            non mi è sfugito ma se io ci vedo altre
            possibili funzionalità ne parlo!!!Maddove! ma se ti sei limitato a confermare genericamente le ipotesi che ho avanzato IO. mah

            Cioè secondo te le vpn non sono adeguatamente

            efficaci

            questo tuo
            continuo puntualizzare per far finta di non
            capire...Traduco i tuoi discorsi in termini più espliciti, cosicchè se non sono quelli che intendevi tu possa correggerti. Effettivamente dovresti ringraziarmi... 8)
            ... per me la sicurezza è un
            insieme di cose che ti ho riportato per te
            solo chiavi certificati e vpn!!!!Chiavi, certificati e vpn sono una soluzione che, nella maggioranza dei casi, ti evitano tutte le altre che hai detto e che erano l'uniche cose che si potevano fare prima, quando chiavi, certificati e vpn non esistevano. Quelle cose che dici te oggigiorno ha senso farle solo dove, per motivi di legacy o di mancanza di interoperabilità o di impossibilità di intervenire su alcuni "partecipanti" (es. un router non tuo, un s.o. che non conosci o al quale non puoi accedere, ....) o altri motivi di "dettaglio", ti impediscono la soluzione vpn criptata e/o autenticazione con firma digitale o certificato. IMHO, naturalmente

            Che c'entra arp watch? stavamo parlando di

            pericoli esterni...

            si ho capito!! ma siccome ti ho detto che il
            primo pericolo viene dall'interno ti ho
            fatto una battuta dicendoti se usi arp
            watch!!! cmq io te lo consiglio! Monitorare i MAC address è una prassi troppo onerosa in rapporto alle casistiche che affronta e ai benefici che può dare. D'altronde, per "pericolo interno" si intende un computer legittimo mal configurato o craccato o infetto piuttosto che uno illegittimo che appare nella LAN. E una LAN ben configurata è in grado di gestire autonomamente e automaticamente A MONTE il tentativo di annessione alla rete da parte di computer illegittimi, altro che arp-watch (ti ricordo che anche il MAC è un ADDRESS e non un ID, e può essere spoofato tale e quale ad un IP address, quindi un computer illegittimo potrebbe prima analizzare passivamente il traffico per individuare un MAC utilizzabile, per poi fingersi lui quando lui non è attivo)
            si ma in che termini? per come riporti tu le
            cose sembra che
            in telnet mi ci connetto sulla mia linuxbox
            per amministrare il server delle transazioni
            della bnl!!!!Io ho riportato quello che hai detto. All'inizio hai detto genericamente che usavi "telnet per amm. remota". Solo poco fa hai corretto il tiro
            l'ultimo bug di ssh permetteva .... è qui torniamo al
            discorso a noi tanto caro in quel caso
            l'accesso alla macchina da un solo ip
            avrebbe sortito da tampone non credi?Si ma fino a un certo punto : usando mclink come fornitore di ip fisso, essa (un suo dipendente disonesto o un cracker che fosse riuscito a penetrare il loro server) avrebbe potuto spoofare il tuo ip statico ed accedere fingendosi te. Avendo invece un ip fisso fornito dal provider di connettività, era lui (dipendente o cracker) a poter fare la stessa cosa. Quindi, la soluzione definitiva anche per questo caso è sempre e solo la chiave asimmetrica (ovviamente fin tanto che non te la fai rubare!!!!)

            COME?

            mi riferivo a quello detto subito sopra che
            però hai tagliato...credo si parlasse di
            fastwebAvevo tagliato per motivi di spazio. Si, parlavi (te, non noi) di fastweb. Allora è vero che non ricordi nemmeno ciò che hai scritto tu!! :p Comunque non ho commentato perchè non ho capito (tuttora) cosa c'entrasse fastweb, che l'hai buttato li dal nulla (come al solito)!!! Comunque se vuoi saperlo io ho forti dubbi che ti possa proprio funzionare : gli utenti fastweb sono tutti dietro firewall che effettua NAT e dubito fortemente che sia VPN-passthrough; quindi il tuo tunnel, sia esso GRE o ESP o comunque un protocollo diverso da TCP o UDP, dubito che riesca ad uscire e tanto meno ad entrare. Se mclink usa IPSec per la tua amata vpn puoi sperare solo ch
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar

            alle volte ho necessita di arrivare su
            dei router adsl ip

            dinamico o statico ...

            ahhhh quindi parlavi del caso in cui sei te
            l'utente mobile in questione e vuoi l'ip
            fisso per inserirlo nelle acl dei tuoi 30
            router così che fanno accedere solo te, e
            non che i tuoi 30 router hanno l'ip dinamico
            e tu gli vuoi dare l'ip fisso per farci
            l'amm. Cazzo, mi sei saltato da un caso
            all'altro ad ogni riga senza dire nulla e
            poi la tua domanda "come mi connetto ai
            router in caso di necesità?" mi aveva
            definitivamente sconcertato. Vabbene,
            stavolta hai ragione te: non avevo fatto 1+1
            io. Okkey, questo te lo concedo: in quei
            casi meglio un controllo sull'ip statico che
            niente (naturalmente dò per scontato che sia
            un router SENZA supporto ssh, e SENZA
            nemmeno un PC con sshd, sennò non te lo
            concedo più! )Vedi il problema è che in molte cose non ci siamo capiti ed ammetto che io nello scrivere non sono un drago ma tu ammetti di essere come gli inglesi.....quando vengono da noi ci dobbiamo sforzare di capirli quando noi andiamo da loro sbagliamo un accento è finita è come se avessimo detto niente!!!Tu sei un pò così dillo dai ogniuno ammetta le sue responsabilità e poi....... buon "Man in the middle a tutti"!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            Bene, ora che finalmente hai dato un pò di elementi, ne faccio un riassunto e li rimetto un pò insieme. Hai parlato tanto di "target diversi", di "applicazioni server sul portatile", di "amm. remota vincolata all'ip statico portabile". Nessuna di queste sta nemmeno in piedi:1) hai server ftp e http sul tuo portatile con ip fisso così i tuoi clienti si collegano per scaricare gli upgrade? ma per favore, figuriamoci. Gli upgrade ai clienti li devi uploadare, installare, configurare TE di TUA iniziativa e magari a manina TUA. Figuriamoci se queste cose le fanno i clienti! Hai il tuo sito web su un portatile? il massimo dell'inusabilità per i visitatori. Vabbè, contento te...2) amm. remota di 30 router adsl? in vpn 10.x.x.x? su dei router minimali? (xchè se non sono tali allora o hanno ssh o comunque hai un cliente non minimale che ha un server sul quale puoi mettere ssh e quindi non hai più bisogno di nessuna acl su nessun ip statico portabile). E poi tutto questo lo configureresti in 10 click? ma smettila! Eppoi, quante saranno mai queste volte che devi rimettere le mani su un router? giusto se ti si sconfigura, ma allora non ci accedi di certo da remoto (te l'ho già detto)3) i target diversi? l'unico possibile target potrebbe essere l'improbabile necessità di amministrazione remota del router MINIMALE dell'utente casalingo di cui sopra, ma SOLO se mclink ti dà ip pubblico, NON certo se ti dà 10.x.x.x, perchè se il router dell'utente casalingo può fare vpn (cioè può essere l'end-point di un tunnel) allora NON E' PIU' MINIMALE e anzitutto sei stato disonesto a vendergli un router non minimale e poi comunque puoi fare vpn diretta tra te e il suo router SENZA ip fisso e soprattutto senza passare per mclink .... che è meglio (diceva il puffo quattrocchi)In conlusione, mi sembra che tu abbia sparato un pò di cose a vanvera, sperando di azzeccarne qualcuna per caso.... e non ti è riuscito. Alla luce di ciò mi verrebbe da pensare che probabilmente sei te il (un) commerciale di mclink che è venuto qua a pubblicizzare la cosa. In tal caso, direi che ti è andata vieppiù male. Pazienza, ti andrà meglio la prossima volta! 8) Ma non temere : di allocchi in giro ce ne sono parecchi e qualcuno quel servizio lo comprerà di certo, ignaro della sua superfluità e falsa sicurezza ;)
            Vedi il problema è che in molte cose non ci
            siamo capiti ed ammetto che io nello
            scrivere non sono un drago ma tu ammetti di
            essere come gli inglesi.....quando vengono
            da noi ci dobbiamo sforzare di capirli
            quando noi andiamo da loro sbagliamo un
            accento è finita è come se avessimo detto
            niente!!! Tu sei un pò così dillo dai ogniuno
            ammetta le sue responsabilità Il mio parere : certamente spesso non ci siamo capiti, e sicuramente io sono uno .... tu dici "quadrato" .... io dico "analitico e che focalizza e isola gli argomenti" .... sto attento a tutto e non mi sfugge niente (quasi mai). Ma quando si scrive (e si legge) non si può fare diversamente, perchè non c'è "interattività" e c'è altissima "latenza" tra la domanda e la risposta e la contro-risposta. D'altro canto, se tu mi chiedi "che ore?" io tendo a chiederti "che ore che?", tu rispondi "vedi che non capisci: intendo dire che ore sono?" io ti rispondo "vabbè le 17:10" poi mi rispondi con "vedi che non capisci: intendo dire che ore sono a New York"..... la nostra discussione è andata avanti così. In più, ogni tanto mi cambiavi il tema all'improvviso : "che tempo", "che tempo che?", "che tempo fa?", "mah, piove", "no, che tempo fa Tokyo!" :o . Poi, togliere pure la punteggiatura a uno scritto è come togliere il tono, le inflessioni e le pause ad un discorso parlato: si fa più fatica ad individuare i periodi ed il contestoComunque si, è vero, sono un pignolo :p
            e poi....... buon "Man
            in the middle a tutti"!!!!Si, ma dammi retta (tralascio per un attimo l'eventualità che tu sia solo un commerciale mclink venuto a far pubblicità) : vuoi usare questa tecnica con i tuoi utenti? perfetto, ma usa un TUO server come server di VPN. Certo, devi comprare un pò di ip pubblici ma ci guadagni in sicurezza (il "man-in-the-middle" sei te stesso e non mclink) e se davvero usi la tecnica della vpn 10.x.x.x (sinceramente ci credo poco perchè ti limita l'usabilità sull'unico target per il quale potrebbe avere un minimo di senso : l'utente casalingo) non devi nemmeno comprare gli ip pubbliciBye
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            Ti risponderò così altrimenti non la finiremo più.1) hai ragione tu su tutto.2)Mclink è un providere di incompeternti e tu hai la verità in mano3) Sei troppo bravo per me spero tu sia un'ingegniere che quadagna minimo 5000 ? al mese altrimentnti licensiati 4) Credo che le tue competenze siano limitate alla vpn e hai tuoi certificati.5) tutto quello che ci faccio con ip statico anche solo per sperimentare, oltre a quello che già ho detto è per me una gran comodità.6)se uno di quelli che pur di affermare le proprie ragioni uciderebbe l'amico...altro che pignolo...7) hai dato delle giustificazioni ridicole su ssh dimostrando di non conoscere neanche il bug in questione8) PPTP bravo....10 click e via per un utente che paga 77 ? ed è senza pretese e senza segreti minitari è perfetto se tu non lo capisci bravo fai tu!!!Intanto una soluzione diversa non me l'hai proposta ti ricordo che con tutte le magagne che il PPTP in un anno mai dato un problema....configurazione via web con 10 click, file doc passo passo per la configurazione del cliente inviato per posta e in 5/6 minuti ho fatto tutto, per me va bene se per te tutto questo è una cagata fai come ti pare io per quel che deve svolgere la trovo una soluzione dal buon compromesso!!!tu invece la vedi tutta una cagata ma te l'ho detto sei quadrato!!!9) sul discorso arp watch hai proprio esagerato ti ripeto il vero pericolo in abito di rete è l'impiegato malizioso con un minimo di conoscenze informatiche e non un computer configurato male o un virus!!!i quali non sono da sottovalutare e avvio!!!!10) fasteweb vedremo che ti devo dire...per tutta la rete fastweb ci sono due gateway che nattano le connesioni, non credo che impediscano alle connesioni vpn di passare sarebbe troppo!!!11) ultima cosa ...scommetto che voti berlusconi e vai in ufficio in giacca e cravatta...se la rovina degli informaticiTi lascio con la firma del mitico..............."There are only 10 types of people in this world... those who understand binary, and those who don't".
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            1) Dipende. Discutendone avrei potuto convincerti, oppure tu avresti potuto convincere me. O anche nessuna delle due cose ma almeno avremmo potuto imparare vicendevolmente. Quel che è certo è che se ti trovi di fronte a un interlocutore che la pensa come te allora puoi pensare di fare quello che volevi fare tu (cioè proporre e scambiarsi idee sui possibili utilizzi del servizio), ma se viceversa il tuo interlocutore la pensa in modo diametralmente opposto allora o lasci perdere del tutto (come stai facendo) oppure ti confronti con lui. E se intraprendi il confronto devi essere pronto e disponibile a rispondere esaurientemente a qualsiasi dettaglio ti venga richiesto. Dire che hai l'azienda con 4-5 utenti remoti, che ci fai l'amministrazione, che metti server http e ftp sul portatile, è troppo poco e troppo generico. I primi due si fanno egregiamente anche con altre soluzioni e l'ultima non puoi negare che sia quanto meno insolita e quindi non puoi esimerti da specificare esattamente per quale problematica, casistica o situazione ti torna utile avere server http e ftp sul tuo portatile raggiungibile da remoto con ip fisso. Invece ho dovuto supporre io quali potessero essere e tu hai risposto solo "quelle e anche altre". T'ho chiesto quali fossero queste altre, ma tu niente. Se pretendi che la gente ti creda a scatola chiusa temo che avrai cocenti delusioni2) Non sono incompetenti, sono bugiardi4) Stavamo o non stavamo commentando un servizio che ha l'esplicita pretesa di fornire identificazione certa? le vpn ipsec lo fanno, il servizio di mclink NO7) Non ho dato giustificazioni ridicole perchè non ho dato proprio giustificazioni. Cosa avrei dovuto commentare? o addirittura giustificare? E' assurdo dare qualsivoglia giustificazione a un tipo di problemi (i bug) che ci sono sempre stati e sempre ci saranno; se lavori nel settore dovresti saperlo bene anche tu: un conto sono i difetti strutturali, altra cosa sono i bug. Quel bug è stato risolto, ne verranno fuori altri; è normale. I difetti di implementazione sono inevitabili. Se dovessimo non usare un programma perchè può avere dei bug allora non ne useremmo nessuno di nessun tipo. Volevi che ti dicessi come affronto io i bug? semplicemente come dovrebbero fare tutti: mi tengo sempre aggiornato alle ultime versioni. Fai quello e probabilmente non avrai mai problemi. Non so quel caso specifico ma sono certo che avrà "fatto danni" solo a coloro non si erano aggiornati con la patch che sicuramente era uscita settimane o addirittura mesi prima. Come faccio a esserne certo? semplicemente perchè succede sempre così. Volevi sapere come configuro io ssh? se rispondi te lo dico8 ) Guarda, ti passo pure il "compromesso", anche se già all'inizio ti dissi quanto secondo me fosse poco rilevante visto che si mette in piedi una vpn personale (più sicura e stabile) con uno sforzo di poco maggiore che ti ho pure quantificato. Però scusa eh, mi hai decantato possibilità infinite di connessioni con client, server, router di ogni genere e ora me ne esci con PPTP? non ti sembra di essere un "tantino" incoerente? Poi, non lo vedo una cagata: lo vedo superfluo (per questo sono "quadrato") e nei termini esposti da mclink, pure ingannevole (per questo sono indignato)
            Intanto una soluzione diversa non me l'hai propostaMA SE SONO 3 GIORNI CHE DICO CHE CON VPN DIRETTE SI FA DI MEGLIO E CON PIU' SICUREZZA :| Perchè meglio? già l'ho detto: è più stabile (non c'è un proxy) e se vuoi ad ogni utente remoto (identificato con chiave asimmetrica oppure certificato) puoi assegnare il tuo amato ip statico della singola rete privata alla quale l'utente si connette. Perchè più sicuro? già l'ho detto: non c'è un terzo incomodo, e ora che mi riveli che mclink usa PPTP posso anche aggiungere (anche questo già detto) la proverbiale insicurezza STRUTTURALE (e non di implementazione) del protocollo, cosa che IPSec non ha o quanto meno ad oggi non mi risulta che sia stata trovata
            il PPTP in un anno mai dato un problemaPARLAVO DI SICUREZZA. Lo so che te dici che al tuo target non interessa, ma io di quello parlavo. Anche tu un pò quadrato?9) Ho esagerato in cosa? ho detto genericamente come io risolva a monte il problema di MAC spoofing. Se volevi dettagli non dovevi fare altro che chiederli
            il vero pericolo in
            abito di rete è l'impiegato malizioso con un
            minimo di conoscenze informaticheAnche ora sei vago; niente di male, ma sono convinto che se io ti chiedessi di spiegarmi cosa un "impiegato malizioso con un minimo di conoscenze informatiche" possa fare di così subdolo che sia rintracciabile solo con arp watch tu continueresti a glissare. E' ciò che hai sempre fatto. Solo quando mi hai passato lo schema "pc1,2,3---servermclink---server" con gli ip e il resto mi hai dato qualcosa di preciso su cui ragionare e darti la mia opinione. Anche la questione del server con 4-5 utenti remoti è rimasta vaga: non mi hai detto che tipo di client e server siano, le tipologie di applicazioni rese disponibili agli utenti remoti e i relativi protocolli interessati (foss'anche il solo semplice CIFS per le Risorse di Rete di Windows). Come pretendi di convincermi con così poco? E anche la faccenda dell'amm. dei 30 router adsl è rimasta generica : non mi hai detto (me lo dici solo ora) con quale protocollo fai queste vpn, non mi hai detto se è il router oppure un pc dietro al router a fare da end-point per il tunnel, non mi hai detto come operi una volta connesso (UPnP, http, cli, vnc o cosa). Si, mi hai detto "telnet", ma al di là di tutte le battute pungenti che ci siamo fatti sono certo che sai bene che pochi router (minimali) hanno supporto telnet, e allora per gli altri come fai? non mi hai detto niente e quindi non ho potuto fare altro che lamentarmi di questo. Si, è vero, nel caso dell'amm. router e dell'azienda con 4-5 utenti remoti neanche te l'ho chiesto, ma visto come stava andando l'altro caso (server http e ftp sul portatile) ho lasciato perdere. Ho cercato di stimolarti in tutti i modi ma non c'è stato verso, nemmeno provocandoti10) Guarda, te lo dico con tutto l'affetto possibile: aspettatelo! non è solo una semplice questione di NAT o firewall: PPTP mi sembra che usi il protocollo GRE che, come anche IPSec che usa ESP, è un protocollo senza porte quindi il firewall, anche volendo, non è in grado di inoltrare più di una connessione alla volta e due connessioni contemporanee "sovrascriverebbero" continuamente il NAT sul firewall disturbandosi a vicenda. Con IPSec si risolve ciò usando l'estensione NAT/Traversal, ma con PPTP non so. O c'è qualcosa di analogo oppure deve essere il firewall a fare da end-point per il tuo tunnel e poi inoltrare verso il pc del tuo amico, ma dubito fortemente che fastweb lo configuri per te o che dia l'autorizzazione a te di configurarlo, sempre ammesso che sia tecnicamente possibile visto che PPTP non è supportato da tutti. Quindi: dimentica di entrare, e per uscire spera di poter in
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar Se pretendi che la
            gente ti creda a scatola chiusa temo che
            avrai cocenti delusioniNessuno mi deve credere a scatola chiusa ip statico e nel frattempo trasportatile a me rimane comodo per i motivi da me detti e da te detti.....non ai mai risposto al pericolo dei "piscelli" che si divertono a mettere in atto exploit bene documentati senza capire bene quello che fanno ma ottenendo cmq risultati pericolo e che magari davanti ad un acl su un ip ben preciso non vanno più avanti cambiando bersagli!!!!anche questa è prevenzione e sicurezza e qui un bel'ip statico ci sta proprio bene, te lo ripetola sicurezza è fatta da tante piccole cose l'ip statico rientra cmq tra queste!! ma tu non se daccordo ed io non so cosa farti!!
            2) Non sono incompetenti, sono bugiardiNon soo bugiardi offrono un servizio per un target ben preciso non vogliono convincere nessuno che il loro servizio sia la soluzione definitiva alla sicurezza...non si sognerebbero mai di convincere la banca x y di usare il loro servizio per la sicurezza dei loro impiegati che girano il mondo e devono accedere al server della banca..ma tu questo non riesci a capirlo vedi solo bianco e nero!!!il costo di 150 ? per una cosa di questo tipo mi sembra ben proporzionato e non ci vedo grosse bugie mi dispiace!!!per altro stai parlando di uno dei pochissimi isp se non l'unico che oltre a dirti la banda che ti vende ti dice la banda minima garantita. es. 128/640 2 Mbps per 100 utenti puoi dire tutto di mclink ma non che sono bugiardi mi dispiace tanto!!!
            4) Stavamo o non stavamo commentando un
            servizio che ha l'esplicita pretesa di
            fornire identificazione certa? Si ma per come la vedo io il servizio può avere anche altre funzionalità che non questo....un altra cosa che mi è venuta in mente ora è questa...stando continuamente collegato ad internet ovunque mi trovo posso benissimo usare il mio ip un pò come un numero di tel. installandomi un software per il voice over ip ora tu mi dirai come sempre che ci sono altre mille soluzioni migliori più economiche più funzionali più più....intanto io con il mio ip pubblico trasportabile ti ho già fatto vedere quante cose si possono fare...http ftp voice pop3 sicuro...perchè no!!! in somma spazio alla fantasia io vedo l'ip pubblico con tutti i vantaggi dell'ip pubblico se tu queste cose non le vedi che posso fare.....considerando che per tuo malgrado sono docente di informatica da 5 anni mi viene in mente come potrebbe essere comodo configurare servizzi sul mio pc con ip pubblico e farli usare dai studenti in modo da simulare una situazione più reale che se facessi tutto in locale ti ripeto l'articolo e la sicurezza sono relativi per il mio utilizzo, sono un impiù ma non la cosa più importante.....se mi metto a pensare sicuramente mi verrebbro in mente altre cose!!!!!
            7) Non ho dato giustificazioni ridicole
            perchè non ho dato proprio giustificazioni.
            Cosa avrei dovuto commentare? o addirittura
            giustificare? E' assurdo dare qualsivoglia
            giustificazione a un tipo di problemi (i
            bug) che ci sono sempre stati e sempre ci
            saranno; se lavori nel settore dovresti
            saperlo bene anche tu: un conto sono i
            difetti strutturali, altra cosa sono i bug.
            Quel bug è stato risolto, ne verranno fuori
            altri; è normale. I difetti di
            implementazione sono inevitabili. Se
            dovessimo non usare un programma perchè può
            avere dei bug allora non ne useremmo nessuno
            di nessun tipo. Volevi che ti dicessi come
            affronto io i bug? semplicemente come
            dovrebbero fare tutti: mi tengo sempre
            aggiornato alle ultime versioni. Fai quello
            e probabilmente non avrai mai problemi. Non
            so quel caso specifico ma sono certo che
            avrà "fatto danni" solo a coloro non si
            erano aggiornati con la patch che
            sicuramente era uscita settimane o
            addirittura mesi prima. Come faccio a
            esserne certo? semplicemente perchè succede
            sempre così. Volevi sapere come configuro io
            ssh? se rispondi te lo dicoil tuo discorso sui bug è quasi scontato ma neanche tanto.....in informatica ci sono due tendenze una è quella di che è sempre aggiornato all'ultima path e quellodi chi non tocca nulla se tutto funziona...sempre che non escano bug clamorosi è ovvio!!! e cmq in ambito MS...e qui dimostri di non essere molto serrato tra un sp e l'altro MS cambia i suoi termini di licenza che in alcuni casi ti costringono a non effettuare l'upgrade vedi la vicenda poste italiane e il virus che attacco il db delle poste per un agg. non fatto dall'amministratore di sistema!!
            8 ) Guarda, ti passo pure il "compromesso",
            anche se già all'inizio ti dissi quanto
            secondo me fosse poco rilevante visto che si
            mette in piedi una vpn personale (più sicura
            e stabile) con uno sforzo di poco maggiore
            che ti ho pure quantificato. Cosa mi hai quantificato la tua vpn personale te la quantifico io....acquisto del firewall vpn da 300 ? come dici tu....non mi sono informato ma ni sembra poco cmq...tutto questo ha ovviamente dei tempi sia che te lo fai consegnare sia che lo devi fisicamente andare a comprare no?Configurazione a dei tempi da te indicati...20 30 min se non erro... configurazioni cliente a dei tempi che non sono solo quelli della configurazione vera e propria ma tanto per fare un esempi...metti daccordo 5 10 persone a farti lasciare i pc e poi spiega loro quelle quattro cazzate che cmq devono saper per l'utilizzo della vpn questi sono i veri tempi diciamo in totale 3-5 giorni? ora non mi dire che ho esagerato....e non solo dove lo metto il server della vpn sulla connessione 128-640 sai che prestazioni è inutile pensare alla sicurezza se poi non c'è usabilità..quindi avrai bisogno di una buona connessione e soprattutto affidabile che comincia a costicchiaree tutto questo che dici tu per chi? l'utente casalingo oppure il negozio con 3 4 rappresentanti che vuole spendere poco...ma scherziamo...la soluzione di mclink in tal senso è perfetta ripeto PERFETTA per questo target!!!!10 click via web una guida passo passo da spedire per email ed in 10 min ho fatto tutto, al massimo puoi ricevere 1 2 tel per maggiori delucidazioni ma nulla di più!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            Oohh! così mi piaci! :) ora si che mi hai dato un bel pò di elementi che posso commentare seriamente e per le quali eventualmente proporti le mie soluzioni (se ne ho, ovviamente). E inoltre finalmente mi hai dato la dimensione tangibile delle tue competenze cosicchè so di poter usare liberamente gergo tecnico senza preoccuparmi di cercare parole semplici o paragoni esemplificativi. Ho diverse cose da scriverti ma ora devo lavorare (devo fare una vpn ;) ) percui cercherò di risponderti stasera o al massimo domani (voglio infatti risponderti al meglio delle mie possibilità e per fare questo devo trovare un pò di tempo continuativo). Adesso vorrei solo rispondere ad alcune disquisizioni non tecniche, in modo da circoscriverle in questo messaggio solamente
            Non soo bugiardi offrono un servizio per un target ben preciso
            non vogliono convincere nessuno che il loro servizio sia la
            soluzione definitiva alla sicurezzaNon parlano di sicurezza, parlano di identificazione certa grazie all'ip statico. Per me questa è una bugia. E come ti dissi, l'ip statico lo posso considerare un buon indizio di identità, ma non una certezza. Poi, capisco e mi va bene tutto quello che vuoi riguardo ai target e alle esigenze di ogni caso per le quali avere un buon indizio (ma diciamo pure ottimo) di identità può essere molto più che sufficiente. Non solo l'ho capito (anzi lo concordo e l'ho sempre pensato anche io) ma lo uso pure io volentieri quando non mi voglio sbattere troppo oppure non ho giurisdizione su uno dei due end di una connessione. Ma non mi si venga a dire che un ip address dà indentificazione CERTA e che quindi consente tutte quelle applicazioni che necessitano di identificazione certa
            il costo di 150 ? per una cosa di questo tipo mi sembra ben
            proporzionatoMiseria cane! realizzo solo ora che i 150 euro sono all'anno e non al mese!!!! ach! una cosa che mi era sfuggita :( Ok, ok, è un prezzo in linea con i costi di mercato di un ip pubblico tradizionale. A parte questo però continuo a rimanere scettico sull'entità del target potenzialmente interessato. Deve essere mobile, avere esigenza di essere raggiunto "passivamente" (cioè in "risposta" ad una "chiamata") e/o "qualche" esigenza di essere identificato in maniera anche solo "quasi certa"..... boh. Non riesco a individuarlo. Un servizio server di qualsiasi tipo non lo vedo utile in pratica. Di teoria se ne può fare quanta se ne vuole ma poi bisogna videre le applicazioni nel mondo reale; es. fornire gli upgrade ai clienti non è realistico.... o tu hai clienti così bravi da collegarsi, scaricare, installare, ...., tutto da soli? Poi, un sito web su un computer portatile? dài via non mi dire che è pratico! E per quanto riguarda l'amministrazione remota, per me è una cosa che non può accontentarsi solo di un "ottimo indizio" di identificazione, quindi, abbi pazienza, ma personalmente penso a quella soluzione solo per escluderla assolutamente!!Poi, mi rinfacci la ridicolaggine della mia "soluzione" per difendermi dai MAC spoofing asserendo che è una non soluzione. Ma... l'avevo già detto io! avevo ben detto che ero rimasto vago, generico. Tu preferisci dire "non risposta"? ok, mi sta bene questa tua definizione, ma te l'ho detto io che era una non-risposta. Ti ho detto che io lo affronto in un non meglio identificato certo modo e che se eri interessato ai dettagli dovevi solo chiederli. Può sempre capitare di buttare li un argomento ma se vuoi approfondire me lo devi dire te. Non lo posso fare io di mia iniziativa, soprattutto se è un argomento che non è attinente al topic principale (come è il caso dei MAC spoofing); rischierei di rubare inutilmente spazio (caratteri) prezioso agli altri argomenti già avviati e più attinenti. Come ti risposi nel primissimo post (quando mi dicesti "E allora comincia a parlare..."), non puoi mica pretendere che ti faccia un excursus totale!!! sai bene che non basterebbero decine e decine di post da 7000 caratteri l'uno
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar
            Ho diverse cose da
            scriverti ma ora devo lavorare (devo fare
            una vpn ;) ) percui cercherò di risponderti
            stasera o al massimo domani (voglio infatti
            risponderti al meglio delle mie possibilità
            e per fare questo devo trovare un pò di
            tempo continuativo). Adesso vorrei solo
            rispondere ad alcune disquisizioni non
            tecniche, in modo da circoscriverle in
            questo messaggio solamenteSpero solo che non ti stai prendendo del tempo per documentarti perchè io non l'ho fatto altrimenti dovremmo incontrarci in chat ma non credo che ti conviene.....vpn? oggi? ma dai dimmi che dovevi uscire con la ragazza altrimenti sei proprio uno stacanovista!!!!

            Non soo bugiardi offrono un servizio per
            un target ben preciso

            non vogliono convincere nessuno che il
            loro servizio sia la

            soluzione definitiva alla sicurezza
            Non parlano di sicurezza, parlano di
            identificazione certa grazie all'ip statico.
            Per me questa è una bugia. E come ti dissi,
            l'ip statico lo posso considerare un buon
            indizio di identità, ma non una certezza.
            Poi, capisco e mi va bene tutto quello che
            vuoi riguardo ai target e alle esigenze di
            ogni caso per le quali avere un buon indizio
            (ma diciamo pure ottimo) di identità può
            essere molto più che sufficiente. Non solo
            l'ho capito (anzi lo concordo e l'ho sempre
            pensato anche io) ma lo uso pure io
            volentieri quando non mi voglio
            sbattere troppo oppure non ho giurisdizione
            su uno dei due end di una connessione. Ma
            non mi si venga a dire che un ip address dà
            indentificazione CERTA e che quindi consente
            tutte quelle applicazioni che necessitano di
            identificazione certa


            il costo di 150 ? per una cosa di questo
            tipo mi sembra ben

            proporzionato

            Miseria cane! realizzo solo ora che i 150
            euro sono all'anno e non al mese!!!! Te l'ho detto mclink come isp non lo conosci affatto e alla fine si scopre che una dei motivi principali del tuo non essere daccordo con il servizio di mclink, il prezzo.....non lo avevi neanche capito....e poi chi è che deve ridere? lasciamo perdere va...fai più bella figura!!!!
            Di teoria se ne può fare quanta
            se ne vuole ma poi bisogna videre le
            applicazioni nel mondo reale; es. fornire
            gli upgrade ai clienti non è realistico....
            o tu hai clienti così bravi da collegarsi,
            scaricare, installare, ...., tutto da soli?
            Poi, un sito web su un computer portatile?
            dài via non mi dire che è pratico! E per
            quanto riguarda l'amministrazione remota,
            per me è una cosa che non può accontentarsi
            solo di un "ottimo indizio" di
            identificazione, quindi, abbi pazienza, ma
            personalmente penso a quella soluzione solo
            per escluderla assolutamente!!Questi sono solo punti di vista....non replico neanche, io come ti ripeto le cose che tu reputi poco utili le ritengo utili inoltre per gli upgrade posso capire sotto linux e os unix like ma sotto windows ad effettuare un agg. non ci vuole una scienza non credi?Ovviamente ci sono sempre le dovute eccezioni che possibilmente risolvo da remoto!!
            Poi, mi rinfacci la ridicolaggine della mia
            "soluzione" per difendermi dai MAC spoofing
            asserendo che è una non soluzione. Ma...
            l'avevo già detto io! avevo ben detto che
            ero rimasto vago, generico.Vedi, lo sai fin ora qual'è la verità...che tu sei quello che tecnicamente non ha ancora detto una mazza forse sei tu che hai paura di scoprirti sei tu che volevi fare discorsi costruttivi e scambi di idee ma invece sei come dice un bellissimo film "tutte chiacchiere e distintivi"......
            Tu preferisci
            dire "non risposta"? ok, mi sta bene questa
            tua definizione, ma te l'ho detto io che era
            una non-risposta. Aspetto con anzia una risposta!!!!!!!
            Ti ho detto che io lo
            affronto in un non meglio identificato certo
            modo e che se eri interessato ai dettagli
            dovevi solo chiederli. Io ti ho risposto con una la soluzione tu potevi ribbattere con la tuaed invece.......ed allora te lo chiedo dispetratamente VOGLIO I DETTAGLI MA MI RACCOMANDO CHE ESCANO DALLA TUA BOCCA!!!!!
            Può sempre capitare
            di buttare li un argomento ma se vuoi
            approfondire me lo devi dire te. Non lo
            posso fare io di mia iniziativa, soprattutto
            se è un argomento che non è attinente al
            topic principale (come è il caso dei MAC
            spoofing); rischierei di rubare inutilmente
            spazio (caratteri) prezioso agli altri
            argomenti già avviati e più attinenti. Come
            ti risposi nel primissimo post (quando mi
            dicesti "E allora comincia a parlare..."),
            non puoi mica pretendere che ti faccia un
            excursus totale!!! sai bene che non
            basterebbero decine e decine di post da 7000
            caratteri l'unoOK!!..però basta...ogni volta che non rispondi aggiungi che stiamo uscendo fuori dall'argomento ma insomma ormai un vero e proprio argomento non credo che ci sia volevi essere costruttivo essilo......alla fine sulla questione VPN mi sembra che ci siamo più o meno chiariti...per te il prezzo è proporzionato al mercato e il discorso del target cominci a capirlo per altro una soluzione più veloce più economica non mi pare che tu l'abbia proposta...più sicura non c'è bisogno che me lo ricordi lo so perfettamente, ma ricorda a chi serve...quindi che ti dico!! visto che in più di un'occasione hai voluto rendermi ridicolo sappi che fino ad ora l'unico ridicolo sei tu...cmq legi leggi che l'argomento sicurezza a livello "Data Link" è molto bello ed interessante potresti imparare molto e ti assicuro che è molto più interessante del tuo livello "Application".
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            :( Che delusione. Pensavo che che ti fossi finalmente deciso ad abbandonare il ridicolo tono di sfida con il quale, per motivi a me sconosciuti, mi hai affrontato fin dall'inizio (e al quale avevo certamente risposto a tono), e che tra l'altro non avevi mai suffragato con NIENTE di veramente tangibile fino ai tuoi ultimi 3 post. Cosa ci guadagni lo sai solo te e a me manco me ne frega saperlo. Hai solo stupidamente perso un occasione di confronto costruttivo. Peggio per te. Le tue insinuazioni non mi toccano minimamente

            Miseria cane! realizzo solo ora che i 150

            euro sono all'anno e non al mese!!!!

            Te l'ho detto mclink come isp non lo conosciHAHAHA! Ancora! allora non capisci proprio un cazzo (moderatore? la ics, grazie!)
            e alla fine si scopre che una dei
            motivi principali del tuo non essere
            daccordo con il servizio di mclink, il
            prezzoIL PREZZO UNO DEI MOTIVI PRINCIPALI?? E QUESTO CHI LO DICE? TE? la fonte mi pare quanto meno sospetta ;) Uno dei motivi lo era di sicuro, ma non certo tra i principali. Ma d'altronde non capisci un cazzo: 4 giorni (oramai) a ripetere che mclink offre un servizio superfluo e ingannevole e ora arrivi te con la tua patetica sentenza. Chissà forse hai solo bisogno di upgrade alla RAM nel cervello
            lasciamo perdere
            va...fai più bella figura!HAHAHA! FACCIO PIU' BELLA FIGURA CERTAMENTE SI!!!! Io non ho difficoltà a riconoscere ed ammettere pubblicamente le mie sviste ed errori. Te invece non ammetti la genericità delle tue affermazioni (anzi le spacci per perle di saggezza tecnica dettagliata), cambi discorsi, rigiri frittate e non dài risposte a domande esplicite e dirette. COSI' RIESCE ANCHE A ME A NON FARE SVISTE ED ERRORI

            Di teoria se ne può ....

            Questi sono solo punti di vista....CERTO CHE SONO PUNTI DI VISTA! Te sei andato avanti a punti di vista dall'inizio alla fine. Hai portato esempi generici, te li ho opinati uno per uno, punto per punto, e ancora non ne hai contro-opinato neanche uno. PER FORZA! non hai niente da opinare, e non hai niente da opinare perchè i tuoi erano ARGOMENTI GENERICI e PUNTI DI VISTA
            io come ti ripeto le cose
            che tu reputi poco utili le ritengo utiliE QUESTA FRASE CHE HAI RIPETUTO OSSESSIVAMENTE PER 4 GIORNI NON E' FORSE UN PUNTO DI VISTA?? al quale, visto che hai insistito tanto, ho pensato di usarti la cortesia di rispondere esplicitamente con il mio, invece di ignorarti. Evidentemente avrei dovuto ignorarti.... ma fin dall'inizio, invece di essere aperto al confronto costruttivo
            inoltre per gli upgrade posso capire sotto
            linux e os unix like ma sotto windows ad
            effettuare un agg. non ci vuole una scienza
            non credi?SEI ABBASTANZA SVEGLIO DA ACCORGERTI CHE TI SMENTISCI DA SOLO DA UNA FRASE ALL'ALTRA?? l'hai menata per 4 giorni con i target, le casistiche, i "dipende da" e ora tu stesso scrivi della differenza tra os unix-like e windows!!! (e hai dimenticato i firmware dei router, le policy dei firewall, e "tante altre cose" (me l'hai insegnata tu questa frase di comodo ;)). Inoltre, ANCHE PER WINDOWS DIPENDE: Norton Antivirus, il PC di un utente casalingo, si aggiornano da sè; un software gestionale, il s.o. stesso (non l'hai detto tu del caso del server db delle poste? babbeo) un server web, un server di posta, NON SEMPRE si possono aggiornare da sè. Non ci vuole una scienza per chi lo sa fare, ma gli utenti finali NON LO SANNO FARE. Farai meglio a tornare dai tuoi studenti prima che tu dica altre stronzate
            Ovviamente ci sono sempre le dovute
            eccezioni che possibilmente risolvo da
            remoto!!ECCEZIONI CHE SONO LA REGOLA. Te sei un docente? bene, e allora torna a insegnare, che il mondo reale è un'altra cosa e NON SAI UN CAZZO di cosa sa fare o non sa fare un cliente. Fatti un favore: stattene zitto
            ma insomma ormai un vero e
            proprio argomento non credo che ci siaAaaahhhh questo è proprio il massimo!!! certo! con te che provi a saltare di palo in frasca come una libellula selvaggia.... ;) Eh si, è un vero peccato per te che con me non ti riesca
            peraltro una soluzione più veloce più economica
            non mi pare che tu l'abbia proposta ...Te sei proprio deficiente. Non ho mai asserito che fosse più veloce e più economica, ho sempre detto che CON UNO SFORZO APPENA MAGGIORE si fanno VPN PERSONALI IPSECComunque sai cosa? ecco la mia risposta Ti risponderò così altrimenti non la finiremo più1) hai ragione tu su tutto2) Mclink è un provider onestissimo che dice le cose come stanno e tu hai la verità in mano3) Sei troppo bravo per me spero tu sia un'ingegnere che quadagna minimo 5000 euro al mese altrimenti licenziati Inoltre:4) sul discorso arp-watch poi hai dimostrato tutta la tua incompetenza di cosa accada veramente nel mondo reale: oggi gli hub non ci sono quasi più, sono TUTTI switch, persino i router casalinghi con 4 porte 10/100, e ad ogni porta si attacca UNA SOLA macchina che quindi non può sniffare proprio un cazzo a livello data-link5) sulle tue accuse a ssh2 e alla presunta possibilità di dedurre la lunghezza delle password dimostri ancora una volta di non capire un cazzo: IO USO CHIAVI ASIMMETRICHEEEEE. E comunque, anche se fosse, vorrà dire che si risolverà, con ssh3 se necessario (lo inventeranno, se necessario)6) con la tua precisazione sul fatto che PPTP usa "la porta TCP 1723 e il protocollo ID 47 GRE" dimostri di non sapere un cazzo non solo di IPSec ma anche di come funziona PPTP: la porta TCP viene usata solo come canale di controllo esattamente come la porta UDP 500 ISAKMP per IPSec o come la porta TCP 21 per FTP in PORT-mode, e che il traffico tunnelato va in protocollo GRE che, non avendo porte, NON è NATtabile. Cose da me già dette, ma tu hai pensato bene di ripetere di nuovo le stesse obiezioni, dimostrando così di non capire un cazzo, oltre che di non sapere un cazzo sulle tecniche di tunneling in genereChe modo indecoroso di finire un thread che finalmente sembrava aver preso tutti i connotati per diventare interessante e utile per entrambi. Da perfetto ingenuo imbecille avevo già scritto il primo post di risposta e quello ormai lo invio. Gli altri, ovviamente, te li puoi scordare
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: QuasarTi ho detto che io lo
            affronto in un non meglio identificato certo
            modo e che se eri interessato ai dettagli
            dovevi solo chiederli. Può sempre capitare
            di buttare li un argomento ma se vuoi
            approfondire me lo devi dire te. Scordavo....qui poi sei ridicolissimo io ti ho dato le info sul PPTPe poi ti ho detto:" dimmelo tu sei tu l'esperto!!!" riferendomi a ipsecbeh! non mi dire che in tutto quello che hai scritto almeno qui dove sei "ESPERTO" potevi rispondere no? Forse ti devi documentare anche su questo........quindi ti prego non dirmi che te devo chiedere le cose perchè mi sembra che tanto le risposte non arrivano cmq!!!Buone letture!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Anonimo
            - Scritto da: Quasar
            Ti ho detto che io lo

            affronto in un non meglio identificato
            certo

            modo e che se eri interessato ai dettagli

            dovevi solo chiederli. Può sempre capitare

            di buttare li un argomento ma se vuoi

            approfondire me lo devi dire te.

            Scordavo....qui poi sei ridicolissimo io ti
            ho dato le info sul PPTP
            e poi ti ho detto:" dimmelo tu sei tu
            l'esperto!!!" riferendomi a ipsec
            beh! non mi dire che in tutto quello che hai
            scritto almeno qui dove sei "ESPERTO" potevi
            rispondere no?Scordavo.... qui poi sei l'apoteosi degli imbecilli: io ti volevo trattare bene dedicandoti un sacco di tempo per scriverti un sacco di cose e invece hai pensato bene di fare in modo di rimediare un bel niente. Che modo stupido di sprecare quella straordinaria risorsa che sarebbero i forum di discussione e che modo idiota di perdere tempo. Ma evidentemente era ciò che volevi fin dall'inizio. Bravo! sarai soddisfatto
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            non ai mai risposto al pericolo
            dei "piscelli" che si divertono a mettere in
            atto exploit bene documentati ...Mi sembra di averlo detto. Più o meno direttamente. Ho detto che tengo sempre aggiornati tutti i software che uso, specie i software inerenti la sicurezza. Così facendo ritengo di difendermi adeguatamente sia dagli uni (i pischelli) che dagli altri (i pirati esperti)
            la sicurezza è fatta da tante piccole cose
            l'ip statico rientra cmq tra queste!! ma tu
            non se daccordo ed io non so cosa farti!!Ma non è vero che non sono d'accordo. Io non sono d'accordo e sono quindi intransigente verso coloro dicono che un ip statico è un mezzo per dare identificazione certa. Io smetterò di ripeterti imperterrito (e quindi di essere "quadrato") questa cosa quando avverrà una delle seguenti:1) mi dimostrerai tecnicamente il contrario2) concorderai con me su questa cosa e al contempo cesserai di suggerirmi possibili applicazioni del servizio di mclink che, per essere fatti come Cristo comanda, non possono accontentarsi del solo ip statico come elemento identificativo
            un altra cosa che mi è venuta in
            mente ora è questa...
            stando continuamente collegato ad internet
            ovunque mi trovo posso benissimo usare il
            mio ip un pò come un numero di tel.Questa mi piace! assolutamente si, mi piace talmente tanto che..... l'ho proposta tempo fa ad un mio cliente, con le differenze che mi accingo a descriverti GENERICAMENTE
            ora tu mi dirai come sempre che ci sono
            altre mille soluzioni migliori più
            economiche più funzionali più piùPiù economiche non lo so, probabilmente no, e certamente non "mille". Ti posso descrivere GENERICAMENTE come la vorrei farei io: - server vpn " in casa " (mia, o del cliente, come preferisce lui)- ovviamente server (linux) vpn con supporto h323 (openh323.org e relativi software)- eventuale scheda PSTN gateway (insomma: una mini compagnia telefonica....)- "ip statico portabile" privato assegnato dalla vpn- gli utenti mobili titolari di un ip statico privato sono raggiungibili tramite l'ip statico pubblico del server vpn. L'idea sarebbe che il "numero di telefono" fosse l'accoppiata "ip-pubblico-server (meglio: fqdn) + porta-tcp-associata-in-maniera-fissa-al-utente-interno"Soluzione certamente più complessa di quella percorribile avendo un vero ip statico pubblico per ogni utente mobile, ma più risparmiosa almeno in termini di ip, anche se a dire il vero sto ancora studiando la reale fattibilità (in particolare relativamente al port forwarding necessario)
            sono docente di informatica anni mi viene
            in mente come ...Per carità, gli usi accademici te li approvo e avallo tutti. Gli usi reali dipendono dal grado di certezza di identificazione e di privacy necessari (l'hai detto anche tu, no?). Semplicemente per me ci sono cose per i quali affidarsi al solo ip come metodo di identificazione è sbagliato. E su quelle cose non sento ragioni (l'hai notato, no? 8))
            se mi metto a
            pensare sicuramente mi verrebbro in mente
            altre coseNon ne dubito. Se ti interessa il mio parere, quando ti vengono in mente sai dove trovarmi. Basta che eventuali critiche tu non le prenda come offesa personale! non vorrai mica che ti dica "si, si, hai ragione" solo per farti contento? cosa ci guadagneresti?
            il tuo discorso sui bug è quasi scontato Per questo non avevo ritenuto opportuno farlo
            in informatica ci sono due
            tendenze una è quella di che è sempre
            aggiornato all'ultima path e quellodi chi
            non tocca nulla se tutto funziona...Io tendo per la prima (obbiettivamente non sempre, ma quasi)
            e cmq in ambito MS...e qui dimostri di non
            essere molto serrato tra un sp e l'altro MS(intendevi dire "ferrato"?) Questo è verissimo! I miei server sono 100% (linux), i miei client sono grosso modo 20% linux e 80% Microsoft
            Cosa mi hai quantificato la tua vpn
            personale te la quantifico io....acquisto
            del firewall vpn da 300 ? come dici
            tu....non mi sono informato ma ni sembra
            pocoE' il prezzo al pubblico (+IVA) dello Zyxel Prestige 652 che ha solo due limitazioni: autentica solo con PSK (e non con chiavi e nemmeno certificati) e sopporta solo due tunnel attivi contemporaneamente su 10 configurabili. Ma si parlava di utenti medio-minimi, no? (tipo aziende o uffici medio-piccoli, SOHO). Altra possibile soluzione: router con solo VPN-passthrough (es: Netgear DG814, prezzo 120 euro +IVA) ed un server (linux) dietro (che magari c'è già a fare altre cose) a fare da end-point per un numero illimitato (dalle prestazioni e dalla memoria) di tunnel
            cmq tutto questo ha ovviamente dei
            tempi sia che te lo fai consegnare sia che
            lo devi fisicamente andare a comprare no?Con un cliente nuovo o anche vecchio ma che non ha un router adatto (VPN-passthrough) non sei soggetto al medesimo problema?
            Configurazione a dei tempi da te
            indicati...20 30 min se non erro...Si, per il router Zyxel si. Per Linux ci vuole in più il tempo di ricompilazione del kernel dopo averlo patchato per il supporto ipsec di freeswan.org (complessivamente un'altra ora). Ma con il nuovo kernel 2.6 non sarà più necessario perchè avrà il supporto ipsec nativo
            configurazioni cliente a dei tempi che non
            sono solo quelli della configurazione vera e
            propria ma tanto per fare un esempi...metti
            daccordo 5 10 persone a farti lasciare i pcNo. Per i client ho un installer che possono scaricare dal mio sito e che fa tutto da solo: ipsecpol.exe (ipseccmd.exe per XP) di mamma Microsoft per il supporto ipsec + file di configurazione su misura per la loro vpn da me predisposto in pochi minuti: i parametri sono sempre uguali, basta cambiare gli ip di riferimento (ip statico pubblico assegnatogli dal provider e indirizzo della loro subnet privata, nonchè PSK se router Zyxel)
            e poi spiega loro quelle quattro cazzate che
            cmq devono saper per l'utilizzo della vpnVeramente le cazzate non sono nemmeno due: i client basta che generino traffico (di qualsiasi tipo) verso la subnet privata e Windows automaticamente instaura il tunnel
            questi sono i veri tempi diciamo in totale
            3-5 giorni?Se vuoi includere i tempi di consegna del router possono essere anche maggiori. Ma anche nel tuo caso
            e non solo dove lo metto il
            server della vpn sulla connessione 128-640
            sai che prestazioni è inutile pensare alla
            sicurezza se poi non c'è usabilitàa 128k? va quanto basta. Es: si fanno anche 3-4 telefonate contemporanee VoIP a quella velocità. Comunque l'utente medio-minimo accede al gestionale (telnet, http o altro protocollo thin-client) o alla intranet, e per quelle cose non si percepisce differenza tra traffico in chiaro o su tunnel vpn (cioè è una scheggia)
            la soluzione di mclink in tal
            senso è PERFETTA per questo
            targetSecondo me giusto per un utente casalingo che dal portatile vuole
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            Ti assicuro che è mia intenzione rispondere alle tue affermazione...........però tra ieri ed oggi sto mettendo on line20 corsi di formazione a distanza FAD su piattaforma WEBCT quindi non ho un secondo da perdere perchè per domani devo aver finito......cmq tu non cogli la possibilità che hai di apprendere e spazziare con me peccato!!!!Sei troppo VPN oriented!!!! :DDPS Preparati perchè sugli switch hai proprio dato il meglio di te in ambito insicurezza ma cosa caz....dici mai ignurante!!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            PS Preparati perchè ...Hmm, scommetto di sapere a cosa ti riferisci e quindi scrivo nuovamente solo per precisare alcune cose che ho scritto e che potrebbero essere fuorvianti soprattutto per i profani che potrebbero essere tratti in inganno dalle tue facili insinuazioni. Vorrei chiarire ad altri lettori (dubito che ce ne siano ma non si sa mai) che la mia frase " ad ogni porta (di uno switch) si attacca UNA SOLA macchina che quindi non può sniffare proprio un cazzo a livello data-link " non nega affatto che sia possibile intercettare traffico altrui, bensì nega il fatto che sia possibile farlo SNIFFANDO il traffico, come invece il nostro anonimo docente vuole far intendere (" utilizzo Ettercap dal mio computer della rete locale ... seleziono il gaetway ... e comincio a SNIFFARE tutte le connessioni verso il gateway anche se la rete lavora con gli swtch "). A beneficio di chi non lo sapesse occorre fare un passo indietro. Cosa significa "sniffare"? sniffare significa vedere i pacchetti di dati che corrono sullo stesso filo al quale siamo connessi noi, pacchetti di dati muniti di indirizzo mittente e indirizzo destinatario non corrispondenti a nessuno dei nostri indirizzi nè all'indirizzo broadcast (che viene sempre trasmesso da tutti gli switch). Questo è sniffare. E con un solo host collegato ad ogni porta di uno switch, ciò non è possibile. Fin tanto che il nostro anonimo docente si era soffermato sui possibili man-in-the-middle a livello link-layer, non ho avuto proprio niente da eccepire, anzi. Ma quando, forse preso da un inspiegabile "entusiasmo", egli mi parla di "sniffare" liberamente a destra e a manca le cose cambiano. Sono esageratamente pignolo? Forse. Ma visto che il nostro docente "gioca" sul gergo tecnico inventandosi interpretazioni lascive dei termini per tentare squallidamente di mettermi in cattiva luce, non posso evitare di intervenire e fare le dovute spiegazioni a chi non masticasse della materia (non certo al nostro docente, che viceversa conosce bene quello che mi accingo a spiegare ora). E qui, ho sorvolato e sorvolo su tante altre cose, ma NON posso sorvolare sul fatto che si era partiti, su mia ipotesi, da casi di MAC-spoofing, e siamo finiti improvvisamente a complesse pratiche di MITM a livello link, il tutto come risposta alla domanda "cosa un impiegato malizioso con un MINIMO di conoscenze informatiche potrebbe fare di così subdolo ecc... ?" Beninteso che è stato lui a mettere in mezzo il MINIMO di conoscenze, quindi evidentemente secondo lui tutto ciò sarebbe fattibile da un "impiegato con un MINIMO di conoscenze informatiche". Orbene, ancora una volta il nostro docente parla in teoria, dimenticandosi della realtà. A prescindere dalla facilità d'uso di questo o quel tool (nella fattispecie non conosco Ettercap percui non posso esprimermi in merito), nella realtà un MITM a livello link in una switched LAN presuppone che l'autore dell'attacco sappia già quali siano gli host interessanti e per che cosa (cioè per quale traffico) lo siano. Questo perchè in una switched LAN non si può SNIFFARE per scoprirlo in maniera passiva. Quindi si deve già sapere il nome o meglio già gli IP address tramite qualche altro metodo "out-of-band". Certo, si può decidere di "avvelenare" (come si dice in gergo) l'intera LAN ed un tool intelligente (quale forse è Ettercap) potrebbe dedurre in tempo relativamente breve la topologia logica della rete (quali sono i gateway, quali sono i client, quali i server, ...) oppure di agire selettivamente e un pò per volta fino ad individuare ad occhio qualcosa di interessante, ma nel primo caso si verrebbe sopraffatti da mega e mega di traffico (un vero pagliaio nel quale cercare il proprio ago), nel secondo caso, ma anche nel primo a dire il vero, si dovrebbe anche sapere di cosa gli host "avvelenati" stiano parlando, cioè si dovrebbe sapere se si sta intercettando traffico telnet o smtp o pop3 o chissà cosa. Perchè si dovrebbe saperlo? perchè altrimenti cosa ve ne fate di un mucchio di caratteri più o meno (il)leggibili se non sapete a cosa si riferiscono? cosa ve ne fate di una gragnuola di username e password se non sapete in quali contesti vengono usati? quindi, per rendere utile intercettare il traffico tra due host, dovete sapere di cosa quei due host stiano parlando. E davvero tutto ciò può essere fatto da un "impiegato con un MINIMO di conoscenze informatiche"? mi sbaglierò ma io dico di no. Comunque ovviamente lascio a voi la decisioneMiei cari lettori, forse a questo punto sarete anche curiosi di sapere come sia possibile intercettare traffico altrui senza sniffare, come sia possibile frapporsi fra due host di una LAN senza (quasi) farsene accorgere, anche se trattasi di switched LAN. Niente paura, avete un qualificato docente di reti pronto a darvi tutte le spiegazioni che volete. La sua caratteristica peculiare è quella di essere estremamente chiaro preciso ed esauriente nei suoi interventi. E non temete di chiedergli ulteriori dettagli qualora qualcosa non vi tornasse: egli vi risponderà prontamente senza inganno e senza offesa. Io, dal mio piccolo, vi posso solo anticipare brevemente che la faccenda ha a che vedere con una sorta di "ingenuità" con la quale molti sistemi operativi reagiscono al traffico ARP, che è quel traffico "dietro-le-quinte" (che corre sul filo come qualsiasi altro traffico) che si scambiano tutti gli host di una LAN allo scopo di tradurre gli indirizzi network-layer (es: indirizzo IP) in indirizzi link-layer (es: indirizzo Ethernet) questi ultimi conosciuti genericamente come MAC address. Per ulteriori delucidazioni chiedete al nostro anonimo. Sono altresì certo che la sua deontolgia professionale farà si che egli sia altrettanto solerte nel descrivere anche le possibili contromisure, che esulino da quelle drastiche ed invasive che ha già elencato (tipo autenticazione del traffico arp tramite, guarda caso ;), chiavi asimmetriche e/o certificati). Anche qui vi do solo un piccolo indizio: istruire i s.o. ad essere un pò meno ingenui e, siccome questo in taluni casi può non bastare e creare altre antipatiche possibilità di attacco tipo DoS, anche switch appena un pò più "intelligenti" della norma possono essere utili a far si di contrastare A MONTE (come dicevo) simili pericolose prassi (MITM e MAC spoofing)Ok, il punto che dovevo chiarire l'ho chiarito (spero). In breve: con switch alle cui porte sono collegati uno ed un solo host, non si sniffa nulla, e MITM non è sniffAltra piccola precisazione sul discorso fastweb/vpn: anche SE il firewall consentisse traffico con protocollo GRE e ESP, allora potrebbe funzionare UN solo tunnel per volta anche senza incapsulare, ma eventuali due o più tunnel contemporanei diventerebbero concorrenti nella NAT, disturbandosi a vicendaDetto questo, auguri all'anonimo docente per i suoi corsi, dopo di che, come ho già detto le polemiche gratuite mi possono divertire per un poco, poi basta, quindi passo e chiudo 8)
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            Scritto da: Quasar

            PS Preparati perchè ...
            la mia
            frase "ad ogni porta (di uno switch)
            si attacca UNA SOLA macchina che quindi
            non può sniffare proprio un cazzo a livello
            data-link" non nega affatto che sia
            possibile intercettare traffico altrui,Già ti sei contradetto rileggiti e spiegati meglio!!!e cmq anche alla porta di un hub si attacca una sola macchina che vuoi dire a meno che non sono riusciti a fare dei mini rj45 da metterne due per porta è così dimmelo perchè mi manca :DDD
            bensì nega il fatto che sia possibile farlo
            SNIFFANDO il traffico, come invece il nostro
            anonimo docente vuole far intendereGià intendo e non ho ancora detto nulla sei un vegente cavo!!!
            ("utilizzo Ettercap dal mio computer
            della rete locale ... seleziono il gaetway
            ... e comincio a SNIFFARE tutte le
            connessioni verso il gateway anche se la
            rete lavora con gli swtch"). Quindi.....stai sniffando giusto? oppure gli vuoi dare un altro nome?
            Cosa significa "sniffare"?
            sniffare significa vedere i pacchetti di
            dati che corrono sullo stesso filo
            al quale siamo connessi noi,che corrono dove? al massimo viaggiano mio caro tecnico pignolo!!!Forse con questo giro di parole volevi intendere "lo stesso segmento di rete"...che dici è meglio noooo!!!Stesso filo non si può sentire....bocciato!!!!
            pacchetti di dati muniti
            di indirizzo mittente e indirizzo
            destinatario non corrispondenti a nessuno
            dei nostri indirizzi nè all'indirizzo
            broadcast (che viene sempre trasmesso da
            tutti gli switch).
            Questo è sniffare.Ma rileggi quello che scrivi ma che cavolo hai detto con questo concetto ma dove la compri!!!Questo non è assolutamente un cavole, questo è un tuo concetto mal detto che se messo in maniera più corretta stava ad indicare un tipo di sniffing punto!!!In due parole lo sniffing non è altro che la cattura del traffico punto...questo poi può avvenire in differenti modi.
            E con
            un solo host collegato ad ogni porta di uno
            switch, ciò non è possibile. Ma come!!! sopra dici che l'hai fatto e ora non è possibile qualcosa non quadra!!!
            Fin tanto che
            il nostro anonimo docente Veramente su punto sono registrato ma non avrei mai creduto che la cosa finisse così e cmq tu sei solo un nik quindi non vedo grosse differenze!
            si era soffermato
            sui possibili man-in-the-middle a livello
            link-layer, Link-Layer ma cosa continui a blaterare nel modello OSI si dice livello "network" nel modello TCP/IP livello "internet" ed ora non mi venire a dire che faccio l'accademico io lo evito sempre ma visto che tu fai tanto il saccente ed il pignolo non posso far altro che adeguarmi mio caro!!!!
            non ho avuto proprio niente da
            eccepire, anzi. Ma quando, forse preso da un
            inspiegabile "entusiasmo", egli mi parla di
            "sniffare" liberamente a destra e a manca le
            cose cambiano. Sono esageratamente pignolo?
            Forse. Ma visto che il nostro docente
            "gioca" sul gergo tecnico inventandosi
            interpretazioni lascive dei termini Interpretazioni cosa? ma se non ne hai preso uno di interpretazione e di termine ma sei patetico!!!
            per
            tentare squallidamente di mettermi in
            cattiva luce, non posso evitare di
            intervenire e fare le dovute spiegazioni a
            chi non masticasse della materia (non certo
            al nostro docente, che viceversa conosce
            bene quello che mi accingo a spiegare ora).Anche se volevi spiegare a chi non ha le competenze non ci sei proprio riuscito ti inventi anche i termini ma dai fai il bravo!!!
            E qui, ho sorvolato e sorvolo su tante altre
            cose, ma NON posso sorvolare sul fatto che
            si era partiti, su mia ipotesi, da casi di
            MAC-spoofing, e siamo finiti improvvisamente
            a complesse pratiche di MITM a livello link,Mac address = Data link Link = ? manca il pezzo prima altrimenti non si capisce bene!!!
            il tutto come risposta alla domanda "cosa un
            impiegato malizioso con un MINIMO di
            conoscenze informatiche potrebbe fare di
            così subdolo ecc... ?" Beninteso che è stato
            lui a mettere in mezzo il MINIMO di
            conoscenze, quindi evidentemente secondo lui
            tutto ciò sarebbe fattibile da un "impiegato
            con un MINIMO di conoscenze informatiche".
            Orbene, ancora una volta il nostro docente
            parla in teoria, dimenticandosi della
            realtà. La realtà la conosco molto bene spostandomi ed avendo a che fare con tantissime realtà e cmq ricorda, la media si sta alzando, ormai nelle scuole gli alunni ne sanno più dei professori ricordalo "genio"!!
            A prescindere dalla facilità d'uso
            di questo o quel tool (nella fattispecie non
            conosco Ettercap percui non posso esprimermi
            in merito), nella realtà un MITM a livello
            link in una switched LAN presuppone che
            l'autore dell'attacco sappia già quali siano
            gli host interessanti e per che cosa (cioè
            per quale traffico) lo siano.Perchè nelle tue lan il server di file sharing non si conosce oppure il tuo gateway lo tieni così ben nascosto....hai ragione, i server sicuramente non li hai e usare ipconfig oppure ifconfig per sapere ip e gateway è troppo complesso......scusa!!!!
            Questo perchè
            in una switched LAN non si può SNIFFARE per
            scoprirlo in maniera passiva. Non ho ben capito ma nelle tue lan ogni host comunica solo con se stesso oppure la lan ha uno scopo un pò più corposo!!!!!!
            Quindi si deve
            già sapere il nome o meglio già gli IP
            address tramite qualche altro metodo
            "out-of-band".Comunicare con un host e poi fare arp -a o -e non è poi cosi complesso per saper un ip ho detto un minimo non un imbranato!!!ma i tuoi pc comunicano oppure....te l'ho già detto sopra!!!!
            Certo, si può decidere di
            "avvelenare" (come si dice in gergo)Qui l'inglese fa più scena "Poisoning"
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            la mia

            frase "ad ogni porta (di uno switch)

            si attacca UNA SOLA macchina che quindi

            non può sniffare proprio un cazzo a
            livello

            data-link" non nega affatto che sia

            possibile intercettare traffico altrui,

            Già ti sei contradetto rileggiti e spiegati
            meglio!!!
            e cmq anche alla porta di un hub si attacca
            una sola macchina che vuoi dire a meno che
            non sono riusciti a fare dei mini rj45 da
            metterne due per porta è così dimmelo perchè
            mi manca :DDDHehe vedo che ti fai sempre più meschino, vecchio marpione! Eh si che sai bene cosa intendevo dire ma vuoi continuare con la tua polemica gratuita. Ora pur di aver qualcosa per polemizzare ti aggrappi persino a questo e addirittura al "nick-che-è-comunque-anonimo". Comunque ti ringrazio perchè mi dai l'opportunità di spiegare ciò che avevo colpevolmente sottinteso (lo spiego sempre a beneficio dei profani, non certo a beneficio tuo che invece sapevi bene cosa sottintendevo ;))Ebbene, miei cari lettori, mi consentano :D : qualora si fosse in possesso di hub si potrebbe collegarci 2,3,4,10,100,x host, tanti quanti sono le porte disponibili sull'hub in questione, certamente un solo host per ogni porta (mattacchione! ;)). Gli hub, diversamente dagli switch, propagano tutto il traffico, anche quello non broadcast, quindi gli host collegati ad un hub vedono ... Versione 1, per i profani: ... correre sullo loro filo** il traffico da/per qualsiasi altro host collegato al medesimo hub Versione 2, medesimo concetto, ma a beneficio di chi già mastica l'argomento: ... transitare sul segmento LAN a cui appartengono il traffico da/per qualsiasi altro host connesso al medesimo segmento LANTra loro possono perciò effettuare ANCHE sniffing oltre che MITM. Questo hub, qualora fosse collegato a sua volta ad una porta di uno switch, fa si che tutti gli host (2,3,4,10,100,x .....) a lui connessi siano di fatto collegati tutti a quell'unica porta di quello switch. Ergo, come per magia, si hanno tanti host tutti collegati ad una sola porta di uno switch, questo perchè uno switch è proprio uno strumento che suddivide una LAN in più segmenti. Ecco perchè ho precisato il fatto che quando ad ogni porta di uno switch si collega uno ed un solo host non si può sniffare ecc.... Non si può sniffare perchè non c'è niente da sniffare e non c'è niente da sniffare perchè su quel filo** (segmento) corre (transita) solo il traffico da/per quell'unico host. Si può sniffare senza fare MITM, si può fare MITM senza sniffare. Sniffare è come appoggiare l'orecchio ad una porta e sentire le persone che parlano e quello che si dicono (sperando di capire la loro lingua). Fare MITM è come convincere due persone che noi siamo l'altra persona con la quale ciascuna di loro crede di parlare. Cioè: Mario vuole parlare con Carlo e viceversa, ma tra i due si frappone Luca che convince Mario che lui (Luca) è effettivamente Carlo e convince Carlo che lui (sempre Luca) è effettivamente Mario, quindi Mario è convinto di parlare con Carlo mentre invece parla con Luca e Carlo è convinto di parlare con Mario mentre invece anch'egli parla con Luca. In caso di sniffing invece Carlo e Mario parlano davvero fra di loro e Luca è dietro la porta ad ascoltare ciò che si dicono. La differenza è sostanziale poichè le possibili implicazioni pratiche sono diverse (anche se alcune sono in comune). Il nostro docente invece preferisce dire che MITM è uno dei metodi per "sniffare". Come vuole. Io ho precisato cosa intendevo con la mia frase, il resto è solo polemica gratuita e non mi interessaCerto avrei di che correggere certe sue affermazioni, in particolare sulle possibili contromisure, su come ci sia differenza, diversamente da quanto asserisce lui, sotto vari punti di vista (soprattutto tecnico) tra m-i-t-m di network-layer (=layer-3 es: IP) e m-i-t-m di link-layer (=layer-2 es: Ethernet, Token Ring, 802.11a/b/g (aka Wi-Fi), lui sempre per polemica ridicola puntualizza DATA-link-layer. Ok, come vuole, non fa differenza), su come MAC address sia un termine generico, checchè ne dica lui, per riferirsi agli indirizzi DATA-link-layer (=layer-2) e quindi si dice comunemente MAC address di una scheda Ethernet, di una scheda Token Ring, di una scheda Wi-Fi, ..... Ovvio, dicevo, che avrei da correggere cose che ha scritto nonchè aggiungere cose che ha dimenticato di scrivere nonostante il notevole impegno che ha profuso, ma come ho già detto:1) ha ragione lui su tutto2) mclink dice il vero ecc.... ecc....3) è troppo bravo per me ecc...ecc...4) tutte le sue insinuazioni nei miei riguardi (su cosa so, cosa non so, cosa uso, cosa non uso, cosa "finalmente" avrei capito grazie a lui, ecc...) sono tutte verissime e fondatissime!5) ho fatto davvero figuraccia al suo cospetto! diamine, ha persino accennato a STP!!! sono convinto che se d'ora innanzi lo chiamerò "Radia Perlman" ella non se ne avrà a male!** Amici lettori, in realtà ci sono sostanziali differenze tra "filo" e "segmento LAN", differenze che hanno a che fare con il layer-1 (=physical-layer) del modello OSI, laddove ad es Ethernet "corre" su "filo" (di solito RJ45, un tempo si usava anche il BNC = cavo coassiale) mentre Wi-Fi "corre" ovviamente .... per l'aere. Il motivo per cui faccio questa distinzione solo come nota è perchè in mezzo al discorso principale avrebbe potuto confondere inutilmente le idee, inutilmente perchè è comunque ininfluente nel discorso principale (ma scommetto che il nostro docente avrebbe certamente colto questa opportunità per polemizzare sempre più pateticamente....)==================================Modificato dall'autore il 06/11/2003 20.04.39
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar
            Hehe vedo che ti fai sempre più meschino,
            vecchio marpione! no meschino pignolo come sei tu!!!
            Eh si che sai bene cosa
            intendevo dire ma vuoi continuare con la tua
            polemica gratuita. Ora pur di aver qualcosa
            per polemizzare ti aggrappi persino a questo
            e addirittura al
            "nick-che-è-comunque-anonimo". Comunque ti
            ringrazio perchè mi dai l'opportunità di
            spiegare ciò che avevo colpevolmente
            sottinteso (lo spiego sempre a beneficio dei
            profani, non certo a beneficio tuo che
            invece sapevi bene cosa sottintendevo ;))

            Ebbene, miei cari lettori, mi
            consentano :D : qualora si fosse in
            possesso di hub si potrebbe collegarci
            2,3,4,10,100,x host, tanti quanti sono le
            porte disponibili sull'hub in questione,
            certamente un solo host per ogni porta
            (mattacchione! ;)). Gli hub, diversamente
            dagli switch, propagano tutto il traffico,
            anche quello non broadcast, quindi gli host
            collegati ad un hub vedono ...
            Versione 1, per i profani:
            ... correre sullo loro filo** il traffico
            da/per qualsiasi altro host collegato al
            medesimo hub
            Versione 2, medesimo concetto, ma a
            beneficio di chi già mastica
            l'argomento:
            ... transitare sul segmento LAN a cui
            appartengono il traffico da/per qualsiasi
            altro host connesso al medesimo segmento LAN

            Tra loro possono perciò effettuare ANCHE
            sniffing oltre che MITM. Questo hub, qualora
            fosse collegato a sua volta ad una porta di
            uno switch, fa si che tutti gli host
            (2,3,4,10,100,x .....) a lui connessi siano
            di fatto collegati tutti a quell'unica porta
            di quello switch. Ergo, come per magia, si
            hanno tanti host tutti collegati ad una sola
            porta di uno switch, questo perchè uno
            switch è proprio uno strumento che suddivide
            una LAN in più segmenti. Ecco perchè ho
            precisato il fatto che quando ad ogni porta
            di uno switch si collega uno ed un solo host
            non si può sniffare ecc....Invece di fare tutto questo giro di parole, bastava una sola parola...questo inoltre conferma la tua poca competenza in materia..."ogni segmento di rete attaccato allo switch crea un dominio di collisione" punto!!!
            Non si può
            sniffare perchè non c'è niente da sniffare e
            non c'è niente da sniffare perchè su quel
            filo** (segmento) corre (transita) solo il
            traffico da/per quell'unico host. Tanto per cominciare su quel segmento potrebbe essere uplinkato un hub con 10 pc ma lasciamo perdere....
            Si può
            sniffare senza fare MITM, si può fare MITM
            senza sniffare.???????
            Il nostro docente
            invece preferisce dire che MITM è uno dei
            metodi per "sniffare". Come vuole. Io ho
            precisato cosa intendevo con la mia frase,
            il resto è solo polemica gratuita e non mi
            interessaMio caro te l'ho spiegato dopo cosa è mitm quindile tue affermazioni lasciano il tempo che trovano...ti consiglio di leggere tutto quello che scrivo prima di replicare!!!
            Certo avrei di che correggere certe sue
            affermazioni, in particolare sulle possibili
            contromisure, su come ci sia differenza,
            diversamente da quanto asserisce lui, sotto
            vari punti di vista (soprattutto tecnico)FALLO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
            Ovvio, dicevo, che avrei da correggere cose
            che ha scritto nonchè aggiungere cose che ha
            dimenticato di scrivere nonostante il
            notevole impegno che ha profuso, ma come ho
            già detto:
            1) ha ragione lui su tutto
            2) mclink dice il vero ecc.... ecc....
            3) è troppo bravo per me ecc...ecc...
            4) tutte le sue insinuazioni nei miei
            riguardi (su cosa so, cosa non so, cosa uso,
            cosa non uso, cosa "finalmente" avrei capito
            grazie a lui, ecc...) sono tutte verissime e
            fondatissime!
            5) ho fatto davvero figuraccia al suo
            cospetto! diamine, ha persino accennato a
            STP!!! sono convinto che se d'ora innanzi lo
            chiamerò "Radia Perlman" ella non se ne avrà
            a male!Ti dico una cosa se avessi risposto con queste sole affermazioni ti avrei capito pure pure ma sinceramente controbbattere nuovamente senza dire nulla di diverso da me, visto che la tua spiegazione sulla questione della porta è incompleta e imprecisa e solo un giro di parole...quella sul mint l'ho fatta io in maniera decisamente più esaustiva e completa dimostra come alla fine scappi dal vero confronto tecnico e il continuare a dire su diversi punti "io avrei fatto diversamente...secondo me si poteva fare ecc ecc" ma poi non dire nulla è veramente deprimente lasciatelo dire...io avrò fatto anche il super pignolo e preciso su molti punti ma ti vorrei ricordare come in precedenti msg mie affermazioni che erano cmq comprensibili venivano continuamente riprese da te e puntualizate, col tono del saccente che ha la verita in tasca a quel punto mi hai costrettto a calarmi nel ruolo che cmq evito sempre in questi contesti quello più tecnico dove per altro tu mi hai portato e proprio qui si è potuto notare la differenza...cmq non ti arrabbiare c'è sempre tempo per imparare.
            ** Amici lettori, in realtà ci sono
            sostanziali differenze tra "filo" e
            "segmento LAN", differenze che hanno a che
            fare con il layer-1 (=physical-layer) del
            modello OSI, laddove ad es Ethernet "corre"
            su "filo" (di solito RJ45, un tempo si usava
            anche il BNC = cavo coassiale) mentre Wi-Fi
            "corre" ovviamente .... per l'aere.Questa tua precisazione cosa centra con quello che ti ho detto!!! Tu parlavi di sniffare sullo stesso filo ed io ti ho precisato che è più corretto dire segmento di rete.Cmq ti ricordo che anche un Hub o un Repeater lavorano a livello 1 potevi metterceli...
            ==================================
            Modificato dall'autore il 06/11/2003 20.04.39??????????
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            ****************************************************************** Parte 5 di 5****************************************************************
            ARP entries statiche Lo evitano ma non sono sempre
            applicabili
            Secure-ARP Lo evita ma non è uno standard e cmq è in
            fase di sviluppo!!!!.... c'è anche DAI (Dynamic ARP Inspection) di Cisco che comunque non uso perchè lo ritengo ancora troppo "faticoso" (oltre che costoso) e ancora un pò vulnerabile se non fatto bene (si basa su server DHCP come trusted database per l'associazione "autenticata" tra MAC e IP address. Troppo poco "trusted" per i miei gusti se non è lo stesso switch a fare da dhcp, e comunque troppo poco flessibile), comunque esiste ed è efficaceEd infine la soluzione per la quale avevo precedentemente suggerito qualche indizio tipo "host un pò meno ingenui" e "switch un pò più intelligenti" per contrastare "a monte" (cioè per impedire l'attacco invece che sperare di individuarlo mentre è in atto o dopo che è già avvenuto) il mitm di layer-2. Per te che ti piace l'inglese lo chiamerò "Duplicated Arp-Reply Detection" (= DARD) Un host un pò meno ingenuo... :-- deve ignorare sempre eventuali arp-reply relativi ad una entry già esistente. Quindi attendere SEMPRE lo scadere di ogni entry della cache, ed in quel momento effettuare regolare arp-request (se necessario per via di connessioni attive, ovviamente, come di consueto)-- non deve mai aggiungere una entry nella cache in seguito ad un arp-request qualsiasi, nemmeno se lo riguarda direttamente-- non deve mai aggiungere una entry nella cache in seguito a traffico incoming di layer-3 (tipo un ping o qualunque altra cosa). Piuttosto, deve sempre prima trasmettere il proprio arp-request-- in seguito ad un suo arp-request (quindi entry markata come ), deve impedire ogni trasmissione verso il MAC address in questione qualora ricevesse più di un arp-reply entro un ristretto timeout (1 sec. o anche meno) dall' arp-requestQuindi mi sembra evidente che:-- gli unsolicited arp-reply vengono semplicemente scartati-- nessun traffico incoming viene considerato automaticamente "safe" per lo scopo di aggiornare o aggiungere entry nella cache e quindi ...-- ... se un host attaccante inviasse il proprio arp-reply in seguito ad un arp-request, questo arp-reply "illegittimo" entrerebbe in conflitto con l'arp-reply del vero host (quello "legittimo"), impedendo la connessione (in fin dei conti è nè più nè meno ciò che avviene in presenza di un semplice host mal configurato con IP address in conflitto con altro host...)Rimane scoperto il caso in cui l'host "legittimo" sia spento. In quel caso l'unico arp-reply sarebbe quello dell'host attaccante che quindi diventerebbe "legittimo" agli occhi dell'host vittima che ha trasmesso il request. Ma intanto tagliamo via già un gran numero di casistiche (un gateway o un server dovrebbero essere sempre accesi e quindi trasmettere i propri reply "legittimi"). Inoltre si crea l'opportunità per un attaccante di effettuare DoS con i suoi arp-reply; ma prima o poi (più prima che poi, ritengo) verrebbe scoperto. In ogni caso vengono in aiuto gli .... Switch un pò più intelligenti :in buona sostanza, uno switch con le medesime caratteristiche sopra descritte fornisce immediatamente questi altri vantaggi:-- centralizzazione del meccanismo (non è strettamente necessario intervenire su tutti gli host per modificarne il comportamento, anche se è sempre comunque consigliabile soprattutto in casi di segmenti a dominio di collisione)-- possibilità di individuare esattamente a quale porta dello switch è collegato l'host attaccante. Questo solo dopo che, da una stessa porta (dello switch), siano giunti almeno due arp-reply che abbiano creato conflitto con altri arp-reply. Cioè se sono avvenuti due o più DARD** nei quali uno degli "attori" è sempre una stessa porta, significa che in quella porta c'è un host che fa il furbo-- possibilità di estendere la funzionalità in maniera così capillare che diventa possibile intercettare anche MAC spoofing (molto semplicemente ad ogni porta dello switch può provenire traffico solo da un certo MAC address). In questo modo si riesce a tamponare anche il caso sopra citato dell'host legittimo spento che non può inviare l'arp-reply a contrastare l'arp-reply dell'host attaccante. Ovviamente l'anti-MAC spoofing introduce anche una certa rigidità nel poter cambiare la porta dello switch alla quale è collegato un host, ma è possibile farlo in maniera semi-automatica seguendo la prassi di consentire il learning dello switch solo in situazioni certamente safe (es: solo in presenza fisica o remota del sysadmin che può supervisionare lo spostamento di un host da una porta all'altra dello switch)-- inoltre è sottinteso (ma con te non si sa mai....) che ogni switch non deve mai avere in cache uno stesso mac address associato a più porte.... e il tuo ettercap (e qualsiasi altro avvelenatore) è bello che inculatoOvviamente un siffatto switch è uno switch di layer-2, si, ma specializzato per il protocollo IP. Per gli altri protocolli..... sculoMi sembra di non essermi dimenticato di nullaSe farai il bravo ti racconterò altre piccole evoluzioni che migliorano ed ottimizzano alcune cosettePoi appena posso voglio provare questo ettercap. E se cazzo non mi dà quell'output che ho detto prima o anche più semplice vengo li e ti taglio le palle!!!
            e qui l'unico che fino ad ora a detto cose che hanno un certo
            valore tecnico sono ioNon t'allargare. Sulle VPN hai detto poco e niente. Sulle LAN sei stato bravoObbietta, opina, critica, correggi, aggiungi tutto quello che ti pare ma se ricominci con la solita solfa del fare lo gnorri, rigirare frittate, insinuare di qua e di la, puntualizzare solo per polemica, ecc.. stavolta "passo e chiudo" davvero. Mi sono rotto i'ccazzo di te e i tuoi giochini. Ricordati che hai iniziato tu con gli atteggiamenti arroganti e io mi sono adeguato. Smettila te e la smetto anch'io. Ritengo di averti dato per la terza volta il buon esempio in questo senso. Vediamo di che pasta sei fatto veramente** Ovviamente non si considera come DARD il normale burst di arp-reply che certi s.o. trasmettono. Si ha un DARD quando arrivano reply per lo stesso ip da mac diversi
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE: Parte 5 di 5

            ARP entries statiche Lo evitano ma non
            sono sempre

            applicabili

            Secure-ARP Lo evita ma non è uno standard
            e cmq è in

            fase di sviluppo!!!!

            .... c'è anche DAI (Dynamic ARP Inspection)
            di Cisco che comunque non uso perchè lo
            ritengo ancora troppo "faticoso" (oltre che
            costoso) e ancora un pò vulnerabile se non
            fatto bene (si basa su server DHCP come
            trusted database per l'associazione
            "autenticata" tra MAC e IP address.Premesso che stiamo sconfinando in pratiche assolutamente permesse a persone con certe capacità ti dico che il sistema cisco se non ricordo male è applicabile solo alle vlan è proprietario cisco quindi richiede hardware proprietario e quindi è una soluzione non sempre applicabile anzi molto poco applicabile e cmq facilmente agirabile per certi versi visto che utilizza dhcp, te lo dico come? va beh va te lo dico......se voglio sniffare un utente in una rete con il supporto al DAI non faccio altro che configurare io sul mio pc un server DHCP bloccando il dhcp legitttimo configurerò io l'host attaccato con il mio ip come gateway e il gioco è fatto carino no!!!!!
            Ed infine la soluzione per la quale avevo
            precedentemente suggerito qualche indizio
            tipo "host un pò meno ingenui" e "switch un
            pò più intelligenti" per contrastare "a
            monte" Si ma come!!!!!!!!!!!!!! intelligenti ok ma cosa intendi?...host meno ingenui ma cosa intendi?
            (cioè per impedire l'attacco invece
            che sperare di individuarlo mentre è in atto
            o dopo che è già avvenuto) il mitm di
            layer-2. Per te che ti piace l'inglese lo
            chiamerò "Duplicated Arp-Reply Detection" (=
            DARD)Così mi piaci finalmente il termine giusto al momento giusto forse le mie lezione cominciano a funzionare..:D
            Un host un pò meno ingenuo...:
            -- deve ignorare sempre eventuali arp-reply
            relativi ad una entry già esistente. Quindi
            attendere SEMPRE lo scadere di ogni entry
            della cache, ed in quel momento effettuare
            regolare arp-request (se necessario per via
            di connessioni attive, ovviamente, come di
            consueto)Di default non lo fa nessun sistema e non mi dire che tu abiliti questa cosa su tutti i tuoi host inoltre con linux ok ma con winzoz non saprei neanche se si può forzare questo comportamento!!
            -- non deve mai aggiungere una entry nella
            cache in seguito ad un arp-request
            qualsiasi, nemmeno se lo riguarda
            direttamenteLinux lo fa di default per migliorare le prestazioni ma è una cosa assolutamente da evitare non c'è dubbio!!!
            -- non deve mai aggiungere una entry nella
            cache in seguito a traffico incoming di
            layer-3 (tipo un ping o qualunque altra
            cosa). ti ripeto il pinguino lo fa di default
            Piuttosto, deve sempre prima
            trasmettere il proprio arp-request
            -- in seguito ad un suo arp-request (quindi
            entry markata come ), deve
            impedire ogni trasmissione verso il MAC
            address in questione qualora ricevesse più
            di un arp-reply entro un ristretto timeout
            (1 sec. o anche meno) dall' arp-requestSicuramente troppo complesso da applicare su larga scala visto che cmq questi accorgimenti vanno eseguiti su i singoli host e cmq ti ripeto sotto winzoz non credo che puoi fare tutte queste arderizzazioni della macchina forse con software di terze parti se poi hai macchine 98 o ME lasciamo perdere!!!!
            Quindi mi sembra evidente che:
            -- gli unsolicited arp-reply vengono
            semplicemente scartatiTi ripeto se io sollecito spoffandomi per poi avveleno funziona e cmq solo solaris che io ricordi non mette in cache le unsolicited arp-reply e quindi crea il problema sicuramente linux lo consente ma non di default.
            -- nessun traffico incoming viene
            considerato automaticamente "safe" per lo
            scopo di aggiornare o aggiungere entry nella
            cache e quindi ...
            -- ... se un host attaccante inviasse il
            proprio arp-reply in seguito ad un
            arp-request, questo arp-reply "illegittimo"
            entrerebbe in conflitto con l'arp-reply del
            vero host (quello "legittimo"), impedendo la
            connessione (in fin dei conti è nè più nè
            meno ciò che avviene in presenza di un
            semplice host mal configurato con IP address
            in conflitto con altro host...)Sarrò sincero ma qui non ho capito dove volevi arrivare e se pure lo capico mi devi dire come fai o allimite cosa usi per farlo....perchè a parole può anche filare tutto ma nei fatti le cose cambiano!
            Inoltre si crea l'opportunità
            per un attaccante di effettuare DoS con i
            suoi arp-reply; ma prima o poi (più prima
            che poi, ritengo) verrebbe scoperto. In ogni
            caso vengono in aiuto gli ....
            Switch un pò più intelligenti:
            in buona sostanza, uno switch con le
            medesime caratteristiche sopra descritte
            fornisce immediatamente questi altri
            vantaggi:
            -- centralizzazione del meccanismo (non è
            strettamente necessario intervenire su tutti
            gli host per modificarne il comportamento,Se non intervieni sugli host ti assicuro che lo switch alla fine è ragirabile ho fatto molte prove su di un catalyst 2950 e ti assicuro che ettercap fa il suo dovere!!!...................................................................
            -- inoltre è sottinteso (ma con te non si sa
            mai....) che ogni switch non deve mai avere
            in cache uno stesso mac address associato a
            più porte

            .... e il tuo ettercap (e qualsiasi altro
            avvelenatore) è bello che inculatoTi assicuro che ettercap ha più modalità di attaccare ed ingannare uno switch ho fatto le prove con i 2950 e mi dispiace ma non è poi così intelligente quello che tu asserisci è perfettamente vero ma ettercap lo smentisce è chiaro che qui si apre un discorso infinito su come fa che cmq potremmo sempre fare!!!!
            Se farai il bravo ti racconterò altre
            piccole evoluzioni che migliorano ed
            ottimizzano alcune cosettedimmi dimmi e poi io ti dico come ettercap inganna i tuoi switch intelligenti!!!!!
            Poi appena posso voglio provare questo
            ettercap. E se cazzo non mi dà quell'output
            che ho detto prima o anche più semplice
            vengo li e ti taglio le palle!!!Quando vuoi ti consiglio di usarlo sotto linux o freebsd l'ultima versione sotto winzoz ha problemi!!

            e qui l'unico che fino ad ora a detto cose
            che hanno un certo

            valore tecnico sono io

            Non t'allargare. Sulle VPN hai detto poco e
            niente. Sulle LAN sei stato bravoGrazie come sei buono!!!!. Vediamo di che
            pasta sei fatto veramenteIn questo momento sono stanco quello è sicuro!!
            Ovviamente non si considera come DARD il
            normale burst di arp-reply che certi s.o.
            trasmettono. Si ha un DARD quando arrivano
            reply per lo stesso ip da mac diversiMa dai!!!!!!!!!!!!!!!!!!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            ****************************************************** Parte 8 di 8****************************************************Dunque, uno switch dotato di quelle stesse caratteristiche valide anche per gli host può fungere da barriera tra i domini di collisione che collega. E' chiaro che se un dominio di collisione ha più di un host, quei host possono avvelenarsi a vicenda e lo switch non può fare nulla, ma con un host per ogni porta di ogni switch, si evita di dover implementare queste modifiche sui singoli host perchè lo switch con quelle caratteristiche è perfettamente in grado di schermare i DAR che transitano attraverso di lui, nonchè gli eventuali reply per i quali non ha visto nessun request. Inoltre, siccome lui può individuare a quale delle sue porte è connesso Malicious, esso (lo switch) può decidere di chiudere quella porta così da evitare anche il DoS poichè a quel punto ad Alice giungerebbe solo il reply di Bob (mi rifaccio all'esempio di prima). Come fa lo switch a capire qual'è il reply fasullo e quindi a capire su quale porta è collegato Malicious? è semplice: per ogni porta tiene un contatore che viene incrementato ogni volta che un arp-reply ricevuto da quella porta causa un DAR. Non appena una stessa porta si ?eleva? nella classifica delle porte che hanno provocato più DAR, si può già dire con ragionevole certezza che in quella porta c'è un host avvelenatore. Esempio esplicativo: supponiamo che alle porte di uno switch siano collegati i seguenti host:porta 1 : Alice : DAR counter = 0porta 2 : Bob : DAR counter = 0porta 3 : Malicious : DAR counter = 0Supponiamo poi che Malicious tenti di avvelenare Alice e Bob. Quando Alice invia il proprio request per conoscere il mac di Bob, quest'ultimo e Malicious trasmettono il reply causando il DAR. Quindi abbiamo la porta 2 e 3 con il contatore DAR = 1. Ovviamente anche Bob vuole comunicare con Alice quindi invierà il request per conoscerne il mac e a quel punto ci sarà un DAR tra Alice e Malicious, quindi la situazione diventa:porta 1 : DAR counter = 1porta 2 : DAR counter = 1porta 3 : DAR counter = 2A questo punto si può già intuire che in porta 3 c'è un host avvelenatore. Ovviamente se Malicious risponde solo agli arp-request che riguardano Bob, allora la situazione rimane ambigua e lo switch non può fare alcuna distinzioneAlcune ulteriori sofisticazioni riguardano controlli legati alle singole associazioni mac/ip che possono consentire sia di individuare il mac colpevole (e non solo la porta a cui è collegato), sia di ?depenalizzare? i mac innocenti che sono stati coinvolti in DAR dal mac colpevole.... tutte cose per le quali ci vuole un meccanismo di anti-IP-spoofing che avvicinano molto verso il DAI di Cisco, anche se senza basarsi su DHCP, e comunque sofisticazioni che cominciano ad essere veramente complesse. Comunque se vuoi ne possiamo parlare, solo per il gusto di farlo
            Ti assicuro che ettercap ha più modalità di attaccare ed
            ingannare uno switch ... quello che tu asserisci è
            perfettamente vero ma ettercap lo smentisce è chiaro che
            qui si apre un discorso infinito su come fa che
            cmq potremmo sempre fare!!!! A me va anche bene. L'unica cosa è che magari non so te ma io non ho proprio tempo di andare avanti a manciate di messaggi da 7000 caratteri l'uno ogni volta e così spesso, quindi magari rarifichiamo la cosa e selezioniamo gli argomenti. E poi non vorrei che il De Andreis ci facesse pagare l'occupazione di spazio su disco!!

            ti racconterò altre

            piccole evoluzioni che migliorano ed

            ottimizzano alcune cosette

            dimmi dimmi e poi io ti dico come ettercap inganna i tuoi
            switch intelligenti!!!!! Una è l'implementazione dell' anti-IP-spoofing basata su ARP invece che su DHCP, altre sono quelle relative alla depenalizzazione dei mac address innocenti, solo che ora francamente al solo pensiero di scrivere una frase in più mi viene la nausea. E poi ho scritto talmente tanto e ho parlato di talmente tante cose che non sto capendo più un cazzo. E' inutile anche che rilegga quello che ho scritto perchè tanto non mi accorgerei di eventuali imprecisioni, errori, lacune.... Vabè tanto ci pensi te a trovarle no? ;) Magari ne riparliamo la prossima volta, ammesso che ti interessi
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE: 8 di 8
            Dunque, uno switch dotato di quelle stesse
            caratteristiche valide anche per gli host
            può fungere da barriera tra i domini di
            collisione che collega. E' chiaro che se un
            dominio di collisione ha più di un host,
            quei host possono avvelenarsi a vicenda e lo
            switch non può fare nulla, ma con un host
            per ogni porta di ogni switch, si evita di
            dover implementare queste modifiche sui
            singoli host perchè lo switch con quelle
            caratteristiche è perfettamente in grado di
            schermare i DAR che transitano attraverso di
            lui, nonchè gli eventuali reply per i quali
            non ha visto nessun request.ti vorrei accennare ad un'altra tecnica tipicamente utilizzata anche viste tutte le precauzioni del caso tools come ettercap permettono di saturare la memoria degli switch che ad un certo punto di saturazione cominciamo a sparare su tutte le porte diventando dei veri e propri hub e quindi anche qui le precauzioni saltano....come nella vita fatta la regola trovato l'inganno!!
            Inoltre,
            siccome lui può individuare a quale delle
            sue porte è connesso Malicious, esso (lo
            switch) può decidere di chiudere quella
            porta così da evitare anche il DoS poichè a
            quel punto ad Alice giungerebbe solo il
            reply di Bob (mi rifaccio all'esempio di
            prima). Come fa lo switch a capire qual'è il
            reply fasullo e quindi a capire su quale
            porta è collegato Malicious? è semplice: per
            ogni porta tiene un contatore che viene
            incrementato ogni volta che un arp-reply
            ricevuto da quella porta causa un DAR. Non
            appena una stessa porta si ?eleva? nella
            classifica delle porte che hanno provocato
            più DAR, si può già dire con ragionevole
            certezza che in quella porta c'è un host
            avvelenatore. Esempio esplicativo:
            supponiamo che alle porte di uno switch
            siano collegati i seguenti host:
            porta 1 : Alice : DAR counter = 0
            porta 2 : Bob : DAR counter = 0
            porta 3 : Malicious : DAR counter = 0
            Supponiamo poi che Malicious tenti di
            avvelenare Alice e Bob. Quando Alice invia
            il proprio request per conoscere il mac di
            Bob, quest'ultimo e Malicious trasmettono il
            reply causando il DAR. Quindi abbiamo la
            porta 2 e 3 con il contatore DAR = 1.
            Ovviamente anche Bob vuole comunicare con
            Alice quindi invierà il request per
            conoscerne il mac e a quel punto ci sarà un
            DAR tra Alice e Malicious, quindi la
            situazione diventa:
            porta 1 : DAR counter = 1
            porta 2 : DAR counter = 1
            porta 3 : DAR counter = 2

            A questo punto si può già intuire che in
            porta 3 c'è un host avvelenatore. Ovviamente
            se Malicious risponde solo agli arp-request
            che riguardano Bob, allora la situazione
            rimane ambigua e lo switch non può fare
            alcuna distinzioneVale la prima risposta contro la saturazione della memoria alcuni switch cedono!!!!
            Alcune ulteriori sofisticazioni riguardano
            controlli legati alle singole associazioni
            mac/ip che possono consentire sia di
            individuare il mac colpevole (e non solo la
            porta a cui è collegato), sia di
            ?depenalizzare? i mac innocenti che sono
            stati coinvolti in DAR dal mac colpevole....
            tutte cose per le quali ci vuole un
            meccanismo di anti-IP-spoofing che
            avvicinano molto verso il DAI di Cisco,
            anche se senza basarsi su DHCP, e comunque
            sofisticazioni che cominciano ad essere
            veramente complesse. Comunque se vuoi ne
            possiamo parlare, solo per il gusto di farloperchè no ma parliamone all'inizio che io verso la fine comincio a dare i numeri sono quasi 2 ore che scrivo...............

            Ti assicuro che ettercap ha più modalità
            di attaccare ed

            ingannare uno switch ... quello che tu
            asserisci è

            perfettamente vero ma ettercap lo
            smentisce è chiaro che

            qui si apre un discorso infinito su come
            fa che

            cmq potremmo sempre fare!!!!

            A me va anche bene. L'unica cosa è che
            magari non so te ma io non ho proprio tempo
            di andare avanti a manciate di messaggi da
            7000 caratteri l'uno ogni volta e così
            spesso, quindi magari rarifichiamo la cosa e
            selezioniamo gli argomenti. E poi non vorrei
            che il De Andreis ci facesse pagare
            l'occupazione di spazio su disco!!De Andreis è un caro amico di una mia amica vedrai faccio mettere una buona parola!!! :De cmq sono pienamente daccordo!


            ti racconterò altre


            piccole evoluzioni che migliorano ed


            ottimizzano alcune cosette



            dimmi dimmi e poi io ti dico come ettercap
            inganna i tuoi

            switch intelligenti!!!!!

            Una è l'implementazione dell'
            anti-IP-spoofing basata su ARP invece che su
            DHCP, altre sono quelle relative alla
            depenalizzazione dei mac address innocenti,
            solo che ora francamente al solo pensiero di
            scrivere una frase in più mi viene la
            nausea. E poi ho scritto talmente tanto e ho
            parlato di talmente tante cose che non sto
            capendo più un cazzo.IDEM neanche una tipica lezione di 4 ore mi fa lo stesso effetto!!!!! E' inutile anche che
            rilegga quello che ho scritto perchè tanto
            non mi accorgerei di eventuali imprecisioni,
            errori, lacune.... Vabè tanto ci pensi te a
            trovarle no? ;) Magari ne riparliamo la
            prossima volta, ammesso che ti interessiIo non l'ho fatto mai e mai lo faro mai tanto lo fai tu per me! :D NOTTE!!! :D
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            **** NOTA: puoi leggere i messaggi in qualsiasi ordine

            Dunque, uno switch dotato di quelle stesse

            caratteristiche valide anche per gli host

            può fungere da barriera tra i domini di

            collisione che collega. ... [cut]

            ti vorrei accennare ad un'altra tecnica
            tipicamente utilizzata ... [cut]Beh, se l'unica possibilità che dài a ettercap è quella di sperare in bug di implementazione o in cedimenti dovuti a saturazione della RAM, allora vuol dire che riconosci l'efficacia del meccanismo in sè ;) Comunque anche questa soluzione ha ovviamente i suoi limiti : uno switch con DARD difende solo contro arp-poisoning, mentre contro mitm di layer-3 (NATting) può fare poco e niente, e assolutamente niente contro Application-spoofing. Per queste cose ci vuole anti-IP-spoofing vero e proprio, quale è DAI di Cisco

            ... [stra-cut]. Comunque se vuoi ne

            possiamo parlare, solo per il gusto di

            farlo

            perchè no ma parliamone all'inizio che io
            verso la fine comincio a dare i numeri sono
            quasi 2 ore che scrivo...............Se è per questo basta che tu legga questo messaggio per primo!!! :D a 'sto giro non è necessario leggere in.... ordine di numeroComunque se ti limiti a fare obiezioni del tipo ?qualche bug c'è sempre? oppure ?basta saturare la RAM dello switch? allora è inutile che io mi impegni per descriverti tutto nei dettagli. Non dico che non hai ragione, anzi. E' ovvio che i bug ci possono essere e le RAM si possono saturare (anche questo io lo considero un bug... ma vabbè) e quindi ogni difesa può cadere per questi semplici motivi, ma se vogliamo fare un confronto di idee su una soluzione, allora quel tipo di obiezioni non sono costruttive e quindi.... non mi stimolano. D'altro canto so bene che per fare obiezioni ponderate devi a tua volta aver letto bene, aver capito bene, aver riflettuto bene, .... in pratica: devi averci dedicato del tempo, e magari questo non ti è possibile, ma anch'io dedico un sacco di tempo a scriverti e non mi va di sprecarlo. Fammi sapere come vuoi procedere

            E poi non vorrei

            che il De Andreis ci facesse pagare

            l'occupazione di spazio su disco!!

            De Andreis è un caro amico di una mia amica
            vedrai faccio mettere una buona parola!!!Questo si che si chiama culo..... 8)
            e cmq sono pienamente daccordo!Bene. Proponi gli argomenti che più ti interessano e io ti dico se posso....

            E' inutile anche che

            rilegga quello che ho scritto perchè tanto

            non mi accorgerei di eventuali

            imprecisioni errori, lacune.... Vabè tanto ci pensi te

            a trovarle no?

            Io non l'ho fatto mai e mai lo faro mai
            tanto lo fai tu per me! :DBatttttuta!!! :D :p :) :| : :o ..... ma un l'ho 'ccapita!!! :s
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...



            Dunque, uno switch dotato di quelle
            stesse


            caratteristiche valide anche per gli host


            può fungere da barriera tra i domini di


            collisione che collega. ... [cut]



            ti vorrei accennare ad un'altra tecnica

            tipicamente utilizzata ... [cut]

            Beh, se l'unica possibilità che dài a
            ettercap è quella di sperare in bug di
            implementazione o in cedimenti dovuti a
            saturazione della RAM, allora vuol dire che
            riconosci l'efficacia del meccanismo in sè
            ;) Vedi come è difficile parlare di con te....ho detto un'altra tecnica e tu ai risposto..........UNICA POSSIBILITà..........certo che ce ne vuole di pazienza ma riesci per una volta ha non estremizzare un concetto per poter affermare le tue ragioni?
            Comunque anche questa soluzione ha
            ovviamente i suoi limiti : uno switch con
            DARD difende solo contro arp-poisoning,
            mentre contro mitm di layer-3 (NATting) può
            fare poco e niente, e assolutamente niente
            contro Application-spoofing. Per queste cose
            ci vuole anti-IP-spoofing vero e proprio,
            quale è DAI di CiscoSI certo...non so in quale ordine leggerai le risposte ma ho già risposto a questo e quindi non mi ripeterò!!!


            E poi non vorrei


            che il De Andreis ci facesse pagare


            l'occupazione di spazio su disco!!



            De Andreis è un caro amico di una mia amica

            vedrai faccio mettere una buona parola!!!

            Questo si che si chiama culo..... 8)Se hai notato......non so se lo hai letto l'ultimo articolo su mclink...questa volta hanno intervistato il responsabile della rete e sull'ip mobile hanno grassettato un'affermazione io credo che la nostra discussione è stata seguita e quel grassetto era per te...:D

            e cmq sono pienamente daccordo!

            Bene. Proponi gli argomenti che più ti
            interessano e io ti dico se posso....



            E' inutile anche che


            rilegga quello che ho scritto perchè
            tanto


            non mi accorgerei di eventuali


            imprecisioni errori, lacune.... Vabè
            tanto ci pensi te


            a trovarle no?



            Io non l'ho fatto mai e mai lo faro mai

            tanto lo fai tu per me! :D

            Batttttuta!!! :D :p :) :| : :o ..... ma un
            l'ho 'ccapita!!! :sera per dire che sei così pigniolo e preciso che miei eventuali errore me li fai notare subito mentre io credo di averti fatto notare solo i strafalcioni...tipo domini di ecc eccNB scordavo è talmente tanto tempo che non usavo più il nik su punto che non ho più ritrovato i dati dell'account che solitamente conservo in un file cryttografato a 400 e passa bit con il blowfishla sicurezza!!!! :)) quindi appena inviato lìultimo msg mi reggistro nuovamente e ti mando il tutto promesso!!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            Beh, se l'unica possibilità che dài a

            ettercap è quella di sperare in bug di

            implementazione o in cedimenti dovuti a

            saturazione della RAM, allora vuol dire
            che

            riconosci l'efficacia del meccanismo in sè

            ;)

            Vedi come è difficile parlare di con
            te....ho detto un'altra tecnica e tu ai
            risposto..........UNICA
            POSSIBILITà..........O che ti devo dire?? :) se non mi dici altro, allora quella è l'unica cosa che posso dedurre! capisco che mi avevi risposto in ora tarda, eri stanco e non avevi tempo/voglia/lucidità di pensare ad una obiezione più ponderata, ma io che ti posso dire! (comunque c'era l'emoticon con l'occhiolino proprio perchè sapevo di.... stuzzicarti.... fossimo stati faccia a faccia t'avrei dato una amichevole pacca sulla spalla)
            certo che ce ne vuole
            di pazienza'azz, me lo dice anche la mia ragazza :s ..... sarà mica che ha ragione lei?! :D ;)

            Comunque anche questa soluzione ha

            ovviamente i suoi limiti : uno switch con

            DARD difende solo contro arp-poisoning,

            mentre contro mitm di layer-3 (NATting)
            può

            fare poco e niente, e assolutamente niente

            contro Application-spoofing. Per queste
            cose

            ci vuole anti-IP-spoofing vero e proprio,

            quale è DAI di Cisco

            SI certo...non so in quale ordine leggerai
            le risposte ma ho già risposto a questo e
            quindi non mi ripeterò!!!Idem ;)



            E poi non vorrei



            che il De Andreis ci facesse pagare



            l'occupazione di spazio su disco!!





            De Andreis è un caro amico di una mia
            amica


            vedrai faccio mettere una buona
            parola!!!



            Questo si che si chiama culo..... 8)

            Se hai notato......non so se lo hai letto
            l'ultimo articolo su mclink...questa volta
            hanno intervistato il responsabile della
            rete e sull'ip mobile hanno grassettato
            un'affermazione io credo che la nostra
            discussione è stata seguita e quel grassetto
            era per te...:Dhehe, poero De Andreis, deve aver pensato "che palle 'sto Quasar! scriviamo questa precisazione così l'abbozza di ingolfarmi il server!!" :DSenti maaaaa, mica mica tanto tanto c'è il tuo zampino?? no sai, mica per niente, ma una frase come quella buttata li..... in mezzo ad un articolo sullo spamming che non c'entrava niente...... sarà mica.... eh? :D
            era per dire che sei così pigniolo e preciso
            che miei eventuali errore me li fai notare
            subitoSpero mi avrai capito che non lo faccio per cattiveria, è solo perchè sono così, e perchè voglio essere sicuro di capire bene e di farmi capire bene
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            *** Parte 7 di 8

            -- non deve mai aggiungere una entry nella

            cache in seguito ad un arp-request

            qualsiasi, nemmeno se lo riguarda

            direttamente

            Linux lo fa di defaultLo so ;)

            -- non deve mai aggiungere una entry nella

            cache in seguito a traffico incoming di

            layer-3 (tipo un ping o qualunque altra

            cosa)

            ti ripeto il pinguino lo fa di defaultLo so ;) Ma okkio: non dire ?ti ripeto? perchè questo punto è una cosa diversa dal punto precedente: nel punto precedente parlavo di ?incoming ARP-REQUEST?, mentre qui parlo di ?incoming traffic di layer-3? cioè es: 192.168.1.1 non ha nessuna entry per 192.168.1.2 ; improvvisamente da esso riceve un ICMP 8 (ping), il quale contiene il source MAC oltre che il source IP ed alcuni s.o. (stupidi) aggiornano la cache solo in base a questo!!
            Sicuramente troppo complesso da applicare su larga scalaSu questo non c'è dubbio
            Ti ripeto se io sollecito spoffandomi per poi avveleno
            funziona ...
            ... [cut]
            Sarrò sincero ma qui non ho capito dove volevi arrivare e se
            pure lo capico mi devi dire come fai ...Ho accorpato le tue obiezioni. Dunque:Host Alice MAC = 01:01:01:01:01:01 IP = 192.168.1.1Host Bob MAC = 02:02:02:02:02:02 IP = 192.168.1.2Host Malicious MAC = 03:03:03:03:03:03 IP = 192.168.1.3Per ?unsolicited arp-reply? intendo un arp-reply che non è stato ?sollecitato? direttamente da un arp-request. Cioè: se Alice riceve un pacchetto tipo [ source MAC = 03:03:03:03:03:03, dest MAC = 01:01:01:01:01:01 ARP-reply 192.168.1.2 is at 03:03:03:03:03:03 ] (nota che è un reply spooffato) che NON è stato sollecitato esplicitamente da un proprio pacchetto tipo [ source MAC = 01:01:01:01:01:01, dest MAC = FF:FF:FF:FF:FF:FF ARP who has 192.168.1.2 tell 192.168.1.1 ] (che avrebbe creato una entry nella propria cache) allora quell' arp-reply è ?unsolicited? è deve essere scartato in conformità alla seconda regolaSe il ?sollecito spooffato? è invece un arp-request tipo [ source MAC = 03:03:03:03:03:03, dest MAC = FF:FF:FF:FF:FF:FF ARP who has 192.168.1.1 tell 192.168.1.2 ] (nota ancora il source MAC di Malicious ma il ?tell? IP di Bob, quindi arp-request spooffato) allora il problema è risolto dalla regola 3 in combutta con la regola 4. Cioè se Alice riceve un arp-request come quello, esso (Alice) NON deve usare quel request per aggiornare la propria cache, bensì deve inviare a sua volta un regolare arp-request [ source MAC = 01:01:01:01:01:01, dest MAC = FF:FF:FF:FF:FF:FF ARP who has 192.168.1.2 tell 192.168.1.1 ] che crea la entry per 192.168.1.2 e a quel punto tutto dipende da se Bob è acceso o meno. Se è acceso allora Alice riceverà sia [ source MAC = 03:03:03:03:03:03, dest MAC = 01:01:01:01:01:01 ARP-reply 192.168.1.2 is at 03:03:03:03:03:03 ] da Malicious che anche [ source MAC = 02:02:02:02:02:02, dest MAC = 01:01:01:01:01:01 ARP-reply 192.168.1.2 is at 02:02:02:02:02:02 ] da Bob, quindi Alice intercetterà il DAR (= Duplicated ARP-Reply) e quindi farà le seguenti cose:1) lascerà la entry 192.168.1.2 marcata come 2) eventualmente loggerà l'evento nel syslog3) eventualmente piloterà il braccio-robot collegato alla seriale per tirare un martellata in testa al sysadmin appisolato sul tavoloE anche se il ?sollecito spooffato? è invece traffico di layer-3 (es: ping) il problema è risolto sempre dalle regole 3 e 4. Cioè se Alice riceve un pacchetto tipo [ source MAC = 03:03:03:03:03:03, dest MAC = 01:01:01:01:01:01, source IP = 192.168.1.2, dest IP = 192.168.1.1 ICMP Message type 8 ] esso (Alice) non deve usare quelle informazioni per aggiornare la propria cache, bensì deve inviare il solito regolare arp-request per 192.168.1.2 come quello che ho detto sopraCome dicevo questo meccanismo introduce certamente la possibilità per Malicious di causare DoS, ma almeno non potrà fare MITMSe Bob invece non fosse acceso allora l'avvelenamento avrebbe successo ma, come dicevo, servers e gateways dovrebbero essere sempre accesi. E poi con switch intelligenti con l'anti-IP-spoofing attivato si risolve anche il caso in cui Bob sia spento
            e cmq solo solaris che io ricordi
            non mette in cache le unsolicited arp-reply e quindi crea il
            problema sicuramente linux lo consente ma
            non di defaultVero, ma mica ho mai detto che qualche s.o. fa queste cose di default. Ho descritto quali sono le poche modifiche da fare ad un s.o. per renderlo ?meno ingenuo? contro questi attacchi

            Switch un pò più intelligenti ...

            Se non intervieni sugli host ti assicuro che lo switch alla fine
            è ragirabile ho fatto molte prove su di un
            catalyst 2950 e ti assicuro che ettercap fa il suo dovere!!!Non ho dubbi. Non sto mettendo in dubbio l'efficacia di ettercap, nè di qualsiasi altro avvelenatore. Ho ben visto l'arp-poisoning in azione con uno avvelenatore stupido che ho fatto io (non ci vuole molto a fare un programmino stupido che forgia un pacchetto arp). Non conosco il catalyst 2950 ma evidentemente non è intelligente quanto dico io!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE:7 di 8



            -- non deve mai aggiungere una entry
            nella


            cache in seguito ad un arp-request


            qualsiasi, nemmeno se lo riguarda


            direttamente



            Linux lo fa di default

            Lo so ;)e cmq non mettere in cache le arp-request penalizza molto le prestazioni non si può sempre applicare


            -- non deve mai aggiungere una entry
            nella


            cache in seguito a traffico incoming di


            layer-3 (tipo un ping o qualunque altra


            cosa)



            ti ripeto il pinguino lo fa di default

            Lo so ;) Ma okkio: non dire ?ti ripeto?
            perchè questo punto è una cosa diversa dal
            punto precedente: nel punto precedente
            parlavo di ?incoming ARP-REQUEST?, mentre
            qui parlo di ?incoming traffic di layer-3?
            cioè es: 192.168.1.1 non ha nessuna entry
            per 192.168.1.2 ; improvvisamente da esso
            riceve un ICMP 8 (ping), il quale contiene
            il source MAC oltre che il source IP ed
            alcuni s.o. (stupidi) aggiornano la cache
            solo in base a questo!!Stupidi lo fanno tutti forse solo netbsd e openbsd non lo fanno ed in effetti sono OS molto sicuri ma sicuramente poco performanti!!
            Ho accorpato le tue obiezioni. Dunque:

            Host Alice MAC = 01:01:01:01:01:01
            IP = 192.168.1.1
            Host Bob MAC = 02:02:02:02:02:02 IP
            = 192.168.1.2
            Host Malicious MAC = 03:03:03:03:03:03 IP =
            192.168.1.3

            Per ?unsolicited arp-reply? intendo un
            arp-reply che non è stato ?sollecitato?
            direttamente da un arp-request. Cioè: se
            Alice riceve un pacchetto tipo [ source MAC
            = 03:03:03:03:03:03, dest MAC =
            01:01:01:01:01:01 ARP-reply 192.168.1.2 is
            at 03:03:03:03:03:03 ] (nota che è un reply
            spooffato) che NON è stato sollecitato
            esplicitamente da un proprio pacchetto tipo
            [ source MAC = 01:01:01:01:01:01, dest MAC =
            FF:FF:FF:FF:FF:FF ARP who has 192.168.1.2
            tell 192.168.1.1 ] (che avrebbe creato una
            entry nella propria cache)
            allora quell' arp-reply è ?unsolicited? è
            deve essere scartato in conformità alla
            seconda regolaSolo solaris di default lo fa!!

            Se il ?sollecito spooffato? è invece un
            arp-request tipo [ source MAC =
            03:03:03:03:03:03, dest MAC =
            FF:FF:FF:FF:FF:FF ARP who has 192.168.1.1
            tell 192.168.1.2 ] (nota ancora il source
            MAC di Malicious ma il ?tell? IP di Bob,
            quindi arp-request spooffato) allora il
            problema è risolto dalla regola 3 in
            combutta con la regola 4. Cioè se Alice
            riceve un arp-request come quello, esso
            (Alice) NON deve usare quel request per
            aggiornare la propria cache, bensì deve
            inviare a sua volta un regolare arp-request
            [ source MAC = 01:01:01:01:01:01, dest MAC =
            FF:FF:FF:FF:FF:FF ARP who has 192.168.1.2
            tell 192.168.1.1 ] che crea la entry
            per 192.168.1.2 e a quel punto
            tutto dipende da se Bob è acceso o meno. Se
            è acceso allora Alice riceverà sia [ source
            MAC = 03:03:03:03:03:03, dest MAC =
            01:01:01:01:01:01 ARP-reply 192.168.1.2 is
            at 03:03:03:03:03:03 ] da Malicious che
            anche [ source MAC = 02:02:02:02:02:02, dest
            MAC = 01:01:01:01:01:01 ARP-reply
            192.168.1.2 is at 02:02:02:02:02:02 ] da
            Bob, quindi Alice intercetterà il DAR (=
            Duplicated ARP-Reply) e quindi farà le
            seguenti cose:
            1) lascerà la entry 192.168.1.2 marcata come

            2) eventualmente loggerà l'evento nel syslogTutti questi discorsi non trovano molte applicazioni in una situazione reale dove molte cose non sono applicate per non degradare le performance come una volta è una questione di compromessi anche qui è certe accortezze come dici anche tu non sono applicabili su larga scala!!

            e cmq solo solaris che io ricordi

            non mette in cache le unsolicited
            arp-reply e quindi crea il

            problema sicuramente linux lo consente ma

            non di default

            Vero, ma mica ho mai detto che qualche s.o.
            fa queste cose di default. Ho descritto
            quali sono le poche modifiche da fare ad un
            s.o. per renderlo ?meno ingenuo? contro
            questi attacchile modifiche teoriche sono una cosa pratiche un'altra...e visto che la maggior parte dei client sono sempre MS dimmi un pò su queste macchine dove le fai queste modifiche?



            Switch un pò più intelligenti ...



            Se non intervieni sugli host ti assicuro
            che lo switch alla fine

            è ragirabile ho fatto molte prove su di un

            catalyst 2950 e ti assicuro che ettercap
            fa il suo dovere!!!

            Non ho dubbi. Non sto mettendo in dubbio
            l'efficacia di ettercap, nè di qualsiasi
            altro avvelenatore. Ho ben visto
            l'arp-poisoning in azione con uno
            avvelenatore stupido che ho fatto io (non ci
            vuole molto a fare un programmino stupido
            che forgia un pacchetto arp). Non conosco il
            catalyst 2950 ma evidentemente non è
            intelligente quanto dico io!Il catalyst è intelligente ma come al solito di default non lo è e sono in pochi a perdere tempo su queste cose tu stesso nelle tue la non credo che di default prendi queste accortezze e non credo che hai sotto mano sempre switch di questo tipo visto il loro costo ecco perchè la soluzione arp....alle volte può essere il miglior compromesso!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            Cioè secondo te basterebbe configurare un

            server DHCP sul tuo pc per bloccare quello

            legittimo? perchè mai? tanto più che se,

            come dicevo io per usare bene DAI, il

            server DHCP è lo switch medesimo, il tuo pc

            probabilmente neanche riceve il request

            nonostante sia trasmesso in broadcast (lo

            switch potrebbe filtrarlo in quanto lo

            serve lui)

            hai detto bene potrebbe ma non è detto che
            lo faccia Mah! secondo me è il minimo sindacale! se non lo fa è proprio schtupido! e alla Cisco non sono schtupidi!

            comunque ritengo che al massimo il

            tuo pc potrebbe solo concorrere con lo

            switch facendo a gara a chi risponde

            prima e di certo lo switch vincerebbe quasi

            sempre, non foss'altro perchè riceve il request

            sempre in anticipo rispetto al tuo pc

            (stiamo parlando di switched lan dove ad

            ogni porta dello switch è collegato un

            solo host)

            Si è vero ma credi che non si possa in
            qualche modo sniffare e modificare il
            traffico dhcp dello switchCerto, ma devi essere in mezzo tra l'host e lo switch, non è sufficiente stare nello stesso dominio di collisione dell'host, devi proprio stare in mezzo fisicamente. Via non mi far dire queste ovvietà
            oppure inibirlo
            temporaneamente per usare il nostro server?Come dicevi anche tu, a parole tutto può essere ma poi mi devi dire come! non certo gareggiando con lo switch a chi risponde prima ai request perchè perderesti sempre! solo se tu sei nello stesso dominio di collisione dell'host vittima puoi avere FORSE maggiori probabilità di rispondere prima dello switch. Anche questa mi sembra un'ovvietà



            -- non deve mai aggiungere una entry



            nella cache in seguito ad un arp-request



            qualsiasi, nemmeno se lo riguarda



            direttamente





            Linux lo fa di default



            Lo so ;)

            e cmq non mettere in cache le arp-request
            penalizza molto le prestazioni non si può
            sempre applicareQuesta per me è una credenza rimasta dalle reti di 15-20 anni fa. Se un arp-request non viene soddisfatto entro mezzo secondo siamo di fronte ad una LAN congestionata che necessita di riaggiustamenti nella topologia o di verifiche sul flusso del traffico..... oppure di scalare ad un physical-layer più performante! E comunque un piccolo pedaggio anche di pochi secondi (diciamo entro il primo retransmit del TCP, di solito intorno ai 5 sec) ad inizio connessione è tollerabile persino per applicazioni interattive

            qui parlo di incoming traffic di layer-3

            cioè es: 192.168.1.1 non ha nessuna entry

            per 192.168.1.2 ; improvvisamente da esso

            riceve un ICMP 8 (ping), il quale contiene

            il source MAC oltre che il source IP ed

            alcuni s.o. (stupidi) aggiornano la cache

            solo in base a questo!!

            Stupidi lo fanno tutti forse solo netbsd e
            openbsd non lo fannoMi sembra anche linux..... non ricordo.... dopo guardo[stra-cut]

            192.168.1.2 is at 02:02:02:02:02:02 ] da

            Bob, quindi Alice intercetterà il DAR (=

            Duplicated ARP-Reply) e quindi farà le

            seguenti cose:

            1) lascerà la entry 192.168.1.2 marcata

            Tutti questi discorsi non trovano molte
            applicazioni in una situazione reale dove
            molte cose non sono applicate per non
            degradare le performanceScusa, mi dici quale degrado? Malicious invia il request spooffato, Alice risponde e marca 192.168.1.2 come . Non appena Alice ha traffico di layer-3 da trasmettere a 192.168.1.2 invia il suo request, timeout diciamo di 1 secondo per attendere il reply. Se ne riceve uno solo allora trasmette il traffico in coda, se ne riceve due il traffico in coda viene scartato e la entry rimane marcata . Dov'è il degrado? in quel secondo che Alice attende per vedere se riceve un doppio reply? 1 secondo? via su! ma anche se si impostasse il timeout a 2-3 secondi si tratterebbe di un lieve ritardo solo ad inizio connessione
            certe accortezze come dici anche tu non sono
            applicabili su larga scala!!Non sono applicabili su larga scala se si pretende di modificare ogni singolo host, ma avendo queste funzionalità nello/negli switch.....
            le modifiche teoriche sono una cosa pratiche
            un'altra...e visto che la maggior parte dei
            client sono sempre MS dimmi un pò su queste
            macchine dove le fai queste modifiche?Da nessuna parte! ANCHE per questo ho ben detto più volte che è bene che stiano negli switch. Son partito da descrivertele negli host solo per dimostrarti più agevolmente l'efficacia della soluzione

            Non conosco il catalyst 2950 ma evidentemente non è

            intelligente quanto dico io!

            Il catalyst è intelligente ma come al solito
            di default non lo è e sono in pochi a
            perdere tempo su queste cose tu stesso nelle
            tue la non credo che di default prendi
            queste accortezzeCerto, assolutamente no. Vale la pena sbattersi solo se si ritiene fondato il timore che attacchi del genere possano verificarsi. Dipende, come dicevi, dalla competenza degli utenti della LAN
            e non credo che hai sotto
            mano sempre switch di questo tipo visto il
            loro costoBeh, immagina un vecchio PC rimpinzato di schede di rete, magari con DiskOnChip al posto dell'hard disk (giusto per non avere parti mobili...) e con linux con ethernet bridging attivo + queste modifiche...
            ecco perchè la soluzione
            arp....alle volte può essere il miglior
            compromesso!!"Alle volte" mi può stare bene. Quindi personalmente stilerei la seguente classifica, in ordine crescente di efficacia (e di costo quindi di compromesso): 1) arpwatch su ciascun host sensibile2) switch con DAR-Detection3) switch con anti-IP-spoofing basato su ARP (l'evoluzione di switch con DARD)4) switch con DAI di CiscoEffettivamente ritengo l'efficacia di 3 uguale a quella di 4 (quindi li metterei entrambi terzi a pari merito) e le differenze stanno semmai solo nel tipo di configurazioni preventive che vanno fatte e manutenute
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            _________________________________________mi devo interrompere perchè altrimenti mi minacciano di morte è dalle 13 che sono davanti al pc....proseguiamo domani!!!!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar


            Cioè secondo te basterebbe configurare un


            server DHCP sul tuo pc per bloccare...........................qui ho tagliato tutto per dire che ......sono daccordo sulla questione che la diminuzione delle prestazioni dovuta al non mettere entry nella cache arp non è una così grave perdita ma cmq in un dominio di collisione grande cmq ha il suo peso ed io sinceramente non lo tollero........Per quanto riguarda il dhcp ti dico questo......DAI? ma chi lo usa? ovviamente mi sono un minimo documentato conoscendo pochissimo il DAI e ho scoperto che praticamente non lo usa quasi nessuno....un motivo ci sarà forse ha altri problemi...non so cmq a quanto pare per il momento è solo una soluzione teorica!!!!!Qui di seguito invece ti riporto testuali parole di cisco su come avviene l'avvelenamento e del perchè lo switch ne è ignaro e di come si fa riferimento sempre a domini di broadcast e non di collision ovviamente ti posto il testo in inglese visto che io probabilmente non sono capace di spiegarmi."Hosts HA, HB, and HC are connected to the switch on interfaces A, B and C, all of which are on the same subnet. Their IP and MAC addresses are shown in parentheses; for example, Host HA uses IP address IA and MAC address MA. When HA needs to communicate to HB at the IP Layer, HA broadcasts an ARP request for the MAC address associated with IB. As soon as HB receives the ARP request, the ARP cache on HB is populated with an ARP binding for a host with the IP address IA and a MAC address MA; for example, IP address IA is bound to MAC address MA. When HB responds, the ARP cache on HA is populated with a binding for a host with the IP address IB and a MAC address MB.Host HC can "poison" the ARP caches of HA and HB by broadcasting forged ARP responses with bindings for a host with an IP address of IA (or IB) and a MAC address of MC. Hosts with poisoned ARP caches use the MAC address MC as the destination MAC address for traffic intended for IA or IB. This means that HC intercepts that traffic. Because HC knows the true MAC addresses associated with IA and IB, HC can forward the intercepted traffic to those hosts using the correct MAC address as the destination. HC has inserted itself into the traffic stream from HA to HB, the classic "man in the middle" attack."Cmq....il DAI funzionerà anche....... e qui non ho cercato vulnerabilità.....ma se poi non è implementato....anche SARP funziona ma è attualmente un'implementazione non standard e non applicata, quindi rimane teoria....tutto questo per dire che se ci buttiamo in discorsi accademici tutto è possibile ma se io vengo da te nella tua rete e lancio uno dei tanti tools per sniffare sonno sicuro che in un modo o nell'altro ci riuscirei e non dire di no!!!!In fondo tutte le tue teorizzazioni su come evitare l'avvelenamento con switch inteligenti se fossero realmente applicabili che necessità c'era di creare il DAI? visto che tanto ci avrebbe pensato lo switch inteligente?........
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...




            Cioè secondo te basterebbe
            configurare un



            server DHCP sul tuo pc per
            bloccare...........................

            qui ho tagliato tutto per dire che
            ......sono daccordo sulla questione che la
            diminuzione delle prestazioni dovuta al non
            mettere entry nella cache arp non è una così
            grave perdita ma cmq in un dominio di
            collisione grande cmq ha il suo peso ed io
            sinceramente non lo tollero........Orpo, siamo davvero diversi: io invece ove possibile preferisco mantenere piccoli i domini di collisione, sia per questioni di prestazioni, ma anche perchè sinceramente gli hub si fa sempre più fatica a trovarli e non di rado costano più degli switch!
            Per quanto riguarda il dhcp ti dico
            questo......
            DAI? ma chi lo usa? ovviamente mi sono un
            minimo documentato conoscendo pochissimo il
            DAI e ho scoperto che praticamente non lo
            usa quasi nessuno....un motivo ci sarà forse
            ha altri problemi...non so cmq a quanto pare
            per il momento è solo una soluzione
            teorica!!!!!Francamente non ho la più pallida idea di quanto sia usato e non saprei nemmeno a chi chiedere per saperlo. Se dici che non lo usa nessuno ci credo. Chissà, magari è solo perchè.... costa troppo!! (è un'ipotesi come un'altra)
            Qui di seguito invece ti riporto testuali
            parole di cisco ...
            ovviamente ti posto il testo in inglese
            visto che io probabilmente non sono capace
            di spiegarmiHo letto: è il meccanismo dell'arp-poisoning, è esattamente ciò che già sappiamo e del quale stiamo discutendo. Non capisco cosa vuoi dire.....A dire il vero aggiunge un solo elemento che ritenevo impensabile perchè mi sembra sia proprio fuori standard del protocollo ARP: Host HC can "poison" the ARP caches of HA and HB by broadcasting forged ARP responses Cioè evidentemente ci sono alcuni s.o. che si fanno beffare anche da un *reply* (spooffato) trasmesso in broadcast. Ma questo è un dettaglio irrilevante, sia nello switch con DAI sia in quello con DARD, percui non capisco cosa vuoi dire.... cioè mi sembra che quel testo non ci dica niente che non sappiamo già
            ... se io vengo da te nella tua
            rete e lancio uno dei tanti tools per
            sniffare sonno sicuro che in un modo o
            nell'altro ci riuscirei e non dire di no!!!!Ah di quello puoi esserne certo!! :D non ci penso nemmen di lontano a spendere fior di migliaia di euro per comprare un switch con il DAI
            In fondo tutte le tue teorizzazioni su come
            evitare l'avvelenamento con switch
            inteligenti se fossero realmente applicabili
            che necessità c'era di creare il DAI? visto
            che tanto ci avrebbe pensato lo switch
            inteligente?........beh a parte il fatto che uno switch con DAI è a tutti gli effetti uno "switch intelligente" nel contesto di anti-arp-poisoning, comunque all'atto pratico le differenze palesi tra la soluzione che ho descritto io e la soluzione DAI stanno solo nel fatto che DAI, siccome fa vero e proprio anti-IP-spoofing, è in grado di risolvere altre problematiche oltre all' arp-poisoning, in quanto impedendo categoricamente a qualsiasi MAC di usare un IP che non sia stato esplicitamente autorizzato dal sysadmin (tramite la configurazione del DHCP insita nel DAI), impedisce anche mitm di layer-3 (quello fatto tramite proxying) nonchè Application-spoofing, mentre la soluzione DARD è efficace solo contro arp-poisoning e pochissimi casi di proxyingDi contro il DAI richiede configurazione e manutenzione (quanto meno del DHCP), mentre uno switch con DARD manterrebbe totalmente inalterata la caratteristica di trasparenza e di "plug'n'play" tipica degli switch; lo sballi dalla scatola, lo colleghi, lo accendi e funziona: impara da solo e si aggiorna da solo, nè più nè meno di uno switch tradizionale..... solo che fa anche anti-arp-poisoningInfatti giusto la volta scorsa (mi sembra) avevo stilato quella classifica, in ordine di compromesso==================================Modificato dall'autore il 25/11/2003 22.49.13
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar


            Cioè secondo te basterebbe configurare un


            server DHCP sul tuo pc per bloccare
            quello


            legittimo? perchè mai? tanto più che se,


            come dicevo io per usare bene DAI, il


            server DHCP è lo switch medesimo, il tuo
            pc


            probabilmente neanche riceve il request


            nonostante sia trasmesso in broadcast (lo


            switch potrebbe filtrarlo in quanto lo


            serve lui)



            hai detto bene potrebbe ma non è detto che

            lo faccia

            Mah! secondo me è il minimo sindacale! se
            non lo fa è proprio schtupido! e alla Cisco
            non sono schtupidi!Per quanto riguarda questa situazione ti dico che personalmente non ho mai fatto una prova di questo tipo spero di aver tempo per farlo e cmq in qualsiasi manuale che parla di sicurezza e sniffing questo è riportato come un esempio di attacco, tu giustamente dici che non si può fare per...ecc ecc io dico di si inibendo il dhcp legittimo e diventando noi legittimi ma tu giustamente dici che uno switch dovrebbe ecc ecc....si è vero ma vorrei vedere una rete configurata da te con uno switch e acl che consentono di apropagare risposte dhcp da un solo ip e bloccare eventualmente tutti gli altri........non conosco altri switch oltre a cisco con il quale si possono fare ACL e cmq parliamo sempre di prodotti molto costosi che non si possono applicare ovunque...i 3com i dlink prodotti economici non mi risulta lo facciano....un mio alunno si è scontrato con un hp 24 porte con il quale ha configurato vlan e mi ha detto....lascia perdere sono impazzito e prima di farlo funzionare si è piantato 2 volte....Il risultato mi dice che teoricamente ed è giusto tutto va bene ma poi in pratica è tutta un'altra cosa!!!!Spero sarai daccordo!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Anonimo
            - Scritto da: Quasar



            Cioè secondo te basterebbe
            configurare un



            server DHCP sul tuo pc per bloccare

            quello



            legittimo? perchè mai? tanto più che
            se,



            come dicevo io per usare bene DAI, il



            server DHCP è lo switch medesimo, il
            tuo

            pc



            probabilmente neanche riceve il
            request



            nonostante sia trasmesso in broadcast
            (lo



            switch potrebbe filtrarlo in quanto lo



            serve lui)





            hai detto bene potrebbe ma non è detto
            che


            lo faccia



            Mah! secondo me è il minimo sindacale! se

            non lo fa è proprio schtupido! e alla
            Cisco

            non sono schtupidi!

            Per quanto riguarda questa situazione ti
            dico che personalmente non ho mai fatto una
            prova di questo tipo spero di aver tempo per
            farlo e cmq in qualsiasi manuale che parla
            di sicurezza e sniffing questo è riportato
            come un esempio di attacco, tu giustamente
            dici che non si può fare per...ecc ecc io
            dico di si inibendo il dhcp legittimo e
            diventando noi legittimi ma tu giustamente
            dici che uno switch dovrebbe ecc ecc....si è
            vero ma vorrei vedere una rete configurata
            da te con uno switch e acl che consentono di
            apropagare risposte dhcp da un solo ip e
            bloccare eventualmente tutti gli
            altri........non conosco altri switch oltre
            a cisco con il quale si possono fare ACL e
            cmq parliamo sempre di prodotti molto
            costosi che non si possono applicare
            ovunque...i 3com i dlink prodotti economici
            non mi risulta lo facciano....un mio alunno
            si è scontrato con un hp 24 porte con il
            quale ha configurato vlan e mi ha
            detto....lascia perdere sono impazzito e
            prima di farlo funzionare si è piantato 2
            volte....Il risultato mi dice che
            teoricamente ed è giusto tutto va bene ma
            poi in pratica è tutta un'altra cosa!!!!
            Spero sarai daccordo!!Ah, quando dalla teoria sia passa alla pratica Assolutamente Si (con le iniziali maiuscole ;)) sono d'accordo! :)
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            *** Parte 6 di 8
            ..arpwa.....all'avvio si mappa tutta la rete creandosi una
            tabella di mac ed ip associati agli host quando
            nella rete avviene un tentativo di avvelenamento se ne
            accorge verificandolo nella tabella che si era
            creato all'inizio nulla di più facile
            nello stesso forum di ettercap dagli stessi autori viene
            indicato come strumento per identificare
            avvelenamenti e arrivi tu e dici che non è cosi ma chi sei
            rusty russel....Non ambisco a tanto. Non di meno mi piace ragionare e capire il perchè delle cose. Dunque, tu dici arpwatch all'avvio ecc. ecc.., ed ettercap farà certamente lo stesso (non ho dubbio alcuno) e proprio a quello mi riferivo con ?fare euristica analizzando il traffico?. E nella sua MASSIMA espressione potrebbe essere qualcosa tipo:1) trasmettere degli arp-request a tutti gli IP e prendere nota delle risposte2) SPERARE che tutti gli host legittimi siano accesi per rispondere con i propri arp-reply e quindi intercettare eventuali DAR, perchè altrimenti potrebbe ricevere dei reply avvelenati con i quali si costruirebbe una tabella avvelenata che poi andrebbe in conflitto con l'host legittimo qualora venisse acceso (a quel punto l'host legittimo verrebbe visto come avvelenatore!!)3) eventualmente verificare la sua tabella personale con la arp-table dell'host su cui sta girando (che per quanto ne sa potrebbe essere essa stessa avvelenata, quindi da non prendere come oro colato)4) analizzare tutti gli arp-request e relativi arp-reply5) verificare che tutto il traffico IP abbia delle associazioni MAC/IP coerenti con la sua tabella6) verificare che non ci sia traffico IP con packet header del tipo [ source MAC=01:01:01:01:01:01, dest MAC=03:03:03:03:03:03, source IP=192.168.1.1, dest IP=192.168.1.2] al quale risponde traffico con packet header [ source MAC=02:02:02:02:02:02, dest MAC=03:03:03:03:03:03, source IP=192.168.1.2, dest IP=192.168.1.1] (analisi buona a capire se si è costruito una tabella di associazioni MAC/IP avvelenata)La tabella se la può creare con il punto 1 (magari ripetuto periodicamente) più successivi arp-request intercettati sulla rete ma per fare i test (4, 5 e 6) deve ?sniffare? (come lo intendo io, cioè in ?modalità tcpdump?) e questo lo può fare solo nel suo dominio di collisione, quindi può monitorare solo gli host sul suo stesso ?filo?. Per gli altri host fuori dal suo dominio di collisione non può bastare la analisi dei soli arp perchè riceve tutti gli arp-request ma non certo gli arp-replyA meno che non si prenda la briga di tenere costantemente avvelenata tutta la LAN ma mi sembra la cosa più inefficiente che potrebbe fare, oltre che laboriosa da gestire. Te lo immagini che congestione sul suo segmento se tutti gli host fanno riferimento a lui per qualsiasi cosa, e lui che deve proxare e quindi ulteriore congestione, traffico ridondante, tutta la bella lan switchata trasformata di fatto in un grosso dominio di collisione.... e deve anche continuamente vigilare sulla situazione, che qualcuno non manchi ?all'appello? e se qualcuno manca verificare perchè.... host che cambiano ip, host che cambiano scheda di rete (quindi stesso ip diverso mac)..... Poraccio, non vorrei essere nei suoi panni. Ma anche se fosse, non mi sembra una buona soluzione da mettere in produzione...


            IDS lo rilevano ma non lo evitano



            IDS non credo proprio. NIDS su altri host se

            li programmi forse....

            Ma cosa altro dici, qui anche tu vedo che puntualizzi IDS
            NIDS...Vorrei precisare: in questo caso non stavo puntualizzando per polemizzare. Esprimevo solo la mia opinione sul fatto che ritengo che un IDS non sia un buon candidato per la vigilanza sull' arp-poisoning. Capisco ora che anche tu intendevi NIDS

            .... c'è anche DAI (Dynamic ARP Inspection)

            Premesso che stiamo sconfinando in pratiche
            assolutamente permesse a persone con certe capacitàEmbè? certo! sennò noi sysadmin che ci stiamo a fare a questo mondo?? :D
            ti dico che il sistema cisco se non ricordo male è
            applicabile solo alle vlanSinceramente non mi sembra ma perchè mai dovrebbe? quale sarebbe tecnicamente il vincolo?
            cmq facilmente agirabile per certi versi visto che utilizza
            dhcp, te lo dico come? va beh va te lo dico......se
            voglio sniffare un utente in una rete con il supporto al DAI
            non faccio altro che configurare io sul mio pc
            un server DHCP bloccando il dhcp legitttimo configurerò io
            l'host attaccato con il mio ip come gateway e il
            gioco è fatto carino no!!!!! Cioè secondo te basterebbe configurare un server DHCP sul tuo pc per bloccare quello legittimo? perchè mai? tanto più che se, come dicevo io per usare bene DAI, il server DHCP è lo switch medesimo, il tuo pc probabilmente neanche riceve il DHCP-request nonostante sia trasmesso in broadcast (lo switch potrebbe filtrarlo in quanto lo serve lui), ma comunque ritengo che al massimo il tuo pc potrebbe solo concorrere con lo switch facendo a gara a chi risponde prima e di certo lo switch vincerebbe quasi sempre, non foss'altro perchè riceve il request sempre in anticipo rispetto al tuo pc (stiamo parlando di switched lan dove ad ogni porta dello switch è collegato un solo host)

            lo chiamerò "Duplicated Arp-Reply Detection" (=

            DARD)

            Così mi piaci finalmente il termine giusto al momento giusto
            forse le mie lezione cominciano a funzionare.. Eh! pecchi un pò di presunzione eh! Comunque l'ho coniato li per li, pensa un pò!

            Un host un pò meno ingenuo...:

            -- deve ignorare sempre eventuali arp-reply

            relativi ad una entry già esistente

            Di default non lo fa nessun sistema e non mi dire che tu
            abiliti questa cosa su tutti i tuoi host inoltre con
            linux ok ma con winzoz non saprei neanche se si può forzare
            questo comportamento!!No, ho provato a cercare ma per ora non ho trovato niente comunque mica ho detto che lo farei sempre e comunque: sto solo descrivendo le caratteristiche tecniche di un meccanismo. E in ogni caso questo è propedeutico alla vera soluzione definitiva che consiste nell'avere tutte queste caratteristiche implementate nello switch
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE: 6 di 8

            ..arpwa.....all'avvio si mappa tutta la
            rete creandosi una

            tabella di mac ed ip associati agli host
            quando

            nella rete avviene un tentativo di
            avvelenamento se ne

            accorge verificandolo nella tabella che si
            era

            creato all'inizio nulla di più facile

            nello stesso forum di ettercap dagli
            stessi autori viene

            indicato come strumento per identificare

            avvelenamenti e arrivi tu e dici che non è
            cosi ma chi sei

            rusty russel....

            Non ambisco a tanto. Non di meno mi piace
            ragionare e capire il perchè delle cose.
            Dunque, tu dici arpwatch all'avvio ecc.
            ecc.., ed ettercap farà certamente lo stesso
            (non ho dubbio alcuno) e proprio a quello mi
            riferivo con ?fare euristica analizzando il
            traffico?. E nella sua MASSIMA espressione
            potrebbe essere qualcosa tipo:
            1) trasmettere degli arp-request a tutti gli
            IP e prendere nota delle risposteFare un brodcast..........e crearsi una tabella ip mac
            2) SPERARE che tutti gli host legittimi
            siano accesiIn una lan da te aministrata metti questa cosa la fai una sola volta con i pc tutti accessi e basta dovìè il problema?
            per rispondere con i propri
            arp-reply e quindi intercettare eventuali
            DAR, perchè altrimenti potrebbe ricevere dei
            reply avvelenati con i quali si costruirebbe
            una tabella avvelenata che poi andrebbe in
            conflitto con l'host legittimo qualora
            venisse acceso (a quel punto l'host
            legittimo verrebbe visto come
            avvelenatore!!)Questo è da film.....o meglio è chiaro che tutto è possibile ma ti ripeto la prima volta lo fai inregime di controllo non è che un giorno ti svegli e fai girare arp.....
            3) eventualmente verificare la sua tabella
            personale con la arp-table dell'host su cui
            sta girando (che per quanto ne sa potrebbe
            essere essa stessa avvelenata, quindi da non
            prendere come oro colato)questo non avviene...vedi sopra!!! la cosa la prima volta la fai con tutti gli host accessi e senza nessuno una volta fatta non vedo più problemi di questo tipo stai descrivendo situazioni inreali!!
            4) analizzare tutti gli arp-request e
            relativi arp-replyno visto che all'avvio di tools di questo tipo vedi ettercap, vengono lanciati broadcast sulla rete che arrivano anche al gateway dove è configurato arp...che si accorge subbito di tutto....non è che arp....è costantemente in ascolto su tutta la rete sarebbe troppo dispendioso....
            5) verificare che tutto il traffico IP abbia
            delle associazioni MAC/IP coerenti con la
            sua tabellasolitamente si sniffa host + gateway e cmq anche quando si sniffa host + host si lanciano dei broadcast per trovare gli host vittime, che sono sufficenti ad arp... per riconoscere l'host malizioso...............................
            (analisi buona a capire se si è costruito
            una tabella di associazioni MAC/IP
            avvelenata)Già ti ho detto come si evita e cmq l'unico modo di ingannare arp è conoscere precedentemente ip e mac della vittima e lanciare ettercap in silent mod in modo che all'avvio non lancia broadcast e cmq in questo modo non potresti sniffare host e gateway ma solo host + host!!!
            La tabella se la può creare con il punto 1
            (magari ripetuto periodicamente) più
            successivi arp-request intercettati sulla
            rete ma per fare i test (4, 5 e 6) deve
            ?sniffare? (come lo intendo io, cioè in
            ?modalità tcpdump?)Già risposto!!!
            e questo lo può fare
            solo nel suo dominio di collisione, quindi
            può monitorare solo gli host sul suo stesso
            ?filo?. No ed inoltre non si comporta assolutamente come tcpdump non centra nulla!!


            .... c'è anche DAI (Dynamic ARP
            Inspection)



            Premesso che stiamo sconfinando in pratiche

            assolutamente permesse a persone con certe
            capacità

            Embè? certo! sennò noi sysadmin che ci
            stiamo a fare a questo mondo?? :D


            ti dico che il sistema cisco se non
            ricordo male è

            applicabile solo alle vlan

            Sinceramente non mi sembra ma perchè mai
            dovrebbe? quale sarebbe tecnicamente il
            vincolo?Infatti ti ho detto mi sembra perchè mi ricordo qualcosa ma molto vagamente e non ho cercato ulteriori info cmq effettivamente neanche io ci trovo vincoli!!!

            cmq facilmente agirabile per certi versi
            visto che utilizza

            dhcp, te lo dico come? va beh va te lo
            dico......se

            voglio sniffare un utente in una rete con
            il supporto al DAI

            non faccio altro che configurare io sul
            mio pc

            un server DHCP bloccando il dhcp
            legitttimo configurerò io

            l'host attaccato con il mio ip come
            gateway e il

            gioco è fatto carino no!!!!!

            Cioè secondo te basterebbe configurare un
            server DHCP sul tuo pc per bloccare quello
            legittimo? perchè mai? tanto più che se,
            come dicevo io per usare bene DAI, il server
            DHCP è lo switch medesimo, il tuo pc
            probabilmente neanche riceve il DHCP-request
            nonostante sia trasmesso in broadcast (lo
            switch potrebbe filtrarlo in quanto lo serve
            lui), hai detto bene potrebbe ma non è detto che lo faccia
            ma comunque ritengo che al massimo il
            tuo pc potrebbe solo concorrere con lo
            switch facendo a gara a chi risponde prima e
            di certo lo switch vincerebbe quasi sempre,
            non foss'altro perchè riceve il request
            sempre in anticipo rispetto al tuo pc
            (stiamo parlando di switched lan dove ad
            ogni porta dello switch è collegato un solo
            host)Si è vero ma credi che non si possa in qualche modo sniffare e modificare il traffico dhcp dello switch oppure inibirlo temporaneamente per usare il nostro server? io e non solo io credo di si!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            Premessa: ho notato che ad un certo punto hai definito arpwatch come una soluzione di compromesso. Detto così mi sta anche bene: uno ne conosce i (grossi) limiti, li accetta e si organizza per poter sfruttare ragionevolmente al massimo quello che offre. Io NON intendo dire che arpwatch è totalmente incapace, bensì che siccome non è in grado di rilevare tutti i tipi di avvelenamento e non tiene conto degli eventi legittimi che possono avvenire in una LAN, non può essere una soluzione definitiva contro l'arp-poisoning. Questo intendevo dire con ?arpwatch non lo rileva?. Ammetto che quella frase sia troppo categorica e quindi la cambio doverosamente in ?arpwatch rileva troppo poco?. In fondo dalle mie stesse descrizioni tecniche precedenti traspare chiaramente che qualche possibilità gliela riconosco.... a patto che faccia tutte le cose che dicevo io, il che non sembra secondo quanto hai scritto tu. Comunque se ti basta sapere che come soluzione di COMPROMESSO (consapevole dei limiti) io sia d'accordo con te nell'affidarsi ad arpwatch, allora puoi anche saltare a piè pari il resto di questo post, non me la prendo se non lo leggi, tanto l'ho scritto in pochi minuti! Se poi sei comunque interessato a sapere quanto ho da dire prosegui pure nella lettura...

            potrebbe essere qualcosa tipo:

            1) trasmettere degli arp-request a tutti

            gli IP e prendere nota delle risposte

            Fare un brodcast..........e crearsi una
            tabella ip macAppunto: "Fare un broadcast" = "trasmettere degli arp-request a tutti gli IP" ........ "crearsi una tabella ip mac" = "prendere nota delle risposte" .....

            2) SPERARE che tutti gli host legittimi

            siano accesi

            In una lan da te aministrata metti questa
            cosa la fai una sola volta con i pc tutti
            accessi e basta dovìè il problema? secondo me tu dài per scontate un pò troppe cose favorevoli al sysadmin!!

            3) eventualmente verificare la sua tabella

            personale con la arp-table dell'host su

            cui sta girando (che per quanto ne sa potrebbe

            essere essa stessa avvelenata, quindi da

            non prendere come oro colato)

            questo non avviene...vedi sopra!!! la cosa
            la prima volta la fai con tutti gli host
            accessi e senza nessuno una volta fatta non
            vedo più problemi di questo tipo stai
            descrivendo situazioni inreali!!Irreali? forse è irreale che l'host su cui lanci arpwatch la prima volta sia avvelenato, ma NON è irreale che degli host vengano aggiunti e tolti legittimamente (soprattutto client ma anche server). Non è irreale che i client possano cambiare ip address, specie in presenza di un server dhcp. Non è irreale che ad un host (client o server che sia) venga cambiata la scheda di rete. Non è irreale che un host (client o server che sia) venga sostituito del tutto e quindi cambi anche la scheda di rete

            4) analizzare tutti gli arp-request e

            relativi arp-reply

            no visto che all'avvio di tools di questo
            tipo vedi ettercap, vengono lanciati
            broadcast sulla rete che arrivano anche al
            gateway dove è configurato arp...
            che si accorge subbito di tutto....di tutto? anche degli avvelenamenti che avvengono tramite unsolicited arp-reply? anche degli avvelenamenti che avvengono tramite traffico di layer-3 spooffato SENZA che l'host avvelenatore abbia prima trasmesso l'arp-request spooffato? di queste cose arpwatch si può accorgere solo se ?sniffa mettendo l'eth in modo promiscuo? e quello lo può fare solo sul proprio dominio di collisione, ma tu dici...
            non è che
            arp....è costantemente in ascolto su tutta
            la rete sarebbe troppo dispendioso........ quindi non lo fa! nemmeno per il proprio dominio di collisione!

            5) verificare che tutto il traffico IP

            abbia delle associazioni MAC/IP coerenti con la

            sua tabella

            solitamente si sniffa host + gateway e cmq
            anche quando si sniffa host + host si
            lanciano dei broadcast per trovare gli host
            vittime, che sono sufficenti ad arp... per
            riconoscere l'host maliziososei sicuro? e se l'host malizioso riesce ad avvelenare solo tramite unsolicited arp-reply? o solo tramite traffico di layer-3? l'hai detto tu del "silent mode" di ettercap.... e l'hai detto anche tu che ci sono tanti s.o. che si fanno avvelenare dal traffico di layer-3....
            lanciare ettercap in silent mod in modo che
            all'avvio non lancia broadcast e cmq in
            questo modo non potresti sniffare host e
            gateway ma solo host + host!!!mmh non rende bene l'idea del possibile pericolo incombente. Diciamo "... in questo modo non puoi sniffare host e gateway ma PUOI sniffare client + sever" ;) E' così fuori dal mondo per te? spero di no, e quindi spero che attivi arpwatch su tutti i server (almeno quelli importanti) oltre che sui gateway

            La tabella se la può creare con il punto 1

            (magari ripetuto periodicamente) più

            successivi arp-request intercettati sulla

            rete ma per fare i test (4, 5 e 6) deve

            sniffare (come lo intendo io, cioè in

            modalità tcpdump)

            Già risposto!!!Già, ed è stata una brutta risposta! praticamente apprendo che arpwatch non tenendo la eth in modo promiscuo (visto che NON è costantemente in ascolto) fa troppi pochi controlli. Inoltre basandosi solo sulla tabella che si è formato all'inizio è costantemente a rischio di dare sia falsi positivi che falsi negativi, poichè ogni volta che riceve un arp-request non si prende cura di assicurarsi se quel request sia legittimo o meno; il controllo ?if (check_against_my_cache(request) == OK) return OK; else return WARNING;? che traspare dalla tua descrizione è troppo rigido: se quel request fosse legittimo perchè davvero quell'ip è stato assegnato a quel mac? sarebbe un falso positivo. Basarsi solo su una tabella che può essere vecchia di settimane non è elastico, in pratica è equivalente ad avere delle cache arp statiche su ogni host, con la differenza che le cache arp statiche almeno l'avvelenamento lo impediscono proprio. Inoltre non potendo intercettare gli unsolicited arp-reply e tanto meno il traffico di layer-3 che non passa per il suo dominio di collisione non è in grado di intercettare quei tipi di avvelenamento = falsi negativi (o meglio: positivi non rilevati). Poi tu mi dici che non è sempre costantemente in ascolto quindi non fa questo controllo nemmeno per il suo dominio di collisione! Quando si parla di sicurezza io considero inadeguata persino una soluzione che risolva il problema ?solo? al 99%, figuriamoci questa che la risolve a percentuali persino più basse, per di più variabili a seconda del ?contesto favorevole? (tipo: creazione tabella ?a bocce ferme?, scelta dei host ?sensibili? sui quali installare arpwatch) che il sysadmin sia riuscito a creargli preventivamente e a mantenergli!!!! Si, sulla sicurezza sono paranoico intransigente e.... ?quadrato?!!!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...

            Io NON intendo dire che arpwatch è
            totalmente incapace, bensì che siccome non è
            in grado di rilevare tutti i tipi di
            avvelenamento e non tiene conto degli eventi
            legittimi che possono avvenire in una LAN,
            non può essere una soluzione definitiva
            contro l'arp-poisoning. QUANDO HO DETTO CHE è UNA SOLUZIONE DEFINITIVA...ma io mi spiego sempre male oppure sei te che devi sempre estremizzare i concetti?
            Questo intendevo
            dire con ?arpwatch non lo rileva?. Ammetto
            che quella frase sia troppo categorica e
            quindi la cambio doverosamente in ?arpwatch
            rileva troppo poco?.Per fortuna che te ne accorgi da solo....allora non mi sbaglio quando ti riprendo su queste tue affermazioni cosi categoriche che mi metti in bocca ma che io non ho mai detto!!!!
            In fondo dalle mie
            stesse descrizioni tecniche precedenti
            traspare chiaramente che qualche possibilità
            gliela riconosco.... a patto che faccia
            tutte le cose che dicevo io, il che non
            sembra secondo quanto hai scritto tu.io io io io......ti ripeto non discuto ne le tue conoscenze ne le tue capacità ma ripeto...sei molto presuntuoso molto!!!!Se poi
            sei comunque interessato a sapere quanto ho
            da dire prosegui pure nella lettura...proseguo proseguo..........


            2) SPERARE che tutti gli host legittimi


            siano accesi



            In una lan da te aministrata metti questa

            cosa la fai una sola volta con i pc tutti

            accessi e basta dovìè il problema?

            secondo me tu dài per scontate un pò troppe
            cose favorevoli al sysadmin!!io faccio esempi teorici la realtà e cmq un'altra cosa e cmq una rete di una certa grandezza se realizzata da 0 può rispettare tutto quello che dico e anche di più!!


            3) eventualmente verificare la sua
            tabella


            personale con la arp-table dell'host su


            cui sta girando (che per quanto ne sa
            potrebbe


            essere essa stessa avvelenata, quindi da


            non prendere come oro colato)si prevede che l'host dove gira sia messo in modo che non è possibile avvelenarlo altrimenti è inutili parlare!!
            Irreali? forse è irreale che l'host su cui
            lanci arpwatch la prima volta sia
            avvelenato, ma NON è irreale che degli host
            vengano aggiunti e tolti legittimamente
            (soprattutto client ma anche server). ed allora qual'è il problema? arp.... se individua un avvelenamento te lo notifica tramite email quindi se ti notifica che è avvenuto un avvelenamento che in realtà non lo è perchè magari hai sostituito una scheda di rete al server ne prendi atto e basta aggiorni l'associazione ip mac e basta!!!
            Non è
            irreale che i client possano cambiare ip
            address, specie in presenza di un server
            dhcp.Ma dai veramente cavolo non ci pensavo......allora se non te lo detto scusa lo faccio ora arp...è applicabile solo ad una rete con indirizzamento statico....cosa che io preferisco sempre salvo se mi trovo in presenza di reti veramente enormi!!!


            4) analizzare tutti gli arp-request e


            relativi arp-reply



            no visto che all'avvio di tools di questo

            tipo vedi ettercap, vengono lanciati

            broadcast sulla rete che arrivano anche al

            gateway dove è configurato arp...

            che si accorge subbito di tutto....

            di tutto? anche degli avvelenamenti che
            avvengono tramite unsolicited arp-reply?
            anche degli avvelenamenti che avvengono
            tramite traffico di layer-3 spooffato SENZA
            che l'host avvelenatore abbia prima
            trasmesso l'arp-request spooffato? di queste
            cose arpwatch si può accorgere solo se
            ?sniffa mettendo l'eth in modo promiscuo? e
            quello lo può fare solo sul proprio dominio
            di collisione, ma tu dici...arp lo si mette a girare sul gateway che è l'inizio del dominio di broadcast della rete es una bella macchina linux che comedetto fino ad ora avra tutti gli accorgimenti del caso per non essere spoffata...quindi tutti i tentativi di intercettare traffico che cerca di uscire dalla rete e quindi interessa il gateway vengono beccati solo i tentativi di mettersi in mezzo tra due host per intercettare ...al massimo che so lo scambio di file...per questo i server i una rete è sempre preferibile metterli in una rete mai nella stessa rete degli host proprio perchè mettendoli in un'altra rete per sniffare bisogna attaccare il gateway che se ben protetto se ne accorgerà!!! ti ripeto i casi host to host se ben fatti non sono identificabili da arp ma converrai con me che sono situazioni nelle quali i benefici dell'attacco sono relativamente pochi il vero punto debole di una rete è il suo gateway!!!
            sei sicuro? e se l'host malizioso riesce ad
            avvelenare solo tramite unsolicited
            arp-reply? o solo tramite traffico di
            layer-3? l'hai detto tu del "silent mode" di
            ettercap.... e l'hai detto anche tu che ci
            sono tanti s.o. che si fanno avvelenare dal
            traffico di layer-3....Praticamente valgono le risposte sopra e cmq tutti gli OS di default tutti..scommetto anche il computer che usi!!!

            lanciare ettercap in silent mod in modo che

            all'avvio non lancia broadcast e cmq in

            questo modo non potresti sniffare host e

            gateway ma solo host + host!!!

            mmh non rende bene l'idea del possibile
            pericolo incombente. Diciamo "... in questo
            modo non puoi sniffare host e gateway ma
            PUOI sniffare client + sever" ;)esatto ma come già ti ho detto mettere i server ,magari contenenti dati importanti nella stessa rete degli host è una mossa assai poco sicura e tu che sei paranoico dovresti saperlo bene!!!
            E' così
            fuori dal mondo per te? spero di no, e
            quindi spero che attivi arpwatch su tutti i
            server (almeno quelli importanti) oltre che
            sui gatewayla mia soluzione è molto molto meno dispendiosa gli host e i server li metto su reti differenti!!!ovviamente questa soluzione non è sempre applicabile ma spesso quando non lo è non è necessario neanche srp........


            La tabella se la può creare con il punto
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            arpwatch ... non può essere una soluzione definitiva

            contro l'arp-poisoning

            QUANDO HO DETTO CHE è UNA SOLUZIONE
            DEFINITIVA...ma io mi spiego sempre male
            oppure sei te che devi sempre estremizzare i
            concetti?Tanto per chiarire: non ho detto che hai usato esattamente quell'espressione, ma.... (segue)

            Questo intendevo

            dire con ?arpwatch non lo rileva?. Ammetto

            che quella frase sia troppo categorica e

            quindi la cambio doverosamente in
            ?arpwatch

            rileva troppo poco?.

            Per fortuna che te ne accorgi da
            solo....allora non mi sbaglio quando ti
            riprendo su queste tue affermazioni cosi
            categoriche che mi metti in bocca ma che io
            non ho mai detto!!!!... se io ho ritenuto eccessivamente categoria la mia frase "arpwatch non lo rileva", frase che ho appunto corretto doverosamente in "arpwatch rileva troppo poco" (e comunque, come ti ho spiegato, per me quando si parla di sicurezza "rilevare troppo poco" sostanzialmente equivale a dire "non rileva") quella frase era così per essere in contrapposizione alla tua che diceva (testualmente) "arpwatch lo rileva ma non lo evita". Se la mia frase poteva essere troppo categorica perchè poteva suggerire che arpwatch fosse totalmente incapace, allora di riflesso lo è anche la tua che, dato che non specifica *quanto* rileva ma dice solo un generico "arpwatch lo rileva", suggerisce che sia in grado di rilevare tutto, cioè suggerisce che arpwatch sia totalmente capace. Se poi ritieni che la tua frase sia giusta così com'è perchè è generica ed in quanto tale può essere lasciata.... ambigua, allora lo stesso vale anche per la mia ("arpwatch non lo rileva"). Decidi tu, per me fa lo stesso... :) , tanto mi sembra che ci siamo capiti su ciò che intendevamo dire e questo è l'importanteRiguardo all'estremizzare i concetti.... io non è che estremizzo, semplicemente riesprimo con parole mie ciò che ho capito dai concetti espressi da altri: se mi dici "arpwatch lo rileva" a me viene spontaneo pensare (senza malizia) che tu ritenga arpwatch una soluzione definitiva. Può essere che io fraintenda una frase, ma non estremizzo.... mai! non stavo estremizzando nemmeno quando obbiettavo le tue affermazioni sull' ip fisso o sull'efficacia dei sistemi di identificazione, autenticazione e sicurezza delle vpn ipsec (ricordi?), bensì esprimevo ciò che avevo capito dalle tue frasi....... non è forse il sistema migliore che hanno gli "insegnanti" per capire se gli "allievi" hanno capito la spiegazione???? 8)

            In fondo dalle mie

            stesse descrizioni tecniche precedenti

            traspare chiaramente che qualche
            possibilità

            gliela riconosco.... a patto che faccia

            tutte le cose che dicevo io, il che non

            sembra secondo quanto hai scritto tu.

            io io io io......ti ripeto non discuto ne le
            tue conoscenze ne le tue capacità ma
            ripeto...sei molto presuntuoso molto!!!!Esprimo il mio parere formulandolo in base a ragionamenti fatti con la mia testa..... io io io io ho solo descritto quali sono alcuni dei controlli che secondo me dovrebbe fare una utility che faccia del suo meglio. Si può discutere se quei controlli sono validi, se sono superflui, se sono insufficienti, se sono inutili. Dopo aver precisato in premessa che come soluzione di (estremo) compromesso io posso ritenere arpwatch un tool valutabile e dopo averti persino proposto di saltare del tutto quel messaggio, mi sono ributtato a capofitto nella spiegazione del perchè secondo me arpwatch non può essere una soluzione definitiva, e l'ho spiegato descrivendo tutti i controlli possibili e immaginabili che si potrebbero fare ed il fatto di come questi controlli siano però fattibili solo nel proprio dominio di collisione, e successivamente commentando il tuo commento su quella mia descrizione. La presunzione in tutto questo.... francamente... e un ce la vedo! Poi, vabè, i'cche t'ho a'ddire: sarò presuntuoso! :)

            Irreali? forse è irreale che l'host su cui

            lanci arpwatch la prima volta sia

            avvelenato, ma NON è irreale che degli
            host

            vengano aggiunti e tolti legittimamente

            (soprattutto client ma anche server).

            ed allora qual'è il problema? arp.... se
            individua un
            avvelenamento te lo notifica tramite email
            quindi se ti notifica che è avvenuto un
            avvelenamento che in realtà non lo è perchè
            magari hai sostituito una scheda di rete al
            server ne prendi atto e basta aggiorni
            l'associazione ip mac e basta!!!Va benissimo, il problema non c'è, è solo che (mi sembra) un pò una rottura di palle.... E' ovvio che dipende da quante volte capita, ma basta anche un solo laptop che si sposta da una sede alla filiale e viceversa con una certa frequenza a creare il disagio per il sysadmin

            Non è

            irreale che i client possano cambiare ip

            address, specie in presenza di un server

            dhcp

            Ma dai veramente cavolo non ci
            pensavo......allora se non te lo detto
            scusa lo faccio ora arp...è applicabile solo
            ad una rete con indirizzamento
            statico....cosa che io preferisco sempre
            salvo se mi trovo in presenza di reti
            veramente enormi!!!davvero? io invece preferisco il dhcp sempre e comunque. Francamente pensavo che fosse una preferenza diffusa
            ... [stra-cut] ... la mia soluzione è molto molto meno
            dispendiosa gli host e i server li metto su
            reti differenti!!!
            ovviamente questa soluzione non è sempre
            applicabile ma spesso quando non lo è non è
            necessario neanche srp........Come si diceva, come soluzione di compromesso, conoscendo fin dove può arrivare e magari potendo prendere già in fase di progettazione della rete tutta la serie di accortezze che hai detto tu ora, posso convenire con te che arpwatch sia una opportunità da prendere in considerazione, soprattutto in relazione al costo economico (nullo!). Per il resto vorrei che tu mi consentissi di chiosare dicendo che... forse forse... non avevo poi tanto torto quando dicevo (chili e chili di messaggi fa, oramai :)) che " in una lan ben configurata (switch intelligente) è possibile risolvere a monte il problema, altro che arpwatch ". Non perchè voglia aver per forza ragione io (ora che hai spiegato dettagliatamente cosa intendi, riconosco che anche tu hai valide ragioni), bensì solo perchè in fondo tutto questo dicorso è iniziato da li..... :)==================================Modificato dall'autore il 25/11/2003 22.46.44
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...

            Io NON intendo dire che arpwatch è
            totalmente incapace, bensì che siccome non è
            in grado di rilevare tutti i tipi di
            avvelenamento e non tiene conto degli eventi
            legittimi che possono avvenire in una LAN,
            non può essere una soluzione definitiva
            contro l'arp-poisoning. QUANDO HO DETTO CHE è UNA SOLUZIONE DEFINITIVA...ma io mi spiego sempre male oppure sei te che devi sempre estremizzare i concetti?
            Questo intendevo
            dire con ?arpwatch non lo rileva?. Ammetto
            che quella frase sia troppo categorica e
            quindi la cambio doverosamente in ?arpwatch
            rileva troppo poco?.Per fortuna che te ne accorgi da solo....allora non mi sbaglio quando ti riprendo su queste tue affermazioni cosi categoriche che mi metti in bocca ma che io non ho mai detto!!!!
            In fondo dalle mie
            stesse descrizioni tecniche precedenti
            traspare chiaramente che qualche possibilità
            gliela riconosco.... a patto che faccia
            tutte le cose che dicevo io, il che non
            sembra secondo quanto hai scritto tu.io io io io......ti ripeto non discuto ne le tue conoscenze ne le tue capacità ma ripeto...sei molto presuntuoso molto!!!!Se poi
            sei comunque interessato a sapere quanto ho
            da dire prosegui pure nella lettura...proseguo proseguo..........


            2) SPERARE che tutti gli host legittimi


            siano accesi



            In una lan da te aministrata metti questa

            cosa la fai una sola volta con i pc tutti

            accessi e basta dovìè il problema?

            secondo me tu dài per scontate un pò troppe
            cose favorevoli al sysadmin!!io faccio esempi teorici la realtà e cmq un'altra cosa e cmq una rete di una certa grandezza se realizzata da 0 può rispettare tutto quello che dico e anche di più!!


            3) eventualmente verificare la sua
            tabella


            personale con la arp-table dell'host su


            cui sta girando (che per quanto ne sa
            potrebbe


            essere essa stessa avvelenata, quindi da


            non prendere come oro colato)si prevede che l'host dove gira sia messo in modo che non è possibile avvelenarlo altrimenti è inutili parlare!!
            Irreali? forse è irreale che l'host su cui
            lanci arpwatch la prima volta sia
            avvelenato, ma NON è irreale che degli host
            vengano aggiunti e tolti legittimamente
            (soprattutto client ma anche server). ed allora qual'è il problema? arp.... se individua un avvelenamento te lo notifica tramite email quindi se ti notifica che è avvenuto un avvelenamento che in realtà non lo è perchè magari hai sostituito una scheda di rete al server ne prendi atto e basta aggiorni l'associazione ip mac e basta!!!
            Non è
            irreale che i client possano cambiare ip
            address, specie in presenza di un server
            dhcp.Ma dai veramente cavolo non ci pensavo......allora se non te lo detto scusa lo faccio ora arp...è applicabile solo ad una rete con indirizzamento statico....cosa che io preferisco sempre salvo se mi trovo in presenza di reti veramente enormi!!!


            4) analizzare tutti gli arp-request e


            relativi arp-reply



            no visto che all'avvio di tools di questo

            tipo vedi ettercap, vengono lanciati

            broadcast sulla rete che arrivano anche al

            gateway dove è configurato arp...

            che si accorge subbito di tutto....

            di tutto? anche degli avvelenamenti che
            avvengono tramite unsolicited arp-reply?
            anche degli avvelenamenti che avvengono
            tramite traffico di layer-3 spooffato SENZA
            che l'host avvelenatore abbia prima
            trasmesso l'arp-request spooffato? di queste
            cose arpwatch si può accorgere solo se
            ?sniffa mettendo l'eth in modo promiscuo? e
            quello lo può fare solo sul proprio dominio
            di collisione, ma tu dici...arp lo si mette a girare sul gateway che è l'inizio del dominio di broadcast della rete es una bella macchina linux che comedetto fino ad ora avra tutti gli accorgimenti del caso per non essere spoffata...quindi tutti i tentativi di intercettare traffico che cerca di uscire dalla rete e quindi interessa il gateway vengono beccati solo i tentativi di mettersi in mezzo tra due host per intercettare ...al massimo che so lo scambio di file...per questo i server i una rete è sempre preferibile metterli in una rete mai nella stessa rete degli host proprio perchè mettendoli in un'altra rete per sniffare bisogna attaccare il gateway che se ben protetto se ne accorgerà!!! ti ripeto i casi host to host se ben fatti non sono identificabili da arp ma converrai con me che sono situazioni nelle quali i benefici dell'attacco sono relativamente pochi il vero punto debole di una rete è il suo gateway!!!
            sei sicuro? e se l'host malizioso riesce ad
            avvelenare solo tramite unsolicited
            arp-reply? o solo tramite traffico di
            layer-3? l'hai detto tu del "silent mode" di
            ettercap.... e l'hai detto anche tu che ci
            sono tanti s.o. che si fanno avvelenare dal
            traffico di layer-3....Praticamente valgono le risposte sopra e cmq tutti gli OS di default tutti..scommetto anche il computer che usi!!!

            lanciare ettercap in silent mod in modo che

            all'avvio non lancia broadcast e cmq in

            questo modo non potresti sniffare host e

            gateway ma solo host + host!!!

            mmh non rende bene l'idea del possibile
            pericolo incombente. Diciamo "... in questo
            modo non puoi sniffare host e gateway ma
            PUOI sniffare client + sever" ;)esatto ma come già ti ho detto mettere i server ,magari contenenti dati importanti nella stessa rete degli host è una mossa assai poco sicura e tu che sei paranoico dovresti saperlo bene!!!
            E' così
            fuori dal mondo per te? spero di no, e
            quindi spero che attivi arpwatch su tutti i
            server (almeno quelli importanti) oltre che
            sui gatewayla mia soluzione è molto molto meno dispendiosa gli host e i server li metto su reti differenti!!!ovviamente questa soluzione non è sempre applicabile ma spesso quando non lo è non è necessario neanche srp........
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            *** Parte 5 di 8
            e io ti ripeto....cosa vuoi dire con " si era soffermato sui
            possibili
            man-in-the-middle a livello link-layer,non ho avuto proprio
            niente da eccepire, anzi" .... io ho parlato di
            MINT ma non ho parlato di livelli...mentre tu con quella frase
            cosa mai volevi intendere? io l'ho
            interpretata che fin quando lo sniffing avveniva a livello 3
            tutto era fattibile noo!!! non volevi dire questo?No, volevo dire che tu parlando di mitm in ambito LAN (quindi ho supposto automaticamente che ti riferissi all' arp-poisoning) hai parlato di mitm di layer-2, semplicemente perchè per me ?mitm effettuato tramite arp-poisoning? e ?mitm di layer-2? sono sinonimi. Davo per scontato che tu sapessi la differenza tra mitm di layer-2 e mitm di layer-3. La differenza è banale perchè è una semplice questione di indirizzi e tabelle interessate dall'avvelenamento. Il mitm di layer-2 si effettua tramite avvelenamento delle tabelle arp degli host, inducendoli a credere che un certo IP sia associato ad un certo mac, diverso da quello legittimo. Il mitm di layer-3 lo puoi fare analogamente avvelenando le routing-tables dei router (tramite messaggi RIP invece che arp-reply), inducendo quindi i router a credere che per raggiungere un determinato host deve passare per strade diverse da quella legittima. Ovviamente ciò è possibile solo in presenza di router con entry dinamiche nelle loro routing-tables. E' una prassi MOLTO più complessa ed anche MOLTO meno fruttuosa che non il mitm tramite avvelenamento arp, sia perchè più frequentemente le routing-tables sono statiche, sia perchè diversamente dall'ambito layer-2 dove è sufficiente avvelenare i due host vittima, in ambito layer-3 si dovrebbe riuscire ad avvelenare un numero elevato di router per ottenere un avvelenamento completo, quindi aumentando il numero di router da avvelenare aumentano le probabilità di trovare un router immune al veleno. Per questo l'IP spoofing su Internet è sempre half-duplex. Comunque in teoria la possibilità c'è e quindi la differenza tra i due tipi di mitm (di layer-2 e di layer-3) esiste**. Oltre a questo, un altro mitm di layer-3 è il semplice NATting: è innegabile che un host DIETRO una NAT ?crede? di parlare direttamente con un altro host DOPO la NAT, mentre invece tra i due c'è un terzo (l'host che NATta appunto). Se poi questo terzo è benigno o maligno è tutta un'altra questione, ciò non di meno una NAT e più genericamente un firewall sono mitm di layer-3** Preciso che la mia cultura sul RIP e i protocolli di routing in genere risale a diversi anni fa, quindi può darsi benissimo che ora si siano (spero) trovati rimedi efficaci anche in casi di routing-tables dinamiche

            l'espressione giusta per "cattura del

            traffico" o (per come viene detto da una

            famosa libreria in C atta a fare ciò)

            "cattura dei pacchetti"

            Le librerie atte a fare questo sono le librerie Pcap se non
            erro ma ti ripeto la programmazione non è il mio
            campoEsatto. Pcap = Packet capture = cattura di pacchetti :)
            Non è il mio campo ma C non è ad oggetti C++ è ad oggetti
            noo? Si, ti avevo chiesto se conoscevi la OOP per prepararti alla frase successiva che era... l'espressione "cattura di pacchetti" è la superclasse mentre "sniffing" e "mitm" sono due sottoclassi sibling di quella superclasse


            La realtà la conosco molto bene


            spostandomi ed avendo a


            che fare con tantissime realtà



            Forse realtà scolastiche, non certo

            aziendali

            Che ti devo dire non è così che faccio mi ammazzo! No figurati. Semplicemente il mio ?impiegato con conoscenze minime? è quello che ti ho descritto ieri. Uno capace di usare ettercap e di sapere perchè lo usa e che informazioni dà per me è un ?TECNICO con conoscenze minime?. Evidentemente sei in un giro lavorativo di più alto livello rispetto al mio. A questo punto che vuoi che ti dica: posso solo invidiarti....

            E certo!!! che ancora non l'hai capito? io

            sono un pezzo avanti! ogni mia lan è un solo

            host, così non ho più problemi di nessun

            genere, tsè

            Quindi hai microsegmentato ...Noooo, era una battuta!! dicevo che ogni mia ?lan? era un solo host: nessun router, nessuno switch, nessun hub, nessun cavo, nessuna connessione!! (nessuna lan, quindi. Era solo una battuta in risposta alla tua battuta)


            Arpwatch lo riconosce ma non lo può evitare


            Ettercap lo riconosce ma non lo può evitare



            E come farebbero? probabilmente con il

            stai dicendo veramente cose dell'altro mondoHo riletto. Non mi pare. Comunque fra poco entro più nel dettaglio
            e si vede come no hai mai utilizzato questi tools almeno
            potevi però leggere un minimoMa come? non avevi detto che la regola era che non ci si doveva preparare :D ?? comunque qui è sufficiente la teoria a spiegare le cose. Mi accingo ad opinare le tue obiezioni...
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            diversamente

            dall'ambito layer-2 dove è sufficiente

            avvelenare i due host vittima, in ambito

            layer-3 si dovrebbe riuscire ad avvelenare

            un numero elevato di router per ottenere

            un avvelenamento completo

            Basta avvelenare es Router A e fargli
            credere che per arrivare C non deve passare
            per B ma per F in pratica basta cambiare la
            metrica sul Router A e far dirigere tutto su
            di noi ?? non per polemizzare ma la tua descrizione mi sembra un pò superficiale. Se ho capito bene praticamente hai descritto: vittima |C----B----A | F | Noi (attaccante)Cioè: con C come host da spooffare dài per scontato che F sia connesso direttamente ad A, oltre che a "Noi" e che F sia sotto il nostro diretto controllo. Ciò è possibilissimo ed è l'espressione minimale del mio "postulato" che dice che più router ci sono a separare l'attaccante dalla vittima, più sono i router da avvelenare. E' l'espressione minimale perchè nel tuo esempio c'è un solo router (A) che separa "Noi" (l'attaccante) da "vittima" (c'è anche F ma questi è sotto il nostro controllo), ma ammetterai che questo, pur essendo un esempio realistico, è anche un pò semplicistico! Internet è ben altra cosa.... e anche in questo esempio basta che ci sia un altro router D tra A ed F per far si che "Noi" sia costretto ad avvelenare anche D, altrimenti A può anche essere stato avvelenato in modo da instradare il traffico per C verso F invece che verso B, ma se tra A ed F c'è D, allora A inoltra verso D e quindi anche D deve essere "persuaso" a proseguire il percorso fino a "Noi" tramite F, altrimenti D potrebbe rimbalzare verso A oppure dirottare verso B se è collegato direttamente con esso. Poi forse può essere che avvelenando un solo router gli altri si avvelenano di conseguenza.... non so, non mi ricordo, ti ho detto che è roba che ho studiato anni fa, ma ciò non toglie che ci siano più router che devono essere avvelenati tanti quanti sono quelli che ci sono lungo il percorso tra l'attaccante e la vittima. Il tutto moltiplicato per due se si vuole fare MITM full-duplex (anche se magari qualche router può essere in comune tra i due percorsi "attaccante"-"vittima1" e "attaccante"-"vittima2")

            ** Preciso che la mia cultura sul RIP e i

            protocolli di routing in genere risale a

            diversi anni fa, quindi può darsi

            benissimo che ora si siano (spero) trovati rimedi

            efficaci anche in casi di routing-tables

            dinamiche

            Qui è meglio non addentrarci visto che in
            pratica è il mio argomento..... diciamo fortePerchè ?è meglio non addentrarci?? non ho mica paura di parlare con te del tuo argomento..... forte. Magari non sono un'interlocutore adatto perchè su queste cose ho la memoria arrugginita e non sono al passo coi tempi....


            Non è il mio campo ma C non è ad oggetti


            C++ è ad oggetti noo?



            Si, ti avevo chiesto se conoscevi la OOP

            per prepararti alla frase successiva che ...

            Si ma non hai risposto.........C non è ad
            ogetti C++ siSi che ho risposto! avevo detto Si !!! lo avevi visto quel Si? Si : C non è a oggetti mentre C++ PUO' essere usato per sviluppare a oggetti
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...

            ?? non per polemizzare ma la tua descrizione
            mi sembra un pò superficiale. Se ho capito
            bene praticamente hai descritto:

            vittima
            |
            C----B----A
            |
            F
            |
            Noi (attaccante)

            Cioè: con C come host da spooffare dài per
            scontato che F sia connesso direttamente ad
            A, oltre che a "Noi" e che F sia sotto il
            nostro diretto controllo. Ciò è
            possibilissimo ed è l'espressione minimale
            del mio "postulato" che dice che più router
            ci sono a separare l'attaccante dalla
            vittima, più sono i router da avvelenareOvviamente più è complessa la situazione più le cose si complicano...quello che non hai capito è il fatto che io ho fatto un esempio preciso quindi perchè dici....tu dai per scontato?...è ovvio...ho fatto un esempio......cmq quello che ti volevo dire è molto semplice se si riesce ad inviare pacchetti ad un router dicendo che noi siamo il default gateway, quindi modificando le metriche nella tabela di routing quest'ultimo una volta arrivati i pacchetti della vittima li dirigerà verso di noi e non più verso il leggittimo default gateway è ovvio che dopo saremo noi ad inoltrare i pacchetti verso il default gateway legitimo e qui subentrano un'altra serie ti probblemidovuti al fatto che anche il legittimo default gatewayavra nel frattempo aggiornato le tabelle di routing con il router spoffato e troverà noi come default gateway e quindi i pachetti potrebbero tornarci in dietro nuovamente, è qui che subentra il cosi detto routing asimmetrico che ovviamente oltre ad essere complesso da realizzare non è sempre fattibile!
            . E'
            l'espressione minimale perchè nel tuo
            esempio c'è un solo router (A) che separa
            "Noi" (l'attaccante) da "vittima" (c'è anche
            F ma questi è sotto il nostro controllo), ma
            ammetterai che questo, pur essendo un
            esempio realistico, è anche un pò
            semplicistico! Internet è ben altra cosa....il mio esempio era all'interno di un AS e non su internet se mi sono spiegato male sorry!!
            e anche in questo esempio basta che ci sia
            un altro router D tra A ed F per far si che
            "Noi" sia costretto ad avvelenare anche D,
            altrimenti A può anche essere stato
            avvelenato in modo da instradare il traffico
            per C verso F invece che verso B, ma se tra
            A ed F c'è D, allora A inoltra verso D e
            quindi anche D deve essere "persuaso" a
            proseguire il percorso fino a "Noi" tramite
            F, altrimenti D potrebbe rimbalzare verso A
            oppure dirottare verso B se è collegato
            direttamente con esso. Poi forse può essere
            che avvelenando un solo router gli altri si
            avvelenano di conseguenza....Questo mi sembra ovvio nel senso che avvelenata una tabella di routing anche i router limitrofi al primo update verranno avvelenati e cmq è vero anche che i vari split-horizon oppure hold down time tecniche per evitare i loop all'interno di un AS potrebbero no permettere l'avvelenamento di altri router.Il tutto moltiplicato per due se si
            vuole fare MITM full-duplex (anche se magari
            qualche router può essere in comune tra i
            due percorsi "attaccante"-"vittima1" e
            "attaccante"-"vittima2")Il mio esempio!!!



            ** Preciso che la mia cultura sul RIP e i


            protocolli di routing in genere risale a


            diversi anni fa, quindi può darsi


            benissimo che ora si siano (spero)
            trovati rimedi


            efficaci anche in casi di routing-tables


            dinamiche



            Qui è meglio non addentrarci visto che in

            pratica è il mio argomento..... diciamo
            forte

            Perchè ?è meglio non addentrarci?? non ho
            mica paura di parlare con te del tuo
            argomento..... forte. Magari non sono
            un'interlocutore adatto perchè su queste
            cose ho la memoria arrugginita e non sono al
            passo coi tempi....Non è che non voglio parlarne figurati ma dovendone parlare troppo spesso preferisco evitare!! :DD

            Si ma non hai risposto.........C non è ad

            ogetti C++ si

            Si che ho risposto! avevo detto Si!!!
            lo avevi visto quel Si? Si : C non è a
            oggetti mentre C++ PUO' essere usato per
            sviluppare a oggettiSei tremendo....al mio...C++ è ad oggetti... hai risposto...può essere usato per sviluppare ad oggetti....con tutto che non è mia materia mi verrebbe al massimo da dire che può essere usato anche per sviluppare non ad oggetti ma sicuramente nasce per sviluppare ad oggett quindii.....non può essere usato ma è usato!!!devi sempre puntalizzare però tu lo fai perchè sei preciso io perchè sono polemico....mah!!! se lo dici te!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            Ciò è

            possibilissimo ed è l'espressione minimale

            del mio "postulato" che dice che più
            router

            ci sono a separare l'attaccante dalla

            vittima, più sono i router da avvelenare

            Ovviamente più è complessa la situazione più
            le cose si complicano...quello che non hai
            capito è il fatto che io ho fatto un esempio
            preciso quindi perchè dici....tu dai per
            scontato?...è ovvio...ho fatto un
            esempio......Ah, ok. Io invece parlavo come concetto generale e ho usato il tuo esempio per esplicare il concetto generale
            cmq quello che ti volevo dire è...Con parole diverse, volevamo dire pressapoco la stessa cosa mi sembra....
            è qui che subentra il cosi detto routing
            asimmetrico che ovviamente oltre ad essere
            complesso da realizzare non è sempre
            fattibile!Orpo! "routing asimmetrico"! questo mi manca!! : vabbè tanto non mi serve: non devo fare backbone o autonomous systems. O può far comodo anche in altri casi?
            il mio esempio era all'interno di un AS e
            non su internet se mi sono spiegato male
            sorry!!Ok, chiaro
            Non è che non voglio parlarne figurati ma
            dovendone parlare troppo spesso preferisco
            evitare!! :DDhehe, capisco
            Sei tremendo....al mio...C++ è ad oggetti...
            hai risposto...può essere usato per
            sviluppare ad oggetti....con tutto che non è
            mia materia mi verrebbe al massimo da dire
            che può essere usato anche per sviluppare
            non ad oggetti ma sicuramente nasce per
            sviluppare ad oggett quindii.....non può
            essere usato ma è usato!!!hehe, obiezione molto acuta, che merita adeguata risposta. Ho detto "può" essere usato per programmare ad oggetti perchè il C++ ha anche altre caratteristiche in più al C (e oserei dire uniche nel panorama dei linguaggi di programmazione) che esulano dalla OOP. Es: i template di funzione, l'overload delle funzioni, l'overload degli operatori, i reference. Tutte cose che possono essere usate pur senza usare le classi (cioè la programmazione a oggetti). Poi è innegabile che il C++ sia famoso più che altro per essere un "C con le classi" ma non è esatto (anche perchè per quello esiste pure Objective-C) e quindi per amor della precisione e per non offendere Stroustrup è giusto anche dire che C++ "può" essere usato per programmare a oggetti
            devi sempre puntalizzare però tu lo fai
            perchè sei preciso io perchè sono
            polemico....mah!!! se lo dici te!!!!Non era per polemica, era solo per amor della precisione ;) Capisco che fino a qualche messaggio fà usavamo pungolarci a vicenda e quindi è comprensibile che tu prenda ogni mia precisazione come un voler pungolare.... ma non è così : sono proprio pignolo per natura, non per cattiveria. Anzi, quando provo a farlo per cattiveria volendolo fare, finisco per fare troiai.... come quel discorso famoso. Se lo avessi fatto senza malizia sono convinto che avrei scritto tutto per benino, descrivendo per filo e per segno tutto (le vlan, ecc. ecc.)
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            *** Parte 4 di 8
            ...oppure potremmo dire che per segmento di rete
            indichiamo tutto quello che è nello stesso dominio di
            broadcast..per me questa è la definizione miglioreIo invece quando dico ?segmento di rete? senza specificare, intendo tutto ciò che è nello stesso dominio di collisione.... sono rimasto al concetto di ?filo? grezzo, ovvero di hub e/o repeater che in termini per profani definisco come ?oggetti che allungano il filo.... senza allungarlo!!?
            Io intendevo quest'ultima cosa tu indicando il filo ti sei rifatto
            ad una definizione ormai obsoleta e cmq
            veramente molto ma molto brutta!!! si brutta ma per profani! sai bene che ?spiegazione per profani? non è sinonimo di ?spiegazione esauriente, dettagliata e con termini esatti? perchè se fosse esauriente dettagliata e con termini esatti non sarebbe per profani. Vedrai che se le rileggi con l'ottica di vederle come spiegazioni per profani converrai che tutto sommato sono spiegazioni buone e sufficientemente precise


            Cmq ti ricordo che anche un Hub o un


            Repeater lavorano a livello 1 potevi


            metterceli...



            Anche un' Access Point, se per questo

            Non tutti, gli ultimi prendi gli US robotics a 100Mbit ...E come fanno? quello che dici mi sembra molto fuori standard wi-fi. Il che può essere benissimo visto che alla US robotics piace fare cose fuori standard, ma come funzionerebbe? per ogni host assegna un canale di frequenza diverso? se così i 5ghz si esauriscono con 8 host, per non parlare degli 11Mbit (2.4ghz) che ha solo 3 bande non overlapping (quindi solo 3 host simultanei)
            Cmq come sicurezza sono 0Eh si, purtroppo per ora si. E tra l'altro li si che un avvelenatore di arp imperverserebbe inarrestabile!! E' nato il nuovo standard WPA ma accesspoint che lo supportino sono ancora pochi.... e comunque ancora non ho letto le specifiche per cui non so quanto sia migliore rispetto a WEP. Dicono che sia migliore ma voglio leggere prima di esprimermi. Comunque anch'io 3 settimane fa ho installato un AP US robotics e l'ho preso nel culo perchè c'era scritto ?WPA-compliant through firmware upgrade? mentre invece il firmware che c'è sopra è lo stesso disponibile sul sito che ancora NON è WPA compliant!! mortacci loro!! a parte questo è davvero un ottimo oggetto come IMHO tutti i prodotti us robotics
            qui le tue Vpn sono obbligatorie secondo me!!!Mmh non proprio.... dipende. Fra poco ti accenno qualcosa....
            Anzi qui potresti suggerirmi qualcosa tipo un buon
            compromesso tra prestazioni e sicurezza secondo te!!Parlo di IPSec. Il compromesso tra prestazioni e sicurezza dipende fortemente dalle componenti in gioco (singole implementazioni per i diversi sistemi operativi, ciphers a disposizione, eventuali crypto-accelleratori hardware). Alcuni dicono che 3DES sia più veloce di AES, altri (la maggior parte) dicono l'inverso, altri ancora preferiscono Blowfish.... secondo me molto dipende da come è stato implementato l'algoritmo. L'esperienza sul campo mi dice ad es. che SSH Sentinel con un Cisco 837 (IOS 12.2(8 )YP) va sensibilmente più forte con AES256 (bit) che con 3DES (168 bit), mentre tra SuperFreeswan (freeswan + altre patch non ufficiali) e lo stesso Cisco 837 la differenza è meno sensibile. L'implementazione IPSec di microsoft supporta solo DES (56 bit, fortemente insicuro!!!) e 3DES per i ciphers. Se proprio proprio per te le prestazioni sono un 'must' potresti scendere ad un AES128, ma soprattutto se hai i 100Mbit (ma anche con gli 11) la velocità mi sembra un non-problema, soprattutto se il traffico è di tipo interactive non noti alcuna differenza qualunque cipher usi. Poi tieni conto anche che mentre 3DES è supportato veramente da TUTTE le implementazioni ipsec, AES ancora no, e la ?famiglia *fish? (blowfish, twofish) ancora meno. In breve, tutto questo per dire che il compromesso è una di quelle cose che puoi verificare solo sul campo perchè dipende dalle componenti in gioco
            io una mezza idea già la ho!! Se vuoi raccontami. Intanto ti accenno qualcosa:I principali aspetti di cui tenere conto nel scegliere la soluzione sono:1) qual'è il requisito primario fra: a) massima sicurezza, b) massima facilità implementativa e trasparenza, c) massimo risparmio di denaro2) quali applicazioni necessitano di privacy3) se sei obbligato ad usare windows come server vpn o no4) quale varietà di s.o. client hai nella rete. In particolare se hai anche Win9xPer massima sicurezza imho non c'è dubbio: IPSec. Il problema è che essendo un tunnelling di layer-3 non si adatta bene a ricreare fedelmente il comportamento di una LAN (in particolare i broadcast non si propagano in vpn ipsec) e inoltre le operazioni di configurazione sono più macchinose, più delicate, doppio IP address (uno normale di LAN e un altro di VPN), .... insomma: lo può fare ma non è proprio il suo mestiere! :(Per massima facilità implementativa, nonchè adesione agli standard wi-fi, scalabilità, trasparenza per i client anche qui imho non c'è dubbio: TKIP che prevede cifratura WEP ma con negoziazione automatica frequente dello shared secret tra AP e client. Massima trasparenza perchè non trattandosi di vpn i client non hanno bisogno di alcun software particolare. Il problema è ovviamente il WEP (anche se tamponato dal TKIP) ed il fatto che AP e schede wi-fi compatibili sono generalmente più costose e difficilmente trovabili. Specie gli AP. Poi anche qui devi lavoricchiare un pò all'inizio per configurare il TKIP ma poi va (dovrebbe andare) da solo e soprattutto dovrebbe essere scalabile con poco sforzo verso WPA. C'è una seconda soluzione: il connubio 802.1x + EAP (EAP-MD5, EAP-TLS, PEAP) che sono abbastanza supportati dalle schede wireless ma sono la solita digressione dagli standard introdotta da microsoft e se ho capito bene non dovrebbe essere facilmente migrabile verso il vero standard che sarà (dovrebbe essere) WPA. Inoltre devi avere un server windows a fare da server Radius/EAP. Però, al solito, se hai solo windows....Per massimo risparmio di denaro (e probabilmente anche tempo) di nuovo imho non c'è dubbio: qui il PPTP o meglio L2TP sono la soluzione migliore, specie se i tuoi host sono esclusivamente windows. Infatti sai meglio di me quanto sia facile configurare PPTP su qualsiasi s.o. client microsoft e L2TP più o meno è lo stessoComunque ti saprei dare ulteriori dettagli solo se scegli ipsec perchè TKIP non l'ho mai usato e su PPTP/L2TP probabilmente ne sai più te (visto che lo usi con mclink)

            Evidentemente ti sfugge la differenza tra

            mitm di layer-2 e mitm di layer-3. "La

            soluzione a questo problema è talmente

            banale che viene lasciato come compito a

            casa" :D Domani te lo correggo!

            Come fai spesso hai glissatoAhiahiahi, dovrei metterti 4 in pagella! ;) (la soluzione arriva fra poco...)==================================Modificato dall'autore il 10/11/2003 23.43.10
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE: 4 di 8

            ...oppure potremmo dire che per segmento
            di rete

            indichiamo tutto quello che è nello stesso
            dominio di

            broadcast..per me questa è la definizione
            migliore
            Io invece quando dico ?segmento di rete?
            senza specificare, intendo tutto ciò che è
            nello stesso dominio di collisione.... sono
            rimasto al concetto di ?filo? grezzo, ovvero
            di hub e/o repeater che in termini per
            profani definisco come ?oggetti che
            allungano il filo.... senza allungarlo!!?Allungano il filo senza allungarlo è veramente una bella definizione non ti voglio assolutamente prendere in giro lo dico seriamente.



            Cmq ti ricordo che anche un Hub o un



            Repeater lavorano a livello 1 potevi


            Anche un' Access Point, se per questo



            Non tutti, gli ultimi prendi gli US
            robotics a 100Mbit ...
            E come fanno? quello che dici mi sembra
            molto fuori standard wi-fi. Il che può
            essere benissimo visto che alla US robotics
            piace fare cose fuori standard, ma come
            funzionerebbe? per ogni host assegna un
            canale di frequenza diverso? se così i 5ghz
            si esauriscono con 8 host, per non parlare
            degli 11Mbit (2.4ghz) che ha solo 3 bande
            non overlapping (quindi solo 3 host
            simultanei)Scusa ma in realtà ti ho riportato quello che mi ha detto il tecnico US Robotics allo smau che in effetti è impreciso il tuo ragionamento è corretto mi spiego meglio...in pratica gli AP USR non adeguano la banda per tutti se all'interno della stessa infrastruttura si aggiunge un host con tecnologia più lenta es se ci sono host che supportano il b 11 Mbit e Host che supportano il g 54 Mbit l' AP non adeguerà tutti a 11 ma stabilirà connessioni ottimizzate a secondo dei due interlocutore b
            g 11 Mbit g
            g 54 Mbit prima non era cosi!! Cmq più che bande sono canali, esattamente 1 6 11.

            Cmq come sicurezza sono 0
            Eh si, purtroppo per ora si. E tra l'altro
            li si che un avvelenatore di arp
            imperverserebbe inarrestabile!! E' nato il
            nuovo standard WPA ma accesspoint che lo
            supportino sono ancora pochi....Già hanno trovato le vulnerabilità al WPA se ti interessa ti mando il link lo devo ricercare!!
            e comunque
            ancora non ho letto le specifiche per cui
            non so quanto sia migliore rispetto a WEP.Ci vuole poco ad essere migliori visto che con un Ipaq modificato con dentro linux ci vogliono circa 6 ore a crakkare una shared key a 128 :DD
            . Comunque anch'io 3
            settimane fa ho installato un AP US robotics
            e l'ho preso nel culo perchè c'era scritto
            ?WPA-compliant through firmware upgrade?
            mentre invece il firmware che c'è sopra è lo
            stesso disponibile sul sito che ancora NON è
            WPA compliant!! mortacci loro!! Ho detto la stessa cosa anche io sono daccordo, cmq il nuovo firmware è uscito ed io l'ho installato te lo consiglio per il resto anche io credo sia un ottimo prodotto anche se ho notato che è molto sensibile ai tel H3G che lavorano a 2.4.

            qui le tue Vpn sono obbligatorie secondo
            me!!!

            Mmh non proprio.... dipende. Fra poco ti
            accenno qualcosa....


            Anzi qui potresti suggerirmi qualcosa tipo
            un buon

            compromesso tra prestazioni e sicurezza
            secondo te!!
            .......................... L'esperienza sul campo mi dice
            ad es. che SSH Sentinel con un Cisco 837
            (IOS 12.2(8 )YP) va sensibilmente più forte
            con AES256 (bit) che con 3DES (168 bit),
            mentre tra SuperFreeswan (freeswan + altre
            patch non ufficiali) e lo stesso Cisco 837
            la differenza è meno sensibile............................................. Se
            proprio proprio per te le prestazioni sono
            un 'must' potresti scendere ad un AES128, ma
            soprattutto se hai i 100Mbit (ma anche con
            gli 11) la velocità mi sembra un
            non-problema, soprattutto se il traffico è
            di tipo interactive non noti alcuna
            differenza qualunque cipher usi. ...................................

            io una mezza idea già la ho!!
            Se vuoi raccontami. Intanto ti accenno
            qualcosa:semplice ipsec con Freeswan usando smoothwallche è già predisposto per l'algoritmo non so se ne usa uno di default oppure si può scegliere cmq sarei per un 128 che mi dia le massime performace.......
            I principali aspetti di cui tenere conto nel
            scegliere la soluzione sono:
            1) qual'è il requisito primario fra: a)
            massima sicurezza, b) massima facilità
            implementativa e trasparenza, c) massimo
            risparmio di denaroNessuno dei tre......la sicurezza deve essere buona ma non eccessiva da penalizzarmi le prestazionil'implementazione non mi preoccupa il risparmio neanche nel senso che usero una vecchio pc con linux e i cliente saranno misti windows 2000 xp e linux
            2) quali applicazioni necessitano di privacyla navigazione in internet con annessi e connessi!
            3) se sei obbligato ad usare windows come
            server vpn o noNo!!
            4) quale varietà di s.o. client hai nella
            rete. In particolare se hai anche Win9xNo!!!
            Per massima sicurezza imho non c'è dubbio:
            IPSec. Il problema è che essendo un
            tunnelling di layer-3 non si adatta bene a
            ricreare fedelmente il comportamento di una
            LAN (in particolare i broadcast non si
            propagano in vpn ipsec) Questo non è assolutamente un problema!!!
            e inoltre le
            operazioni di configurazione sono più
            macchinose, più delicate, doppio IP address
            (uno normale di LAN e un altro di VPN), ....
            insomma: lo può fare ma non è proprio il suo
            mestiere! :(si forse è vero ma alla fine lo vedo come la soluzione più migliore
            Per massima facilità implementativa, nonchè
            adesione agli standard wi-fi, scalabilità,
            trasparenza per i client anche qui imho non
            c'è dubbio: TKIP che prevede cifratura WEP
            ma con negoziazione automatica frequente
            dello shared secret tra AP e client.usrobotics permette di utilizzare un server radius ed in effetti avevo pensato anche a questo tipo ti soluzione anche se non l'ho mai fatto ho un mio amico che se ne occupa e mi ha detto che è una cretinata ovviamente lo farei girare su un bel openbsd
            C'è una seconda soluzione: il connubio......................................
            Però, al solito, se hai solo windows............Niente cose proprietarie questa la devo fare a casa mia tra tre palazzi e le soluzioni proprietarie le abolisco!!..........Infatti sai
            meglio di me quanto sia facile configurare
            PPTP su qualsiasi s.o. client microsoft e
            L2TP più o meno è lo stessoSi si ma io non sono il cliente con poche pretese io sono un informatico che vuole sempre il massimo!
            Comunque ti saprei dare ulteriori dettagli
            solo se scegli ipsec perchè TKIP non l'ho
            mai usato e su PPTP/L2TP probabilmente ne
            sai più te (visto che lo usi con mclink)è per qesto che ho scelto ipsec...scherzo!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            Allungano il filo senza allungarlo è
            veramente una bella definizione non ti
            voglio assolutamente prendere in giro lo
            dico seriamenteOohh! lo vedi? prova a rileggere anche qualcuna delle altre mie "definizioni per profani", vedrai che ti piaceranno anche quelle

            E' nato il

            nuovo standard WPA ma accesspoint che lo

            supportino sono ancora pochi....

            Già hanno trovato le vulnerabilità al WPA se
            ti interessa ti mando il link lo devo
            ricercare!!Davvero? cavolo mi interessa si! grazie! forse è per questo che parlano già di WPA2 hehe
            ......la sicurezza deve
            essere buona ma non eccessiva da
            penalizzarmi le prestazioni
            l'implementazione non mi preoccupa il
            risparmio neanche nel senso che usero una
            vecchio pc con linuxUhm, okkio che le prestazioni possono essere influenzate MOLTO più dalla potenza di calcolo e disponibilità di RAM del server (in relazione ovviamente al numero di client simultanei) che non dal cipher che scegli

            2) quali applicazioni necessitano di

            privacy

            la navigazione in internet con annessi e
            connessi! Ah quindi niente applicazioni inter-host e nemmeno Risorse di Rete. Benissimo, queste cose causano sempre le complicazioni maggiori...

            4) quale varietà di s.o. client hai nella

            rete. In particolare se hai anche Win9x

            No!!!BENISSIMO anche questo! l'implementazione ipsec di microsoft per win9x obbliga l'uso di L2TP e quindi saresti stato costretto ad implementarlo sul server Linux oppure a comprare un client ipsec per win9x di terze parti

            sai meglio di me quanto sia facile configurare

            PPTP su qualsiasi s.o. client microsoft e

            L2TP più o meno è lo stesso

            Si si ma io non sono il cliente con poche
            pretese io sono un informatico che vuole
            sempre il massimo!Il cliente che vuole il massimo è il cliente che preferisco!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar

            Allungano il filo senza allungarlo è

            veramente una bella definizione non ti

            voglio assolutamente prendere in giro lo

            dico seriamente

            Oohh! lo vedi? prova a rileggere anche
            qualcuna delle altre mie "definizioni per
            profani", vedrai che ti piaceranno anche
            quellePresuntuoso......:D
            Davvero? cavolo mi interessa si! grazie!
            forse è per questo che parlano già di WPA2
            heheguarda il link più interessante non ricordo più in quale forum l'ho visto cmq leggi qui http://www.technewsworld.com/perl/story/32070.html molto generico ma ti fa capire il senso del problema se cerchi su gogle cmq trovi tutto!!!
            Uhm, okkio che le prestazioni possono essere
            influenzate MOLTO più dalla potenza di
            calcolo e disponibilità di RAM del server
            (in relazione ovviamente al numero di client
            simultanei) che non dal cipher che scegliin vpn viaggieranno solo 5 pc...


            2) quali applicazioni necessitano di


            privacy



            la navigazione in internet con annessi e

            connessi!

            Ah quindi niente applicazioni inter-host e
            nemmeno Risorse di Rete. Benissimo, queste
            cose causano sempre le complicazioni
            maggiori...lo so lo so...sto sperimentando diverse soluzioni su ip per poter eliminare definitivamente il client per reti microsoft!!!!!....beeweeb, web-dav oppure server ftp ben configurati su tutti i cliente!!!!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...

            ....beeweeb, web-dav oppure
            server ftp ben configurati su tutti i
            cliente!!!!scusa volevo dire Mod-dav non ho idea da dove mi sia uscito web-dav..........!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            Oohh! lo vedi? prova a rileggere anche

            qualcuna delle altre mie "definizioni per

            profani", vedrai che ti piaceranno anche

            quelle

            Presuntuoso......:D:D

            Davvero? cavolo mi interessa si! grazie!

            forse è per questo che parlano già di WPA2

            hehe

            guarda il link più interessante non ricordo
            più in quale forum l'ho visto cmq leggi qui
            http://www.technewsworld.com/perl/story/32070Grazie! appena posso lo leggo

            Uhm, okkio che le prestazioni possono
            essere

            influenzate MOLTO più dalla potenza di

            calcolo e disponibilità di RAM del server

            (in relazione ovviamente al numero di
            client

            simultanei) che non dal cipher che scegli

            in vpn viaggieranno solo 5 pc...5 pc simultanei secondo me possono essere serviti bene da un PII 350 con 128Mb
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            *** Parte 3 di 8

            peccato perchè almeno sulle LAN sei

            preparato ed avremmo potuto scambiarci
            info

            utili per entrambi.

            Le info utili credo che nel bene o nel male
            ce le siamo cmq scambiateMagari pure si, ma francamente scambiarsele nel male non mi piace un gran chè....
            mi dispiace non
            aver fatto lo stesso per le vpn ma
            sinceramente mi attraggono poco e cmq ne sto
            per fare una con smoothwall con ipsecSo che caratteristiche ha ma non l'ho mai usato perchè non l'ho mai trovato adeguato alle esigenze che ho dovuto affrontare finora. Era sempre o troppo, o troppo poco. Comunque dalle caratteristiche mi sembra un ottimo prodotto
            Non so perchè ma alla fine con tutto quello
            che ci siamo detti ho capito che sei una
            persona testarda almeno quanto meBoh, per me i testardi sono coloro che hanno le loro idee e non accettano di discuterne e non credo di essere così. Se io fossi così stai tranquillo che non mi sarei penato tanto a chiederti quali fossero quelle benedette applicazioni per il famigerato ip fisso portabile. Non l'ho certo fatto per litigare. Ho solo cercato in tutti i modi di vedere se c'era qualcosa da imparare. Se dài un'occhiata al mio "storybook" su PI vedrai che anch'io scrivo di rado (in confronto a molti altri) e solo su argomenti tecnici, mai su flame
            quindi diciamo che mi stai quasi...ho detto quasi,
            simpatico se vieni a .....passami a
            trovare!!! :))Chissà..... perchè no...... comunque per come stanno le cose ora si può fare solo all'inverso (dove sto io lo sai, dove stai te io non lo so..... anche se un'idea ce la potrei avere per via di una cosa che hai scritto, hehe....)

            Eh, certo! tu, l'emerito professorino, non

            accetti che qualcuno possa parlare con te

            della "tua materia" ad un livello

            paragonabile al tuo,

            Non intendevo questo a me da fastidio quando
            si rimandano le risposte per poi tirarle
            fuori belle e pronte tutte insieme punto.?? non sono sicuro di aver capito a cosa ti riferisci :o se amplii il discorso magari....Poi ancora non mi hai detto cos'è 'sto MINT! cioè, lo usi quando si parla di MITM ma perchè scrivi MINT ??


            io avrò fatto


            anche il super pignolo e preciso su molti


            punti ma ti vorrei ricordare come in


            precedenti msg mie affermazioni che erano


            cmq comprensibili venivano continuamente


            riprese da te e puntualizate



            riprese e puntualizzate perchè volevo

            ulteriori dettagli, che non hai mai

            (tuttora) dato,

            Rileggi tutto mi sembra che in un modo o nell'altro quello
            che volevi sapere lo hai saputo quali sono i tuoi
            "black holes"Mmmh mi viene il dubbio che forse qui ho capito male quello che intendevi. Quando dici ?mie affermazioni che erano cmq comprensibili venivano riprese da te e puntualizzate? ti riferisci a tue affermazioni sulle lan o sulle vpn? io pensavo che ti riferissi all'argomento vpn, dove le tue affermazioni erano certamente comprensibili e altrettanto certamente io le ?riprendevo e puntualizzavo?


            col tono del


            saccente che ha la verita in tasca

            questo a suo tempo l'ho detto io a te ma lasciamo
            perdere!!!Beh ce lo siamo detti a vicenda più volte! ma a parte questo, hai notato che hai commentato un tuo quoting?? (nota il doppio
            che qui ovviamente è diventato triplo!)

            solo perchè hai cominciato a farlo TU!! hai

            la memoria corta amico mio: chi ha

            cominciato a dare del "tarato" all'altro?

            Non lo so dopo 40 msg continui a chiedermi come dall'ip si
            puoi identificare in maniera univoca un utente
            quando io non l'ho mai detto e pensato ma ho sempre detto
            che è un impiù e l'ip pubblico lo vedevo
            soprattutto in un'altra ottica!!Scusa, non per riaprire la polemica, bensì giusto per spiegare perchè dopo 40 msg continuo a chiederti ecc... : se tu mi dici che usi il tuo ip fisso portabile per metterlo nelle acl dei router in modo che GRAZIE A QUELLO solo tu puoi fare l'amministrazione, è come se tu mi dicessi che usi quell'ip fisso come unico elemento identificativo! Ho capito i target.... il non bisogno di privacy... blablabla, capisco tutto.... ma se quando ti chiedo le possibili utilità dell'ip fisso portabile tu mi dici candidamente semplicemente ?lo metto nelle acl e faccio amm. remota? a me, abbi pazienza, mi si rizzano i capelli!!!! e se poi dopo (solo DOPO le mie puntualizzazioni di cui sopra...) mi aggiungi ?si, vpn o ssh PIU' ip fisso? io allora ti rispondo ?quando hai già chiavi asimmetriche e/o certificati l'ip fisso diventa superfluo? e anzi, ora aggiungo anche che diventa addirittura fastidioso perchè se ti capita di essere in un posto (supponiamo da un cliente) dove hai una connettività che non ti permette la vpn con mclink (per via ad esempio del firewall del cliente), te rimani fregato perchè il router che vorresti amministrare non ti fa entrare per via dell'acl!!! e magari invece fa entrare il pischello che dicevi te che ha trovato un buco nel server di mclink (amministrato da uno di quei sysadmin che non applica le patch per tempo) e che sfruttando il tuo ip fisso entra nel router di quel tuo cliente e lo sconfigura solo per il gusto di farlo!!! e a quel punto te bestemmi (giustamente) perchè a quel punto ti tocca andare di persona dal cliente per rimettere le cose a posto!!! sto parlando per ipotesi, è ovvio. Non ti sarà mai capitato e mai ti capiterà.... ma se ti capita!!!! esattamente come dici te quando giustamente dici di non sottovalutare mai niente e nessuno....è lo stesso discorso, preciso spiccicato. Comunque direi di buttarci alle spalle anche questo argomento, tanto sappiamo che io non convinco te e tu non convinci me
            Scrivo pochissimo su punto leggo
            soprattutto i flame su linux e winzoz che mi divertono da
            morireSi, talvolta anche a me, ma più spesso mi fanno rabbia perchè penso a quanti idioti ci sono
            ormai è andata così ma non ti preoccupare punto lo seguo
            tantissimo e la prossima
            volta che ti rispondo saprai il mio nik hai la mia parola!! ?? guarda che se non vuoi dirlo ?pubblicamente? ti basta mandarmi un messaggio pvt in PI Box! se vuoi restare anonimo non sono mica così stronzo da divulgare il tuo nik! comunque fai come vuoi, per me non c'è problema
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE: 3 di 8

            quindi diciamo che mi stai quasi...ho
            detto quasi,

            simpatico se vieni a .....passami a

            trovare!!! :))

            Chissà..... perchè no...... comunque per
            come stanno le cose ora si può fare solo
            all'inverso (dove sto io lo sai, dove stai
            te io non lo so..... anche se un'idea ce la
            potrei avere per via di una cosa che hai
            scritto, hehe....)Ricordami cosa ho scritto e ti aiuto.....non rileggerò mai e poi mai tutto quello che ti ho scritto non ce la faccio!! :DD
            Poi ancora non mi hai detto cos'è 'sto MINT!
            cioè, lo usi quando si parla di MITM ma
            perchè scrivi MINT ??Se hai notato l'ora di quel msg forse capisci perchè!!! spero solo che non hai cercato il significato su google...non era un tranello per vedere che dicevi era solo stanchezza MINT è il mio nuovo modo per dire MITM...:D
            Mmmh mi viene il dubbio che forse qui ho
            capito male quello che intendevi. Quando
            dici ?mie affermazioni che erano cmq
            comprensibili venivano riprese da te e
            puntualizzate? ti riferisci a tue
            affermazioni sulle lan o sulle vpn? io
            pensavo che ti riferissi all'argomento vpn,
            dove le tue affermazioni erano certamente
            comprensibili e altrettanto certamente io le
            ?riprendevo e puntualizzavo?Dicevo in generale su tutto...spesso puntualizzavi per poi affermare che quello che intendevo era sicuramente..........e quindi dimostravi di aver perfettamente capito quindi....perchè puntualizzavi?se poi capivi male sarei stato io a fartelo notare e a chiederti scusa per non essermi espresso bene!


            solo perchè hai cominciato a farlo TU!!
            hai


            la memoria corta amico mio: chi ha


            cominciato a dare del "tarato"
            all'altro? Già ti o risposto!



            Non lo so dopo 40 msg continui a chiedermi
            come dall'ip si

            puoi identificare in maniera univoca un
            utente

            quando io non l'ho mai detto e pensato ma
            ho sempre detto

            che è un impiù e l'ip pubblico lo vedevo

            soprattutto in un'altra ottica!!........ se tu mi dici
            che usi il tuo ip fisso portabile per
            metterlo nelle acl dei router in modo che
            GRAZIE A QUELLO solo tu puoi fare
            l'amministrazione, è come se tu mi dicessi
            che usi quell'ip fisso come unico elemento
            identificativo! TROVAMI IL MSG IN CUI AFFERMO QUESTO CON LE STESSE PAROLE CHE STAI USANDO TU!!!!!!!!!!!!!!!!!!!!!!!!io ho detto che uso quel sistema come ulteriore elemento di precauzione e ripeto ulteriore e non come unico elemento.....ed ora non ti offendere se ti dico tarato perchè lo sei!!!
            Ho capito i target.... il
            non bisogno di privacy... blablabla, capisco
            tutto.... ma se quando ti chiedo le
            possibili utilità dell'ip fisso portabile tu
            mi dici candidamente semplicemente ?lo metto
            nelle acl e faccio amm. remota? a me, abbi
            pazienza, mi si rizzano i capelli!!!! Io sono sicuro che dove possibile lo fai anche tu oltre ad usare i vari ssh e certificati e se così fosse...ed io sono sicurissimo che è così, le mie parole le avresti sicuramente capite e non estremizzate nei loro concetti come tu continui a fare........ti ripeto UNICO ELEMENTO NON L?HO MAI DETTO!!!!!!!
            e se
            poi dopo (solo DOPO le mie puntualizzazioni
            di cui sopra...) mi aggiungi ?si, vpn o ssh
            PIU' ip fisso? io allora ti rispondo ?quando
            hai già chiavi asimmetriche e/o certificati
            l'ip fisso diventa superfluo? e anzi, ora
            aggiungo anche che diventa addirittura
            fastidioso perchè se ti capita di essere in
            un posto (supponiamo da un cliente) dove hai
            una connettività che non ti permette la vpn
            con mclink (per via ad esempio del firewall
            del cliente), te rimani fregato perchè il
            router che vorresti amministrare non ti fa
            entrare per via dell'acl!!!e no...qui mi caschi su una buccia di banana...per prevenire questo devi permettere verso l'ip dove lavori eventuali redirect verso i tuoi clienti o cmq devi permettere al tuo ip di essere raggiungibile ovunque in modo che se non ti trovi dove hai ip statico puoi cmq raggiungerli ..la possibilità di spoffare un ip è reale la possibilita di sapere qual'è ip sul quale si basa ACL è però mille volte più difficile e lungo...soprattutto lungo, di quanto non possa esserlo un buffer overflow di un servizio come es. SSH raggiungibile da da tutti mi dispiace ma tu la sicurezza la teorizzi ma nei fatti uuummmhhh io ti consiglio ogni tanto di metterti dalla parte dell'attaccante e simulare situazioni sono sicuro che capiresti molto di più certe cose altro che aggiornamenti!!!!proprio l'altro giorno dopo aver installato la dmz di qui ti parlavo con smooth.....ho fatto un pò di prove per stressare la macchina ed è bastato un plugin di ettercap ad uccidermi apache 1.28 su https la macchina funzionava perfettamente ma l'amministrazione remota via web non era più accessibile ssh e squib non hanno fatto una piega ora se permetti se io l'amministrazione remota l'avessi concessa ad un solo IP non sarebbe stato cmq meglio? e cmq questo è successo per apache al primo colpo figuriamoci se avessi cominciato a provare di tutto credo che almeno in lan sarei riuscito a mettere in crisi anche ssh e squib quindi ti ripeto la sicurezza è fatta da tante piccole accortezze quella dell'ip statico è una di quelle che non fa male e che sono sicuro usi anche tu che per me ormai ne fai una questione di principio se continui a dire di no io mi arrendo!
            e magari invece
            fa entrare il pischello che dicevi te che ha
            trovato un buco nel server di mclink
            (amministrato da uno di quei sysadmin che
            non applica le patch per tempo) e che
            sfruttando il tuo ip fisso entra nel router
            di quel tuo cliente e lo sconfigura solo per
            il gusto di farlo!!!Il tuo sarà anche un esempio ma anche il mio riportato sopra è un esempio soltanto che il mio è molto ma molto più fattibile del tuo e non dirmi che non è vero!!!
            ?? guarda che se non vuoi dirlo
            ?pubblicamente? ti basta mandarmi un
            messaggio pvt in PI Box! se vuoi restare
            anonimo non sono mica così stronzo da
            divulgare il tuo nik! comunque fai come
            vuoi, per me non c'è problemaTi scrivo ti scrivo, prometto anche questo in tanto finisco di risponderti!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...


            dove sto io lo sai, dove stai

            te io non lo so..... anche se un'idea ce la

            potrei avere per via di una cosa che hai

            scritto, hehe....

            Ricordami cosa ho scritto e ti aiuto.....Quando hai parlato delle vlan hai accennato un esempio che coinvolgeva Firenze e Milano. Considerando che Firenze è dove sto io (come tu sai) potrei dedurre che Milano è dove stai tu. E' solo un vago indizio, ma a volte.....
            ........ se tu mi dici

            che usi il tuo ip fisso portabile per

            metterlo nelle acl dei router in modo che

            GRAZIE A QUELLO solo tu puoi fare

            l'amministrazione, è come se tu mi dicessi

            che usi quell'ip fisso come unico elemento

            identificativo!

            TROVAMI IL MSG IN CUI AFFERMO QUESTO CON LE
            STESSE PAROLE CHE STAI USANDO
            TUAvevo scritto in maiuscolo per evidenziare che quello era il senso apparente del tuo discorso, non per suggerire che quelle fossero le parole esatte. Dunque, durante i primi messaggi non mi era chiaro se tu pensavi veramente così, perchè più volte facevi passare il discorso sicurezza in secondo piano, dove io invece volevo rimanerci ancorato (ricordi? tu dicevi ?altre ottiche? e anche ?sclerotizzi su un articolo? nonchè ?tu vedi solo vpn e sicurezza?). Non sono mica telepatico! Solo dopo un pò di messaggi metti definitivamente in risalto il fatto che l'ip statico lo usi come un ?di più? a ssh, radmin, e altro. Dopo di ciò io ho ritirato fuori il discorso qualche tempo dopo SOLO per accusare MCLINK (e NON tu) di falso quando asserisce che ip fisso dà certezza di identificazione, e ho voluto fare ciò quando tu hai parlato di mclink come azienda che offre servizi di alta qualità ecc.ecc. e io quindi ti ho detto qualcosa tipo "non ho dubbi sulla qualità e mi vanno bene i servizi ma quando si asserisce che ip fisso dà certezza si asserisce il falso". Il fatto che lo abbia scritto a te è solo perchè destino ha voluto che ne stessi parlando con te, tutto qua. Mi dispiace di non averti capito bene fin da subito ma anche tu ci hai messo un pò del tuo nel non farti capire!!!

            .... ma se quando ti chiedo le

            possibili utilità dell'ip fisso portabile

            tu mi dici candidamente semplicemente "lo

            metto nelle acl e faccio amm. remota" a me, abbi

            pazienza, mi si rizzano i capelli

            Io sono sicuro che dove possibile lo fai
            anche tu oltre ad usare i vari ssh e
            certificatiSinceramente no anche perchè molto raramente mi trovo in situazioni dove il client ssh o ipsec ha un ip fisso. A parte questo non mi è mai capitato di dover fare vpn ristrette a solo certi end-point ben precisi e definiti. Se mi dovesse capitare allora magari FORSE lo potrei anche usare. Ma di sicuro SOLO l'ip fisso fornito dall'IAP, non certo l'ip fornito da qualcun'altro perchè se uso ssh o ipsec è perchè sono paranoico e se sono paranoico l'ultima cosa a cui penso è mettere in mezzo un terzo ISP incomodo. Poi è chiaro che se il mio IAP è mclink sono ben lieto di usare l'ip fisso che mi fornisce lei, ma solo l'ip pubblico VERO, non quello ottenibile via vpn e balle varie

            se ti capita di essere in

            un posto (supponiamo da un cliente) dove

            hai una connettività che non ti permette la

            vpn con mclink (per via ad esempio del

            firewall del cliente), te rimani fregato perchè il

            router che vorresti amministrare non ti fa

            entrare per via dell'acl

            e no...qui mi caschi su una buccia di
            banana...per prevenire questo devi
            permettere verso l'ip dove lavori eventuali
            redirect verso i tuoi clienti o cmq devi
            permettere al tuo ip di essere raggiungibile
            ovunque in modo che se non ti trovi dove hai
            ip statico puoi cmq raggiungerliSinceramente non sono sicuro di aver capito quello che hai scritto, comunque così a occhio mi sembra che tu la faccia un pò troppo comoda: tu dài per scontato che ovunque vai (anche presso tuoi clienti) tu abbia facoltà di configurare ciò che ti pare come ti pare. Se per te è così continuo ad invidiarti, comunque io ho portato un esempio di "un luogo" (avevo detto "cliente", cambio esempio: diciamo l'hotspot di Fiumicino) che abbia un firewall che NON ti consenta di instaurare il tunnel con mclink. In quel momento non puoi "agganciarti" al tuo ip fisso portabile e se tu quell'ip fisso portabile l'hai inserito nelle acl dei tuoi router, in quel momento non puoi entrare in quei router
            [cut] ... ti ripeto la sicurezza è
            fatta da tante piccole accortezzeE siamo d'accordo
            quella
            dell'ip statico è una di quelle che non fa
            maleE siamo d'accordo
            e che sono sicuro usi anche tu che per
            me ormai ne fai una questione di principioNe faccio una questione di principio per una sfumatura ben precisa e specifica. Spero di averla spiegata una volta per tutte. Non mi far ripetere di nuovo che mi va bene tutto anche il servizio di mclink basta che non si dica che ip fisso = certezza di identificazione, perchè sennò mi dici che dopo 42 messaggi te lo rinfaccio ancora, ma non lo rinfaccio a te, lo rinfaccio a mclink che lo dice a chiare lettere nella sua offerta. Questa è la sfumatura sulla quale faccio la questione di principio: cara mclink, fornisci pure un servizio per dare ip fisso portabile e pubblicizzalo ma non dire che è utile per dare identificazione certa o utile per la sicurezza perchè sennò sei bugiarda!!
            Il tuo sarà anche un esempio ma anche il mio
            riportato sopra è un esempio soltanto che il
            mio è molto ma molto più fattibile del tuo e
            non dirmi che non è vero!!!NON E' VERO!!! scherzo! :D è vero è vero. Cioè: è vero che è molto più fattibile exploitare un bug di qualsiasi software di sicurezza che non usare impunemente l'ip fisso portabile di un altro, ma ahimè non è altrettanto vero che tu OVUNQUE vada possa avere la certezza assoluta di poter accedere alla vpn di mclink. Puntualizzo ciò perchè il mio esempio verteva su questo; la postilla del pischello che (sfruttando un bug) entra nel server di mclink ed abusa del tuo ip fisso era solo una.... ciliegina sulla torta per rendere meglio l'idea di come l'ip fisso portabile di mclink possa essere ingannevole
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            1

            Ricordami cosa ho scritto e ti aiuto.....
            Considerando che Firenze è dove sto io (come
            tu sai) potrei dedurre che Milano è dove
            stai tu. E' solo un vago indizio, ma a
            volte.....Non mi sono scordato di te è solo che sono stato molto impicciato e quindi ho aspettato il fine settimana per scrivere.....cmq sei lontano molto lontano....va be te lo dico.....se per me firenze è una citta bellissima nella quale mi piacerebbe abitare, ovviamente mi riferisco al centro purtroppo le periferie sono brutte in tutte le città la mia compresa,la mia città senza presunzione rimane la più bella....al mondo! ora credo che hai capito!!!

            TROVAMI IL MSG IN CUI AFFERMO QUESTO CON LE

            STESSE PAROLE CHE STAI USANDO

            TU
            Dunque, durante i
            primi messaggi non mi era chiaro se tu
            pensavi veramente così, perchè più volte
            facevi passare il discorso sicurezza in
            secondo piano, dove io invece volevo
            rimanerci ancorato (ricordi? tu dicevi
            ?altre ottiche? e anche ?sclerotizzi su un
            articolo? nonchè ?tu vedi solo vpn e
            sicurezza?). Poi non ti offendere se ti dico tarato....avrò affermato 1000 volte che l'ip fisso è un impiù e non una soluzione e tu ancora hai dubbi....che poi passi nei primi messaggi ok...ma che continui ancora adesso proprio no!!!!
            Non sono mica telepatico! Solo
            dopo un pò di messaggi metti definitivamente
            in risalto il fatto che l'ip statico lo usi
            come un ?di più? a ssh, radmin, e altro.un pò? dopo 2 o 3 e cmq proprio perchè l'ho fatto....perchè al 50esimo messaggio ancora mi dici:"........ se tu mi dici che usi il tuo ip fisso portabile per metterlo nelle acl dei router in modo che GRAZIE A QUELLO solo tu puoi fare l'amministrazione, è come se tu mi dicessi che usi quell'ip fisso come unico elemento identificativo!" quindi ti ripeto sei un pò tarato...senza offesa...prova ad andare avanti nei discorsi!!!!
            ............................. ma quando
            si asserisce che ip fisso dà certezza si
            asserisce il falso". Il fatto che lo abbia
            scritto a te è solo perchè destino ha voluto
            che ne stessi parlando con te, tutto qua. Mi
            dispiace di non averti capito bene fin da
            subito ma anche tu ci hai messo un pò del
            tuo nel non farti capire!!! Ok tutto chiaro..........spero!!!!!!!!!!!!


            .... ma se quando ti chiedo le


            possibili utilità dell'ip fisso portabile


            tu mi dici candidamente semplicemente "lo


            metto nelle acl e faccio amm. remota" a
            me, abbi


            pazienza, mi si rizzano i capelli



            Io sono sicuro che dove possibile lo fai

            anche tu oltre ad usare i vari ssh e

            certificati

            Sinceramente no anche perchè molto raramente
            mi trovo in situazioni dove il client ssh o
            ipsec ha un ip fisso.Quindi non lo fai per questioni pratiche altrimenti lo faresti!


            se ti capita di essere in


            un posto (supponiamo da un cliente) dove


            hai una connettività che non ti permette
            la


            vpn con mclink (per via ad esempio del


            firewall del cliente), te rimani fregato
            perchè il


            router che vorresti amministrare non ti
            fa


            entrare per via dell'acl



            e no...qui mi caschi su una buccia di

            banana...per prevenire questo devi

            permettere verso l'ip dove lavori eventuali

            redirect verso i tuoi clienti o cmq devi

            permettere al tuo ip di essere
            raggiungibile

            ovunque in modo che se non ti trovi dove
            hai

            ip statico puoi cmq raggiungerli

            Sinceramente non sono sicuro di aver capito
            quello che hai scritto, comunque così a
            occhio mi sembra che tu la faccia un pò
            troppo comoda: tu dài per scontato che
            ovunque vai (anche presso tuoi clienti) tu
            abbia facoltà di configurare ciò che ti pare
            come ti pare. ovvio altrimenti sono clienti di qualcun'altro!!!Io devo sempre avere il controllo su tutto per potermi assumere le responsabilità altrimenti spiega a un non tecnico che il problema x non colpa tua ma di qualcun'altro che si è scordato di impostare sul firewall la regola z per evitare che ecc ecc......
            diciamo l'hotspot
            di Fiumicino) che abbia un firewall che NON
            ti consenta di instaurare il tunnel con
            mclink. In quel momento non puoi
            "agganciarti" al tuo ip fisso portabile e se
            tu quell'ip fisso portabile l'hai inserito
            nelle acl dei tuoi router, in quel momento
            non puoi entrare in quei routerFin quando non uscirà l'offerta definitiva e non saprò esattamente come hanno implementato il tutto non posso rispondere e cmq rimangono poche situazioni limitate se permetti!!..credo che mclink ha valutato molte situazioni studiando la soluzione più versatile vediamo qundo il servizio uscira.
            E siamo d'accordo


            e che sono sicuro usi anche tu che per

            me ormai ne fai una questione di principio
            Non mi
            far ripetere di nuovo che mi va bene tutto
            anche il servizio di mclink basta che non si
            dica che ip fisso = certezza di
            identificazione, perchè sennò mi dici che
            dopo 42 messaggi te lo rinfaccio ancora, ma
            non lo rinfaccio a te, lo rinfaccio a mclink
            che lo dice a chiare lettere nella sua
            offerta. Questo è un punto ormai chiuso....spero!
            Questa è la sfumatura sulla quale
            faccio la questione di principio: cara
            mclink, fornisci pure un servizio per dare
            ip fisso portabile e pubblicizzalo ma non
            dire che è utile per dare identificazione
            certa o utile per la sicurezza perchè sennò
            sei bugiarda!!e qui non siamo daccordo.....non da identificazione certa ok...ma rimane cmq utile per la sicurezza perchè è un impiù che non guasta mai....questa è la mia sfumatura!!!!

            Il tuo sarà anche un esempio ma anche il
            mio

            riportato sopra è un esempio soltanto che
            il

            mio è molto ma molto più fattibile del tuo
            e

            non dirmi che non è vero!!!

            NON E' VERO!!! scherzo! :D è vero è vero.
            Cioè: è vero che è molto più fattibile
            exploitare un bug di qualsiasi software di
            sicurezza che non usare impunemente l'ip
            fisso portabile di un altro, ma ahimè non è
            altrettanto vero che tu OVUNQUE vada possa
            avere la certezza assoluta di poter accedere
            alla vpn di mclink. Anche se sicuramente ci saranno dei limiti aspettiamo che escano i detttagli sul servizio e poi ne riparliamo!!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            Non mi sono scordato di te è solo che sono
            stato molto impicciato e quindi ho aspettato
            il fine settimana per scrivereFigurati, non c'è problema, anzi.... anch'io ogni tanto bisogna che lavori almeno un pò :)
            .....cmq sei
            lontano molto lontano....Ach! se ho capito bene addirittura in direzione opposta! :
            che poi passi nei primi
            messaggi ok...ma che continui ancora adesso
            proprio no!!!!Ma non continuo ancora adesso! qui forse è colpa mia che non ho specificato chiaramente che non stavo ritirando fuori il discorso. Ho detto quella frase ("se tu dici che inserisci il tuo ip in acl per fare amm.remota è come se mi dicessi ecc. ecc.") per descrivere il perchè non ero convinto... che tu fossi convinto!!! Non stavo rivangando. Vabè ho sbagliato, avrei dovuto lasciar perdere

            Non sono mica telepatico! Solo

            dopo un pò di messaggi metti

            definitivamente in risalto il fatto che l'ip statico lo

            usi come un di più a ssh, radmin, e altro.

            un pò? dopo 2 o 3 e cmq proprio perchè l'ho
            fatto....Sai, dire è un conto, mettere in risalto è un altro ;) Comunque dopo quel messaggio (ssh, radmin, e altro) mi sembra di averlo ridetto solo come affermazione generica e solo nei confronti di mclink, non nei tuoi confronti. Comunque capisco che era facile fraintendersi (ci stavamo offendendo come forsennati! :D).
            perchè al 50esimo messaggio Non era il 40esimo?? :D :D :D (scherzo!)
            ancora mi
            dici:"........ se tu mi dici
            che usi il tuo ip fisso portabile per
            metterlo nelle acl dei router in modo che
            GRAZIE A QUELLO solo tu puoi fare
            l'amministrazione, è come se tu mi dicessi
            che usi quell'ip fisso come unico elemento
            identificativo!
            "
            quindi ti ripeto sei un pò tarato...senza
            offesa...prova ad andare avanti nei
            discorsi!!!!Non stavo ribadendo il concetto, volevo solo spiegare per quale era il motivo per il quale *a suo tempo* io avevo capito che per te l'ip fisso non era solo un in più. Non ora, a suo tempo
            Ok tutto chiaro..........spero!!!!!!!!!!!!Credo di si! :)


            Io sono sicuro che dove possibile lo fai


            anche tu oltre ad usare i vari ssh e


            certificati



            Sinceramente no anche perchè molto

            raramente mi trovo in situazioni dove il client ssh

            o ipsec ha un ip fisso.

            Quindi non lo fai per questioni pratiche
            altrimenti lo faresti!Guarda, altrettanto sinceramente ti confido che dubito che lo farei, per un motivo molto semplice: perchè se un bel giorno quella vpn dovesse accettare connessioni entranti anche da road-warrior dovrei modificare, magari anche di pochissimo (una sola rule da aggiungere o togliere), la acl. E siccome ritengo il certificato (più ancora della chiave asimmetrica da sola) molto più preciso, sicuro, affidabile, discriminatorio (cioè posso distinguere persone diverse che accedono alla vpn dallo stesso computer) dell'ip address, allora quest'ultimo lo trovo davvero superfluo. E' come se tu mi dicessi, che so, di comprare un lettore dvd pur avendo già il laptop collegabile alla tv (un esempiaccio non perfettamente calzante ma così su due piedi non mi è venuto niente di meglio...). Comunque risottolineo che *al limite* lo farei *solo* se ho l'ip fisso *vero* fornito dall'IAP. Se ce l'ho posso valutare l'opportunità di usarlo, se non ce l'ho non mi prendo certo la briga di andarlo a cercare da qualche terzo ISP, che mi farebbe da potenziale mitm (lui direttamente o qualcuno che lo buca...). Non so se sono riuscito a spiegarmi (non sempre mi riesce nonostante il fiume di parole che scrivo :()

            tu dài per scontato che

            ovunque vai (anche presso tuoi clienti) tu

            abbia facoltà di configurare ciò che ti

            pare come ti pare.

            ovvio altrimenti sono clienti di
            qualcun'altro!!!hehe, obiezione ineccepibile! :) e ti invidio sempre più perchè io invece non di rado ho clienti da condividere con altri :'(
            Io devo sempre avere il controllo su tutto
            per potermi assumere le responsabilità
            altrimenti spiega a un non tecnico che il
            problema x non colpa tua ma di qualcun'altro
            che si è scordato di impostare sul firewall
            la regola z per evitare che ecc ecc......Perfettamente vero! ahimè se lo so! :(
            Fin quando non uscirà l'offerta definitiva e
            non saprò esattamente come hanno
            implementato il tutto non posso rispondere e
            cmq rimangono poche situazioni limitate se
            permetti!!Ma ci mancherebbe. Mica ti sto facendo l'uccellaccio. Ti ho solo raccontato quali sono gli inconvenienti che ancora si presentano con le vpn. Mi sembra di averti detto della possibilità di incapsulare su udp, con quello si dovrebbe virtualmente risolvere ogni problema. In teoria. Nella pratica si tratta di attendere che tutti i software che implementano protocolli di vpn prevedino la possibilità di incapsulare e che client e server vengano aggiornati con questi software. Sono convinto che il nuovo servizio di mclink prevederà questa possibilità. Quello vecchio (quello in pptp 10.x.x.x) temo di no, tutto qua

            Questa è la sfumatura sulla quale

            faccio la questione di principio: cara

            mclink, fornisci pure un servizio per dare

            ip fisso portabile e pubblicizzalo ma non

            dire che è utile per dare identificazione

            certa o utile per la sicurezza perchè

            sennò sei bugiarda!!

            e qui non siamo daccordo.....non da
            identificazione certa ok...ma rimane cmq
            utile per la sicurezza perchè è un impiù che
            non guasta mai....questa è la mia
            sfumatura!!!!Chiarissimo, e di per sè la tua sfumatura non la trovo sbagliata. Solo che secondo me da quel quid di sicurezza in più che ti dà l'ip fisso, decurtato dal rischio che comporta avere un mitm a fornirtelo, rimane un pò poco
            Anche se sicuramente ci saranno dei limiti
            aspettiamo che escano i detttagli sul
            servizio e poi ne riparliamo!!!!Volentieri, ma vorrei che fosse chiaro che io non ho nulla contro mclink e non è che voglio parlarne per forza male. Semplicemente esprimo i miei pareri
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            *** Parte 2 di 8

            Tu invece

            pignoleggi solo per il gusto di farlo =

            polemica gratuita

            a sbeffeggiare la gente
            dando dell'incompetente alle persone ai
            cominciato tu mio caroGuarda, a questo punto l'unica risposta sensata che ti posso dare è dirti come è stato il flusso da parte mia. Tutto è andato regolare (mi sembra) fino a questo posthttp://punto-informatico.it/forum/pol.asp?mid=468816dove improvvisamente te ne esci con un "ma tu che sei tarato". Da li io ho cambiato il mio atteggiamento ed ho cominciato a scrivere con stile.... sarcastico, dandoti anche il "warning" finale ("tarato lo dici a tuo fratello"). Dì pure che sono permaloso, però.... via.... "te che sei tarato"..... non è un bel modo di interloquire con gli sconosciuti non trovi? senza polemica eh! sono d'accordo con te nel volerla buttare alle spalle. Dico solo per spiegare. Se ci fai caso OGNI mio post successivo è sempre iniziato con tono normale, per poi diventare sempre più "sarcastico" via via che scrivevo il messaggio. Questo perchè ogni volta trovavo provocazioni tipo "te non capisci.... te non ci arrivi...." ed inoltre non mi rispondi (e te lo dico chiaramente anche nei post) oppure mi rispondi con le stesse obiezioni della volta precedente, alle quali io posso solo ri-rispondere con le mie provocazioni e le mie stesse obiezioni della volta precedente. Poi arriviamo a quando tu posti il mex "hai ragione tu..... sei troppo bravo per me.....", al quale rispondo spiegandoti schiettamente, quasi da.... "amico", il mio punto di vista (o quanto meno quella era la mia intenzione che mi pare ben rispecchiata dalle parole scritte). Tu allora rispondi di nuovo, con tono che mi era parso normale e con finalmente molte info in più sul topic (scrivi addirittura 3 post, anche se uno era sul discorso lan). Io apprezzo e te lo faccio presente in quel mio mex fatto solo per affrontare gli argomenti non tecnici, per i quali avevo tempo a sufficienza per risponderti. E semplicemente colgo l'occasione per anticiparti anche che, a causa di motivi di lavoro, ti avrei risposto su tutto il resto entro il giorno successivo poichè per scriverti tutte le cose (sia sulle lan che sulle vpn) con massimo dettaglio avevo bisogno di molto più tempo che in quel momento non avevo. E la notte stessa (invece che il giorno successivo) mi metto a scriverti, finisco il primo post, mi collego un attimo perchè volevo ricopiare il tuo secondo mex (scrivo sempre off-line) e trovo una tua risposta al mio mex "veloce" dove accusi attacchi insinui di tutto e di più, e dove addirittura, invece di riconoscere la mia onestà nell'ammettere una svista (i 150 euro all'anno invece che al mese) ci fai leva per tornare polemico come prima più di prima!!!! e poi anche le insinuazioni sul cosa dovevo fare davvero quel giorno, se dovevo prendere tempo ecc...!! e io ero li alle 4 di notte (comunque non avevo sonno) come un imbecille da 2 ore a scriverti (scrivi, taglia, spiega meglio, entra nei 7000 caratteri, allora ritaglia e riformula, riscrivi.....) proprio quel sacco di cose che mi avevi chiesto e sul quale insinuavi di tutto e di più!!!! ti giuro che non credevo ai miei occhiali. Ero convinto che il mio video ad alta presistenza mi stesse facendo vedere un tuo messaggio offensivo di qualche giorno prima. Da li a scrivere i due messaggi icsati, credimi, è stato un attimo. Da quel momento non me ne è fregato assolutamente un cazzo di niente.... non avevo (e non ho) certo tempo da perdere in stupide sfide personali. Mi interessava solo che i concetti che avevo espresso fino a li fossero ben chiari a chiunque (= pubblico profano) e non storpiabili da nessuno in nessun modo. Ecco come è andata per me. Con questa breve descrizione credo di aver risposto in toto a tutti i tuoi "commenti" relativi a questa storia. Se ci vuoi credere, bene, sennò non ha importanza. Basta che non mi fai perdere tempo. Voglio pensare che anche tu, come dici, non abbia tempo da perdere in stronzate infantili. Se poi vuoi rispondere anche su questo argomento, non c'è problema

            No! non "punto", semmai "virgola" :D :
            "...

            crea un dominio di collisione VIRGOLA a

            patto che quel segmento di rete in layer-1

            non sia a sua volta uno switch,

            Ed allora non è più layer 1 mi spieghi come
            uno switch può diventare di
            livello1Niente da dire: volevo fare una puntualizzazione solo per fare polemica. Peccato che è venuta malissimo e li per li non me ne sono accorto minimamente :( Comunque questa frase specifica voleva dire che ci sono due porte di uno switch (una per ogni switch) che unite dal cavo formano un (piccolo) segmento di layer-1. Si, in effetti non mi sono espresso un granchè bene :(
            Dimmi tecnicamente cosa vuole dire:" un
            dominio di BROADCASTdi layer-2".... ... da qui fino alla fine del discorso poi, altro che ?non mi sono espresso un granchè bene?: ho scritto proprio un troiaio senza capo nè coda. So che avevo in mente proprio le vlan ma non so come mai il pensiero non si è tradotto in caratteri digitati sulla tastiera. Che ci vuoi fare: quando provo a essere volutamente cattivo inciampo sempre da solo....

            Per me "sniff" non è un superinsieme di

            MITM, per te si. Io distinguo nettamente
            le

            due cose, tu no.

            Ma come..... ho precisato che sniffare vuol
            dire solo catturare pacchetti e che MITM è
            una tecnoica per farlo e dici che io non
            distinguo scusaRiformulo: tu dici che MITM è uno dei modi per fare sniffing. Io invece dico che sia MITM che sniffing sono due modi di fare "traffic capture". Cioè mentre io dico che MITM e sniffing sono "fratelli" (ieri ho usato il termine OOP "sibling") di uno stesso "padre" (traffic capture), tu invece dici che MITM è "figlio" di sniffing. Non è un'analogia adatta ma non riesco a trovarne altre per spiegarmi meglio. L'unica sarebbe parlarti in gergo OOP (programmazione a oggetti) ma mi hai detto che non è il tuo campo..... mi spiace ma non riesco proprio a spiegartelo meglio :( Potrei dire che mentre per te MITM sta a sniffing come TCP sta a layer-4, per me invece MITM sta a sniffing come TCP sta UDP. Ecco, forse così ho trovato il modo giusto per spiegarmiE quindi mentre tu dici "sniffare" sia quando usi tcpdump sia quando usi ettercap per l'avvelenamento arp, io invece dico "sniffare" solo quando uso tcpdump e dico "MITM" quando uso ettercap (vabè, ancora quello non l'ho usato, ma insomma, per farmi capire....) e a parer mio la differenza è sostanziale, e di parecchio.... e per questo uso due termini distintiDa questo credo tu possa capire la mia ?famosa? frase ?con un solo host collegato ad ogni porta di uno switch non si sniffa un cazzo? nonchè la frase ?finchè egli (tu) mi parlava di mitm in switched lan non avevo nulla da eccepire ma quando mi parla di sniffare a destra e a manca le cose cambiano....?
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE:2 di 8........dove improvvisamente te ne esci con un "ma
            tu che sei tarato". Da li io ho cambiato il
            mio atteggiamento ed ho cominciato a
            scrivere con stile.... Oltre che pignolo anche permaloso be dalle parti mie la parola tarato non è vista come la vedi tu mi dispiace tanto e cmq vorrei ricordarti che ad essere bannato sei stato tu e non io....ricordi?Non può riportarmi l'esempio di "tarato" scusa ma è ridicolo!!
            senza polemica eh!
            sono d'accordo con te nel volerla buttare
            alle spalle. Su questo sono pienamente daccordo ma ammetti di essertela presa per troppo poco!
            Dico solo per spiegare. ............Chiamalo solo per spiegare!! qui ho tagliato tutto altrimenti replicare sul racconto delle puntate precedenti sarebbe stato un bagno di sangue quindi passo oltre, chi vuole si rilegge tutti i msg! :D


            No! non "punto", semmai "virgola" :D :

            "...


            crea un dominio di collisione VIRGOLA a


            patto che quel segmento di rete in
            layer-1


            non sia a sua volta uno switch,



            Ed allora non è più layer 1 mi spieghi
            come

            uno switch può diventare di

            livello1

            Niente da dire: volevo fare una
            puntualizzazione solo per fare polemica.
            Peccato che è venuta malissimo e li per li
            non me ne sono accorto minimamente :(Mannaggi speravo dicessi....mi sono sbagliato, ma niente che peccato cmq è vero è venuta malissimo!!
            Comunque questa frase specifica voleva dire
            che ci sono due porte di uno switch (una per
            ogni switch) che unite dal cavo formano un
            (piccolo) segmento di layer-1. Si, in
            effetti non mi sono espresso un granchè bene
            :(Perdonami ma anche qui non ci siamo....se parli di collegare due switch per aumentarne le capacità di connessione è una cosa...quindi collego due swi...da 12 per averne uno da 24..e cmq il collegamento tra i due e cmq di livello 2...se invece e credo che a questo ti riferivi attacchi due switch e alle due porte configuri il protocollo VPT virtual tranking protocol,non fai altro che permettere su quelle porte di far transitare tra uno swi...ed un'altro le Vlan configurate sui due swi....punto...e cmq rimane sempre livello 2....ti ripeto l'unico caso di liv.. 1 x uno swi...e quello di mettere una porta in modalità monitor per ricevere tutto in traffico e mettersi in ascolto, per fare debug punto.....scusa ma non credo che tu ti sia spiegato male ma forse certe cose le conosci poco in fondo l'informatica è un mondo infinito non si può sapere tutto!

            Dimmi tecnicamente cosa vuole dire:" un

            dominio di BROADCASTdi layer-2"....

            ... da qui fino alla fine del discorso poi,
            altro che ?non mi sono espresso un granchè
            bene?: ho scritto proprio un troiaio senza
            capo nè coda.Direi proprio di si!!!
            So che avevo in mente proprio
            le vlan ma non so come mai il pensiero non
            si è tradotto in caratteri digitati sulla
            tastiera. Che ci vuoi fare: quando provo a
            essere volutamente cattivo inciampo sempre
            da solo....Non ti preoccupare un conto è conoscere i concetti un conto è farli in pratica se tu le vlan non le hai mai configurate ti capisco perfettamente....io dal canto mio non solo le ho configurate ma ritengo che la segmentazione di livello 2 con le vlan sia una cosa bellissima!!!

            Ma come..... ho precisato che sniffare
            vuol

            dire solo catturare pacchetti e che MITM è

            una tecnoica per farlo e dici che io non

            distinguo scusa

            Riformulo:
            tu dici che MITM è uno dei modi
            per fare sniffing. Io invece dico che sia
            MITM che sniffing sono due modi di fare
            "traffic capture".e no mio caro....io potrei fare MITM senza catturare un bel niente..che fai prima mi riprendi dopo che io avevo anche precisato ed ero stato molto chiaro e poi mi dici una cosa simile.....lo sniffing per sua natura, deve per forsa catturare qualcosa il MITM no! il MITM indica il mettersi in mezzo tra due o più end point dopo quello che vogliamo fare è tutto relativo e quindi non necessariamente sniffing!!!
            Cioè mentre io dico che
            MITM e sniffing sono "fratelli" Assolutamente no!!!!!!!...................( Potrei dire che mentre
            per te MITM sta a sniffing come TCP sta a
            layer-4, per me invece MITM sta a sniffing
            come TCP sta UDP. Ecco, forse così ho
            trovato il modo giusto per spiegarmiScusa ma proprio non ci siamo e non capisco perchè la ricerca di tutte queste analogie...MITM è una cosa, da me e da te in modi diversi descritta ed indica lo stare in mezzo lo sniffing è lo sniffing chè può avvenire stando in mezzo MITM oppure no!se io mi metto in ascolto sulla mia eth0 con tcpdump non faccio MITM eppure catturo pacchetti se lo faccio stando collegato ad un hub non mi metto in mezzo eppure catturo pacchetti e faccio sniffing!!
            E quindi mentre tu dici "sniffare" sia
            quando usi tcpdump sia quando usi ettercap
            per l'avvelenamento arp, io invece dico
            "sniffare" solo quando uso tcpdump e dico
            "MITM" quando uso ettercapVa be non ci capiamo tcpdump sniffa ettercap sniffa tramite il MITM più chiaro di così si muore!!
            Da questo credo tu possa capire la mia
            ?famosa? frase ?con un solo host
            collegato ad ogni porta di uno switch non si
            sniffa un cazzo? No mi dispiace ma non lo capita...visto che ti ripeto che si può fare...ripeto, la tua frase era sensa senzo prima e lo è ancora di più adesso soprattutto viste le tue grosse lacune su lan switch domini di colli... di broad... ecc ecc te lo dico in maniera del tutto cordiale inquanto non vedo nessun problema....nessuno è perfetto e non si finisce mai di imparare!!mi dispiace ma su questo punto proprio non ti seguo...........
            nonchè la frase
            ?finchè egli (tu) mi parlava di
            mitm in switched lan non avevo nulla da
            eccepire ma quando mi parla di sniffare a
            destra e a manca le cose cambiano....?vale quello detto sopra...........
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            Oltre che pignolo anche permaloso be dalle
            parti mie la parola tarato non è vista come
            la vedi tu mi dispiace tantoBoh, vabè, voglio crederti....
            e cmq vorrei
            ricordarti che ad essere bannato sei stato
            tu e non io....ricordi?Veramente l'ho ricordato io (icsato = bannato), talmente tanto che l'ho pure spiegato dettagliatamente. Ma questo cosa c'entra?
            Non può riportarmi l'esempio di "tarato"Non ti ho portato un esempio, ti ho fatto la cronistoria su come sono andate le cose dal mio punto di vista. Se questo per te è ridicolo, bene, chiudiamo qui il discorso e passiamo oltre

            senza polemica eh!

            sono d'accordo con te nel volerla buttare

            alle spalle

            Su questo sono pienamente daccordo ma
            ammetti di essertela presa per troppo poco!Può anche darsi, ma vedi non siamo amici, tutt'altro, siamo perfetti sconosciuti che tra l'altro neanche si vedono in faccia per capire se l'altro sta scherzando oppure no. Detto da un amico non l'avrei nemmeno sentito, ma detto da uno sconosciuto con il quale stavo parlando in maniera del tutto normale non è tollerabile. Sono certo che te (chiunque) avresti fatto la stessa cosa, anzi te hai fatto anche peggio perchè ti sei preso la libertà di dare del tarato ad uno che non conosci senza nessun motivo dato che l'unica cosa che avevo fatto fino a quel momento era stato solo di dissentire con te. Fai così con tutti? ti auguro di no altrimenti fai benissimo a scrivere poco perchè ogni volta rischi solo di scatenare flame, a prescindere dalla pesantezza o meno della parola "tarato". Anche se fosse un'offesa "amichevole" come è "o bischero" a Firenze, NON è comunque il modo di rapportarsi con gli sconosciuti, specialmente in modo scritto. Non ti puoi concedere queste confidenze. Io te l'ho detto, poi fai te

            Niente da dire: volevo fare una

            puntualizzazione solo per fare polemica.

            Peccato che è venuta malissimo e li per li

            non me ne sono accorto minimamente

            Mannaggi speravo dicessi....mi sono
            sbagliato, ma niente che peccatoE non è forse esattamente quello che ho detto? anzi, sono andato ben oltre, definendo il mio goffo tentativo di fare il maligno un troiaio assoluto

            Comunque questa frase specifica voleva

            dire che ci sono due porte di uno switch (una

            per ogni switch) che unite dal cavo formano un

            (piccolo) segmento di layer-1. Si, in

            effetti non mi sono espresso un granchè bene

            Perdonami ma anche qui non ci siamo....se
            parli di collegare due switch per aumentarne
            le capacità di connessione è una
            cosa...quindi collego due swi...da 12 per
            averne uno da 24..e cmq il collegamento tra
            i due e cmq di livello 2Indovina: non sono d'accordo! :D i due switch presi come un tutt'uno insieme a tutti gli host ed eventuali hub connessi certamente sono sempre dominio di broadcast, ma le due singole porte dei due switch (una per ogni switch) unite dal cavetto sono tra loro un semplice dominio di collisione

            Riformulo:

            tu dici che MITM è uno dei modi

            per fare sniffing. Io invece dico che sia

            MITM che sniffing sono due modi di fare

            "traffic capture"

            e no mio caro....io potrei fare MITM senza
            catturare un bel niente..Come no! catturi del traffico che sarebbe destinato ad altri! Forse il verbo "catturare" non è perfetto, forse "intercettare" (che avevo usato all'inizio, molti post fa) rende meglio l'idea. "catturare" è venuto fuori solo come traduzione diretta da "packet capture" che a sua volta è venuto fuori da pcap che è la famosa libreria C che si usa per fare questo tipo di programmi. Comunque guarda, stiamo entrando in un vortice infinito fatto solo di sfumature sul significato delle parole. Lasciamo perdere
            Scusa ma proprio non ci siamoGià
            e non capisco
            perchè la ricerca di tutte queste
            analogiePer cercare di farti capire il mio punto di vista

            E quindi mentre tu dici "sniffare" sia

            quando usi tcpdump sia quando usi ettercap

            per l'avvelenamento arp, io invece dico

            "sniffare" solo quando uso tcpdump e dico

            "MITM" quando uso ettercap

            Va be non ci capiamo tcpdump sniffa ettercap
            sniffa tramite il MITM più chiaro di così si
            muore!!E' chiarissimo, non è quello il problema. Il problema è che sto cercando di spiegarti il MIO modo di usare gli stessi termini. Vediamo se riesco a sfruttare questa tua frase per farti capire il concetto. Attento eh, la riscrivo modificandola quel poco che basta per metterci il mio significato:"Va be non ci capiamo tcpdump intercetta traffico sniffando ettercap intercetta traffico tramite il MITM più chiaro di così si muore!!"

            Da questo credo tu possa capire la mia

            famosa frase con un solo host

            collegato ad ogni porta di uno switch non

            si sniffa un cazzo

            ripeto, la tua
            frase era sensa senzo prima e lo è ancora di
            più adesso soprattutto viste le tue grosse
            lacune su lan switch domini di colli... di
            broad... ecc eccAnch'io te lo dico in maniera del tutto cordiale. Ho capito perfettamente quale senso dài tu alle parole "sniff" e "mitm", purtroppo non sono riuscito a trasmetterti il mio senso. Le ho provate di tutte, mi dispiace, di più non so che fare
            nessuno è perfetto e non si
            finisce mai di imparare!!Vero, e aggiungo anche ?okkio a non rimanerci male quando si scopre che laddove si credeva di insegnare invece c'era da imparare?
            mi dispiace ma su questo punto proprio non
            ti seguo...........Vabè, pazienza, era solo un dettaglio di termini per spiegare il motivo di quelle mie frasi che tu avevi.... male interpretato: tu dicendo "sniff" sia per tcpdump (che può lavorare solo in dominio di collisione) che per ettercap (che invece può lavorare anche in dominio di broadcast) rimani ambiguo. Io invece dicendo "sniff" solo per tcpdump e "mitm" solo per ettercap non sono ambiguo. Tu per non essere ambiguo devi precisare che ettercap "sniffa tramite MITM", io invece sono già preciso usando il termine "sniff" solo per tcpdump e "mitm" solo per ettercap. Comunque tu ritieni che il tuo modo sia più corretto del mio? va bene, però allora, visto che tu dici che ?ettercap sniffa tramite MITM?, mi dovresti dire anche come dici per tcpdump. ?Tcpdump sniffa tramite....???? tramite cosa?? tramite ?settando la device in modo promiscuo??? è forse l'unico modo per non essere ambiguo con quello che fa ettercap. A me continua a piacermi molto più il mio modo
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            Sono molto contento delle risposte e prometto di rispondere al più presto anche perchè ormai mi sembra che rimangano pochi dubbi molte certezze e soprattutto che certe cose le vediamo diversamente me qui dico che è giusto e normale!!Cmq vista l'ora e viste tutte le tue risposte credo che alla fine mi prenderai sulla stanchezza.........a domani sera se ci riesco, domani vado a configurare una connessione ad internet + lan + dmz praticamente vado a giocare con i miei gingilli........
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...

            Sono molto contento delle risposteMi fa piacere :)
            e prometto di rispondere al più prestoQuando vuoi, non ho fretta. Mica ci rincorre nessuno! ;) tengo questo 3d sul forum box quindi appena rispondi, anche fra un mese, me ne accorgo subito
            Cmq vista l'ora e viste tutte le tue
            risposte credo che alla fine mi prenderai
            sulla stanchezza...hehe, a chi lo dici!! :D non penserai mica che sia stata una passeggiata scrivere 45000+ caratteri tutti di fila (solo gli ultimi 8 post....) :
            domani vado a configurare una
            connessione ad internet + lan + dmz
            praticamente vado a giocare con i miei
            gingilli........Auguri e... buon divertimento! :)
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            **** NOTA: non è importante l'ordine con cui leggi i messaggi

            ho l'impressione che

            quando leggi tu scarti molte frasi che

            scrivo

            Non è che scarto è che alla fine anche tu
            nell'ip statico di mclink cominci a notare
            vantaggi però non riesci a dirlo maiVeramente non è vero che comincio a notare vantaggi. Con la fantasia anch'io ne posso immaginare 10000, ma il fatto è che NELLA REALTA' attuale in cui ci troviamo, di questi 10000 FORSE ce n'è solo 1 e dico UNO davvero utile, e questo UNICO vantaggio è per la raggiungibilità H323, cosa che comunque è ancora ben lungi dal divenire realtà di tutti i giorni
            cerchi sempre l'alternativa anche quando non
            dovresti1) perchè non dovrei? non volevi metterla sulla chiacchierata spontanea e sul confronto di idee? tu che insegni dovresti ben sapere cosa è il "confronto in stile accademico"2) io ti ho descritto una soluzione come la vorrei implementare io per un mio cliente con le SUE esigenze. E poi ...3) ... non dimenticare che la "mia" soluzione è tutto sommato la stessa che usano praticamente tutti nel mondo h323: 1 server (e quindi un IP pubblico fisso = un FQDN) che gestisce (commuta le chiamate entranti verso e le chiamate uscenti da) tanti utenti "interni" al server (locali o remoti, fissi o mobili che siano)
            capisco anche che dopo
            tutto quello che hai detto non pretendo
            tanto!!Non mi conosci. Ma soprattutto mi sembra che tu non riconosca come già in due-tre occasioni specifiche io abbia ammesso mie sviste e tue ragioni

            Se l'ip glielo fornisco io certamente si

            Nei suoi confronti io farei lo stesso

            "mestiere" che fa il servizio di mclink,

            senza connettività

            Si ma tu no sei mclink ... se permetti la differenza è
            notevole noo??Si, ma non è detto che sia a favore di mclink. Se dici a cosa ti riferisci posso darti il mio parere preciso. Comunque a seconda dei casi io consiglio il cliente di prendersi il proprio serverino in casa con la propria linea che se certo non è paragonabile ai gigabit di cui sicuramente dispone mclink, almeno quella banda è tutta sua solo sua e se la gestisce come vuole

            Per me quest sono gli ISP in contrapposizione ad IAP

            che è Internet Access Provider che è colui che

            ti fornisce la connettività.

            La tua pignoleria emerge sempre la tua
            distinzione è vera e non..... con
            il tempo le cose sono cambiate oggi IAP di
            fatto non esiste più e per ISP si definisce
            sia chi da servizzi che chi da
            connettivitàForse. Ma puoi notare come la mia pignoleria emerga solo quando altrimenti avrebbe potuto esserci confusione, e non certo per fare il polemico, mentre mi sembra che emerga di nuovo la tua vena polemica nel voler interpretare il mio sforzo di spiegare cosa intenda io per IAP e ISP come un presunto tentativo da parte mia di voler dimostrare chissà cosa a chissà chi. Si era detto di lasciarci alle spalle queste cose o sbaglio?
            ....dubbio=(anzi
            sempre)=certezza=pignioleria
            ingiustificata!!!1) E io che ne so se anche tu dài il medesimo significato che dò io alle stesse parole, finchè non te lo chiedo? ho precisato per chiarire = pignoleria PER NIENTE ingiustificata2) ho detto che IAP è spesso (anzi sempre) ANCHE un ISP. Ergo: Telecom, Wind, Mclink,.... sono IAP + ISP, che offrono posta ecc... in qualità di ISP e offrono connettività in qualità di IAP mentre Google, Lycos, Dada e milioni altri sono ISP e basta
            Definire poco furbe le scelte commerciali di
            un ISP che nell'86 è stato il secondo ad
            offrire internet ....alle volti ti senti un pochino
            presuntuoso o no?Onestamente no! a me non importa di chi sia a dire cosa! Io ho le mie opinioni e io se fossi mclink, ip pubblici preziosi (fin tanto che non arriva 'sto benedetto ipv6) non li sprecherei per degli utenti remoti. Che, non posso nemmeno avere una mia opinione?

            1) migliore perchè è più sicura (non c'è

            mclink in mezzo)

            OK!!! ed allora non ti fidare mai di
            nessunoInfatti

            2) migliore perchè è personale. Cioè è un

            pò come la differenza che c'è tra linux e

            windows : linux è mio (tuo, suo, di tutti,

            di chi lo prende), .......................

            Per me o per te questo discorso può avere un
            senso, per l'utente finale no e cmq
            ricordati che come tu non ti fidi dell'ISP
            che fa da intermediario
            io utente finale perchè dovrei fidarmi di te?Infatti è per questo che io il server di vpn lo metto in casa del cliente. Lo metto in casa mia solo se il cliente preferisce così (e comunque non è casa mia perchè io personalmente non sono ISP. Semmai gli suggerisco un mio ISP di fiducia ma il concetto è lo stesso)
            il tuo discorso a un vero senso
            soltanto se lo fai per te stesso altrimenti
            è un discorso che lascia il tempo che trova
            e cmq se io fossi un utente finale mi
            fiderei molto di più di un isp di un certo
            calibro che non può sputtanarsi che
            dell'informatico più bravo del mondo che non
            conoscoQuesto è relativo. Molti preferiscono avere una persona che sia sempre raggiungibile in (quasi) qualsiasi momento e che se necessario prende e parte per andare dal cliente o che comunque spesso è in grado di garantire una rapidità di intervento che grandi aziende garantiscono solo a parole e di conseguenza si fidano di questa persona perchè hanno imparato a conoscerla di... persona

            hehe, no, io sono un "artigiano"!! .... [cut]

            non è che hai proprio risposto .... [cut]Veramente si. Quella è la mia risposta alla tua argomentazione sugli standard collaudati. Non sto dicendo che gli standard collaudati siano sbagliati. Sto dicendo che io sono un "artigiano dell'informatica", il mio lavoro è fare cose su misura, come si fa per le camicie. A me non capita di installare e compilare 20-30 kernel al giorno perchè 20-30 macchine da installare non mi capitano nemmeno in 1 anno. Quindi la tua eccezione per me è (quasi) la regola. E comunque per quanto riguarda le vpn il tempo è davvero quello che ti scrissi: 30-60 minuti per patchare e compilare il kernel, 30 minuti per configurare freeswan + openssl per fargli fare da CA per rilasciare i certificati da installare sui client, 15 minuti per ogni client oppure 1 minuto se fatto tramite installer automatico==================================Modificato dall'autore il 17/11/2003 0.52.47
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            **************************************************** Parte 4 di 5***************************************************

            mi sbaglierò ma io dico di no. Comunque

            ovviamente lascio a voi la decisione

            Ecco infatti decidete voi che è meglio!!!Perfetto! almeno su questo siamo d'accordo 8)

            Niente paura, avete un qualificato

            docente di reti pronto a darvi tutte le

            spiegazioni che volete

            Ovvio te come docente saresti una frana!!!!Può darsi benissimo, difatti non è il mio lavoro, nè una mia aspirazione. Ma anche te con il tuo italiano.... per favore! mi auguro che le tue lezioni siano esclusivamente orali!
            indirizzi network-layer passano ma gli indirizzi link-layer non
            si possono sentire indirizzi fisici oppure MAC adress puntoe virgola! t'ho già ripreso su questo discorso
            cmq prima mi è sembrato di capire che per link layer
            intendessi livello 3 forse ho capito male quando hai detto:"
            si era soffermato sui possibili man-in-the-middle a livello
            link-layer,non ho avuto proprio niente da eccepire, anzi"
            Qui credo parlassi di livello 3 livello "Network" o no?Evidentemente ti sfugge la differenza tra mitm di layer-2 e mitm di layer-3. "La soluzione a questo problema è talmente banale che viene lasciato come compito a casa" :D Domani te lo correggo!
            In due parole lo sniffing non è altro che la cattura del traffico
            puntoE a-ri-virgola. Te che ti piace l'inglese dovresti essere capace di trovare l'espressione giusta per "cattura del traffico" o (per come viene detto da una famosa libreria in C atta a fare ciò) "cattura dei pacchetti". Dài dài, t'ho già aiutato troppo! Conosci la programmazione a oggetti? ecco, l'espressione "cattura di pacchetti" è la superclasse mentre "sniffing" e "mitm" sono due sottoclassi sibling di quella superclasse

            E con

            un solo host collegato ad ogni porta di uno

            switch, ciò non è possibile.

            Ma come!!! sopra dici che l'hai fatto e ora non è possibile
            qualcosa non quadra!!!Si, il tuo italiano non quadra. Ma so bene che hai capito, così come hanno capito i profani ai quali era diretta quella spiegazione, percui è inutile che io stia a rispiegare l'evidenza

            si era soffermato

            sui possibili man-in-the-middle a livello

            link-layer

            Link-Layer ma cosa continui a blaterare nel modello OSI si
            dice livello "network"Vedi sopra

            Sono esageratamente pignolo?

            Forse. Ma visto che il nostro docente

            "gioca" sul gergo tecnico inventandosi

            interpretazioni lascive dei termini

            Interpretazioni cosa? ma se non ne hai preso uno di
            interpretazione e di termine ma sei patetico!!!Pfui! polemica spicciola
            Anche se volevi spiegare a chi non ha le competenze non ci
            sei proprio riuscito ti inventi anche i terminiSi si come no

            Orbene, ancora una volta il nostro docente

            parla in teoria, dimenticandosi della

            realtà

            La realtà la conosco molto bene spostandomi ed avendo a
            che fare con tantissime realtàForse realtà scolastiche, non certo aziendali, ma tu non lo ammetterai scommetto
            e cmq ricorda, la media si sta
            alzando, ormai nelle scuole gli alunni ne sanno più dei
            professoriPiù di "certi" professori non ne dubito :D (suvvia, non mi fare questi assist, che io poi non resisto a concludere a rete!! :D )

            nella realtà un MITM a livello

            link in una switched LAN presuppone che

            l'autore dell'attacco sappia già quali siano

            gli host interessanti e per che cosa (cioè

            per quale traffico) lo siano

            Perchè nelle tue lan il server di file sharingFile-sharing? cioè il P2P? nelle LAN aziendali? o bella! :o penso che tu intendessi dire il comune "file-server" (Samba)
            oppure il tuo gateway lo tieni così ben nascostoCerto! basta che lo conosca il server DHCP! (ah già, ma tu lo "avveleni" con ettercap. Aspetta aspetta che arrivo anche li....)
            ipconfig oppure ifconfig per sapere ip e gateway è troppo
            complessoEh, certo, come no. Winipcfg con tutti i suoi numerini sparsi qua e la e suddivisi per "PPP Adapter #1", "PPP Adapter #2", "NIC card", "ecc...." è comprensibilissimo al solito impiegatuccio con le solite MINIME conoscenze informatiche... Ipconfig poi, che non è nemmeno grafico.... Per non parlare di ifconfig!! qualunque impiegato con conoscenze MINIME è capacissimo di distinguere i numeri giusti tra tutti i "TX, RX, carrier, dropped, ....". E già che ci siamo perchè non "ip -s addr" allora? che sei razzista?
            Non ho ben capito ma nelle tue lan ogni host comunica solo
            con se stesso oppure la lan ha uno scopo un pò più
            corposo!!!!!!E certo!!! che ancora non l'hai capito? io sono un pezzo avanti! ogni mia lan è un solo host, così non ho più problemi di nessun genere, tsè :D
            Comunicare con un host e poi fare arp -a o -e non è poi cosi
            complesso per saper un ip ho detto un minimo non un
            imbranato!!!aahhhh passiamo dritti dritti niente popò di meno che ad arp -a o -e!!!!! e ribadisci che hai detto "minimo" e non "imbranato"!!!! ma siiiiii!!! me lo vedo l'impiegato che va al # e scrive "arp -a" volendolo scrivere e capendone l'output!!!! Infatti egli sa benissimo che nascosto da qualche parte su ogni scheda o sotto ad ogni router c'è scritto il MAC address che può confrontare con l'out di arp -a per sapere qual'è l'ip e quindi catturarne il traffico (ops! tu dici "sniffarlo"! pardon!). Cerrrrto, un "impiegato" non un "tecnico", e con conoscenze "minime" non un "imbranato", cerrrrto

            Certo, si può decidere di

            "avvelenare" (come si dice in gergo)

            Qui l'inglese fa più scena "Poisoning"Ah! la nostra beneamata lingua! tradita! per così poco! :'(
            Le possibili contro misure che tu sicuramente, visto il tuo
            alto tasso tecnico conosci sono.......

            Arpwatch lo riconosce ma non lo può evitare
            Ettercap lo riconosce ma non lo può evitareE come farebbero? probabilmente con il metodo che descrivo fra poco. Non certo semplicemente notando tanti ip associati ad un solo mac address, primo perchè potrebbe essere un legittimissimo proxy-arp, secondo perchè un programma "avvelenatore" potrebbe prendersi la premura di iniettare sempre un source mac diverso e quindi ogni IP sarebbe comunque associato a mac differenti pur essendo avvelenati. L'unico vero modo è cercare di fare qualche euristica analizzando il traffico oppure confrontare la cache di tutti gli host per vedere se ci siano 2 ip associati allo stesso mac, ma anche questo verrebbe invalidato da un avvelenatore che modificasse ogni volta il source mac address. In breve: Arpwatch e Ettercap non solo non lo possono evitare ma neanche lo possono riconoscere
            IDS lo rilevano ma non lo evitanoIDS non credo proprio. NIDS su altri host se li programmi forse....
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE: Parte 4 di 5

            cmq prima mi è sembrato di capire che per
            link layer

            intendessi livello 3 forse ho capito male
            quando hai detto:"

            si era soffermato sui possibili
            man-in-the-middle a livello

            link-layer,non ho avuto proprio niente da
            eccepire, anzi"

            Qui credo parlassi di livello 3 livello
            "Network" o no?
            Evidentemente ti sfugge la differenza tra
            mitm di layer-2 e mitm di layer-3. "La
            soluzione a questo problema è talmente
            banale che viene lasciato come compito a
            casa" :D Domani te lo correggo!Come fai spesso hai glissato e io ti ripeto....cosa vuoi dire con " si era soffermato sui possibiliman-in-the-middle a livello link-layer,non ho avuto proprio niente da eccepire, anzi" .... io ho parlato di MINT ma non ho parlato di livelli...mentre tu con quella frase cosa mai volevi intendere? io l'ho interpretata che fin quando lo sniffing avveniva a livello 3 tutto era fattibile noo!!! non volevi dire questo? se così fosse ti sei sbagliato perche il livello data link layer è il 2°

            In due parole lo sniffing non è altro che
            la cattura del traffico

            punto
            E a-ri-virgola. Te che ti piace l'inglese
            dovresti essere capace di trovare
            l'espressione giusta per "cattura del
            traffico" o (per come viene detto da una
            famosa libreria in C atta a fare ciò)
            "cattura dei pacchetti". Dài dài, t'ho già
            aiutato troppo! Conosci la programmazione a
            oggetti? Non è il mio campo ma C non è ad oggetti C++ è ad oggetti noo?Le librerie atte a fare questo sono le librerie Pcap se non erro ma ti ripeto la programmazione non è il mio campo.........
            ecco, l'espressione "cattura di
            pacchetti" è la superclasse mentre
            "sniffing" e "mitm" sono due sottoclassi
            sibling di quella superclasseBravo e con questo?
            Si, il tuo italiano non quadra. Ma so bene
            che hai capito, così come hanno capito i
            profani ai quali era diretta quella
            spiegazione, percui è inutile che io stia a
            rispiegare l'evidenzameglio per tutti!!!! :))

            Interpretazioni cosa? ma se non ne hai
            preso uno di

            interpretazione e di termine ma sei
            patetico!!!

            Pfui! polemica spicciolaInsomma!!!


            Orbene, ancora una volta il nostro
            docente


            parla in teoria, dimenticandosi della


            realtà

            La realtà la conosco molto bene
            spostandomi ed avendo a

            che fare con tantissime realtà
            Forse realtà scolastiche, non certo
            aziendali, ma tu non lo ammetterai scommettoChe ti devo dire non è così che faccio mi ammazzo!

            e cmq ricorda, la media si sta

            alzando, ormai nelle scuole gli alunni ne
            sanno più dei

            professori
            Più di "certi" professori non ne dubito :DScontata la battuta sei pure poco fantasioso
            (suvvia, non mi fare questi assist, che io
            poi non resisto a concludere a rete!! :D )Lo so Lo so fai bene non ti dico che non l'avrei fatto anche iosarei ipocrita ma cmq il discorso vale!!


            nella realtà un MITM a livello


            link in una switched LAN presuppone che


            l'autore dell'attacco sappia già quali
            siano


            gli host interessanti e per che cosa
            (cioè


            per quale traffico) lo siano

            Perchè nelle tue lan il server di file
            sharing
            File-sharing? cioè il P2P? nelle LAN
            aziendali? o bella! :o penso che tu
            intendessi dire il comune "file-server"
            (Samba)Intendevo dire quello che ho detto che è la stessa cosa che hai detto anche tu se poi negli anni il P2P si è rubato questo termine non è colpa mia!!!

            oppure il tuo gateway lo tieni così ben
            nascosto

            Certo! basta che lo conosca il server DHCP!
            (ah già, ma tu lo "avveleni" con ettercap.
            Aspetta aspetta che arrivo anche li....)Sto aspettando con ansia il tuo dhcp insicuro!!!!

            ipconfig oppure ifconfig per sapere ip e
            gateway è troppo

            complesso
            Eh, certo, come no. Winipcfg con tutti i
            suoi numerini sparsi qua e la e suddivisi
            per "PPP Adapter #1", "PPP Adapter #2", "NIC
            card", "ecc...." è comprensibilissimo..........Già ti ho risposto quando ti capiterà non parlerai più così!!

            Non ho ben capito ma nelle tue lan ogni
            host comunica solo

            con se stesso oppure la lan ha uno scopo
            un pò più

            corposo!!!!!!

            E certo!!! che ancora non l'hai capito? io
            sono un pezzo avanti! ogni mia lan è un solo
            host, così non ho più problemi di nessun
            genere, tsè :DQuindi hai microsegmentato il tutto certo quando si hanno i soldi si può fare tutto e cmq ti ripeto, mi sa tanto che la mia spiegazione sul MINT non l'hai letta bene ettercap lavora a livello di end point quindi lo switch può ben poco avvelena l'host!!!
            aahhhh passiamo dritti dritti niente popò di
            meno che ad arp -a o -e!!!!! e ribadisci che
            hai detto "minimo" Basta ormai qui sono stato chiaro!!!

            Le possibili contro misure che tu
            sicuramente, visto il tuo

            alto tasso tecnico conosci sono.......

            Arpwatch lo riconosce ma non lo può evitare

            Ettercap lo riconosce ma non lo può evitare
            E come farebbero? probabilmente con il
            metodo che descrivo fra poco. Non certo
            semplicemente notando tanti ip associati ad
            un solo mac address, primo perchè potrebbe
            essere un legittimissimo proxy-arp, secondo
            perchè un programma "avvelenatore" potrebbe
            prendersi la premura di iniettare sempre un
            source mac diverso e quindi ogni IP sarebbe
            comunque associato a mac differenti pur
            essendo avvelenati. L'unico vero modo è
            cercare di fare qualche euristica
            analizzando il traffico oppure confrontare
            la cache di tutti gli host per vedere se ci
            siano 2 ip associati allo stesso mac, ma
            anche questo verrebbe invalidato da un
            avvelenatore che modificasse ogni volta il
            source mac address. In breve: Arpwatch e
            Ettercap non solo non lo possono evitare ma
            neanche lo possono riconoscerestai dicendo veramente cose dell'altro mondo e si vede come no hai mai utilizzato questi tools almeno potevi però leggere un minimo..arpwa.....all'avvio si mappa tutta la rete creandosi una tabella di mac ed ip associati agli host quando nella rete avviene un tentativo di avvelenamento se ne accorge verificandolo nella tabella che si era creato all'inizio nulla di più facilenello stesso forum di ettercap dagli stessi autori viene indicato come strumento per identificare avvelenamenti e arrivi tu e dici che non è cosi ma chi sei rusty russel.........

            IDS lo rilevano ma non lo evitano
            IDS non credo proprio. NIDS su altri host se
            li programmi forse....Ma cosa altro dici, qui anche tu vedo che puntualizzi IDS NIDS...cmq visto che sei un pignolo gli NIDS se ne accorgono mi dirai che spesso lavorano solo sulle arp replay e non le arp request spoffate cmq il principio è quello di arpwa...
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            *********************************************************** Parte 3 di 5*********************************************************
            dimostra come alla fine scappi dal vero
            confronto tecnico e il continuare a dire su
            diversi punti "io avrei fatto
            diversamente...secondo me si poteva fare ecc
            ecc" ma poi non dire nulla è veramente
            deprimente lasciatelo direAllora predichi bene e razzoli piùissimo malissimo!! quando eri tu a fare così sulle vpn andava bene eh? comunque, eccoti accontentato
            io avrò fatto
            anche il super pignolo e preciso su molti
            punti ma ti vorrei ricordare come in
            precedenti msg mie affermazioni che erano
            cmq comprensibili venivano continuamente
            riprese da te e puntualizateriprese e puntualizzate perchè volevo ulteriori dettagli, che non hai mai (tuttora) dato, non certo per polemizzare gratuitamente. Volevo capire quali fossero questi utilizzi pratici ai quali io potevo non aver pensato. Volevo darti la possibilità di convincermi. Ma tu hai sempre fatto il finto tonto, esasperandomi. Si, si, ora dirai che tu l'hai detto, che se io non li vedo, boh che devi fare... La solita zuppa.... Già te lo dissi : le tue argomentazioni sono state inconsistenti e non mi hai convinto per niente. Sculo
            col tono del
            saccente che ha la verita in tascasolo perchè hai cominciato a farlo TU!! hai la memoria corta amico mio: chi ha cominciato a dare del "tarato" all'altro? Eh si che già 2 volte ho cercato di riportarti a più miti consigli ed a regolarizzare il nostro colloquio, e mi avevi pure dato l'impressione che tu l'avessi capito, poi sei esploso all'improvviso. Che, forse eri frustrato dal mio continuo incalzarti su un argomento sul quale non sei.... "serrato"?
            a quel
            punto mi hai costrettto a calarmi nel ruolo
            che cmq evito sempre in questi contestie fai bene a evitarlo! si trovano certi cialtroni in giro pronti solo a farti perdere tanto di quel tempo.... :p Per questo (ammettendo e non concedendo che tu NON sia uno di quelli) dovresti usare il nick (che dici di avere) : perchè così almeno impari a riconoscere eventuali altri nickkati con i quali sai di poterti confrontare civilmente e costruttivamente. Il che non vuol dire dimostrare che "io sono più bravo di te", vuol dire solo sfruttare in maniera intelligente "quella straordinaria risorsa che possono essere i forum di discussione" (già dissi questa frase)
            quello più tecnico dove per altro tu mi hai
            portatoEh no bello mio! questo argomento sulle LAN lo hai tirato fuori TE dal NULLA. Rileggi, rileggi i post dall'inizio
            e proprio qui si è potuto notare la
            differenza...Già, come no! secondo il tuo contorto metro di giudizio io dovrei dire di te che "Sei troppo LAN oriented", dato che sulle vpn hai lasciato un sacco di punti interrogativi. Tra l'altro, anche se fosse, non ci sarebbe proprio nulla di male, ma tu dicesti a me "sei troppo VPN oriented" con lo stesso fare dispregiativo che tu adduci a me
            cmq non ti arrabbiareCi mancherebbe
            c'è sempre tempo per imparare... per TUTTI, nessuno escluso 8)

            ** Amici lettori ...

            Questa tua precisazione cosa centra con
            quello che ti ho detto!!!Per conoscenza ai profani e per via di te che puntualizzavi gratuitamente a destra e a manca ho preferito prevenirti onde evitare di dover scrivere yet-another-more-detailed-explanation-message
            Tu parlavi di sniffare sullo stesso filo ed
            io ti ho precisato che è più corretto dire
            segmento di rete.Spero che, come ti ho accennato poc'anzi, tu sappia bene che l'espressione "segmento di rete" di per sè è generico e può essere suddiviso in "segmento di rete di layer-1" (dominio di collisione), "segmento di rete di layer-2" (dominio di broadcast)
            Cmq ti ricordo che anche un Hub o un
            Repeater lavorano a livello 1 potevi
            metterceli...Anche un' Access Point, se per questo (anche questo lo dico in conformità alle tue puntualizzazioni insignificanti 8) Per la serie "non capisco perchè lo fai, ma mi adeguo senza problemi")

            ==================================

            Modificato dall'autore il 06/11/2003
            20.04.39

            ??????????Ho aggiunto la nota con gli asterischi (avrai notato che gli asterischi erano accanto alla parola "filo")Ma veniamo al dunque
            Stiamo parlando dll'impiegato malizioso con un pò di
            esperienza che tutte queste info sicuramente già le saAncora insisti su questo! un impiegato con un MINIMO di conoscenze? tu hai una visione distorta. L'impiegato con un MINIMO di conoscenze sa distinguere outlook da explorer, sa distinguere tra web e posta elettronica, sa usare google, al massimo si premura coscienziosamente contro virus e trojan, sa riconoscere i pop-up pubblicitari ingannevoli, in casi del tutto eccezionali sa usare Office appieno, sa cosa è un nome di dominio, ma NON sa nemmeno cosa è e a cosa serve il DNS, figurati se sa cosa è un gateway, un ip address, l'smtp e il pop3. Comunque: tu sei convinto del contrario? vabbene, rimani della tua convinzione, sai che me ne....
            perchè parli quando le cose e i tool che le fanno non li hai
            mai usati?Insinuazione da 4 soldi. Non merita risposta. Evidentemente secondo te solo chi usa ettercap è un ganzo. Ma chi sei? uno degli autori?
            Usali e poi ne riparliamoNon leggi. L'ho già spiegato. Non c'entra un cazzo la facilità d'uso di questo o quel tool. Il tuo ettercap può fare anche tutto da solo senza nemmeno bisogno di essere lanciato, ma poi PER ESSERE UTILE, ci deve essere un essere umano che legge l'output. Per quanto scremato da informazioni superflue possa essere, ci deve essere un cristiano che legge questo ipotetico output banalissimo:10.0.0.1 ha usato username "pippo" password "pluto" per pop310.0.0.2 ha usato user "paperino" password "minni" per ssh110.0.0.3 ha usato user "clarabella" password "orazio" per Risorse di Rete di Windows........più semplice di così qualsiasi ettercap non può essere. E secondo te l'impiegato con conoscenze MINIME sa chi è 10.0.0.1-2-3 e sa cos'è pop3 ssh (passi per le Risorse di Rete di Windows, ammesso che dica così invece di CIFS o SMB) ?? non dire cazzate: l'impiegato con conoscenze MINIME quando legge ciò dice: "prima di tutto la maiala di sò mà, e poi mi informo su 'password' e se m'ha offeso gli fo un culo così... e poi come si permette di dirmi di stare zitto!!" (ssh). Sto caricaturando.... ma neanche poi tanto

            cosa ve ne fate di una

            gragnuola di username e password se non

            sapete in quali contesti vengono usati?

            Contesti? usati? se ho l'ip user e la psswd della posta del
            capo che altro mi serve scusa non ti capisco!!!Si, ma TU non sei un utente con conoscenze MINIME (spero!). Sai benissimo a cosa mi riferisco. Continui solo a fare il finto tonto per polemizzare

            E davvero

            tutto ciò può essere fatto da un "impiegato

            con un MINIMO di conoscenze
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            RE: Parte 3 di 5********************************************

            diversi punti "io avrei fatto

            diversamente...secondo me si poteva fare
            ecc

            ecc" ma poi non dire nulla è veramente

            deprimente lasciatelo dire

            Allora predichi bene e razzoli piùissimo
            malissimo!! quando eri tu a fare così sulle
            vpn andava bene eh? Sulle vpn non ci siamo limitati a porte protocolli tipi di vpn certificati non mi sembra siamo scesi in discorsi così tecnici tu stesso non hai posto questioni così tecniche alle quali io non ho risposto!

            io avrò fatto

            anche il super pignolo e preciso su molti

            punti ma ti vorrei ricordare come in

            precedenti msg mie affermazioni che erano

            cmq comprensibili venivano continuamente

            riprese da te e puntualizate
            riprese e puntualizzate perchè volevo
            ulteriori dettagli, che non hai mai
            (tuttora) dato, Rileggi tutto mi sembra che in un modo o nell'altro quello che volevi sapere lo hai saputo quali sono i tuoi "black holes"
            le tue
            argomentazioni sono state inconsistenti e
            non mi hai convinto per niente. SculoIo non volevo convincere nessuno il bello dell'informatica è che nessuno ha la verità in tasca o la soluzione più giusta per nulla è tutta una questione di soldi tempo target, ovviamente considerando il massimo delle capacità tecniche, insomma è tutto relativo a parole possiamo dire e fare quello che vogliamo i fatti sono un'altra cosa!!!

            col tono del

            saccente che ha la verita in tascaquesto a suo tempo l'ho detto io a te ma lasciamo perdere!!!
            solo perchè hai cominciato a farlo TU!! hai
            la memoria corta amico mio: chi ha
            cominciato a dare del "tarato" all'altro?Non lo so dopo 40 msg continui a chiedermi come dall'ip si puoi identificare in maniera univoca un utente quando io non l'ho mai detto e pensato ma ho sempre detto che è un impiù e l'ip pubblico lo vedevo soprattutto in un'altra ottica!!
            Che, forse eri
            frustrato dal mio continuo incalzarti su un
            argomento sul quale non sei.... "serrato"?serrato? Poi sono io che attacco cmq frustrato cosa.... il discorso lan è uscito da una serie di mie battute punto.
            dovresti usare il
            nick (che dici di avere) : perchè così
            almeno impari a riconoscere eventuali altri
            nickkati con i quali sai di poterti
            confrontare civilmente e costruttivamente.Scrivo pochissimo su punto leggo soprattutto i flame su linux e winzoz che mi divertono da morire con il nik se non ricordo male avrò scritto due tre volte.........ormai è andata così ma non ti preoccupare punto lo seguo tantissimo e la prossima volta che ti rispondo saprai il mio nik hai la mia parola!!

            quello più tecnico dove per altro tu mi
            hai

            portato
            Eh no bello mio! questo argomento sulle LAN
            lo hai tirato fuori TE dal NULLA. Rileggi,
            rileggi i post dall'inizioSi ma sei tu che dice fare questo fare quest'altro e poi non dire nulla anche tu rileggiti!!!Solo ora cominci a parlare!!!
            ......Tu
            sappia bene che l'espressione "segmento di
            rete" di per sè è generico e può essere
            suddiviso in "segmento di rete di layer-1"
            (dominio di collisione), "segmento di rete
            di layer-2" (dominio di broadcast)Certo che lo so il discorso qui però qui è un pò + articolato, nel tempo la parola a assunto significati diversi prima si chiamava segmento di rete solo quello fisico quindi l'inizio e la fine di un cavo cassiale che univa 10 pc diventava un segmento di rete poi con l'introduzione delle reti ethernet la parola a assunto significati diversi, gli switch e i bridge hanno portato a definire il segmento di rete tutto quello che è all'interno dello stesso dominio di collisione e hanno introdotto a loro volta la microsegmentazione...ora però per segmento di rete si può definire anche una Vlan che però è una connesione logica e non fisicaun pc sta a firenze uno a milano ma fanno parte tutti e due della stessa Vlan quindi stessa rete...oppure potremmo dire che per segmento di rete indichiamo tutto quello che è nello stesso dominio di broadcast..per me questa è la definizione migliore ettercap ovviamente può lavorare solo all'interno dello stesso dominio di broadcast ovvio!!!Io intendevo quest'ultima cosa tu indicando il filo ti sei rifatto ad una definizione ormai obsoleta e cmq veramente molto ma molto brutta!!!

            Cmq ti ricordo che anche un Hub o un

            Repeater lavorano a livello 1 potevi

            metterceli...
            Anche un' Access Point, se per questo .........Non tutti, gli ultimi prendi gli US robotics a 100Mbitnon condividono la banda ma mantengono la connessione tra i due host che comunicano costante anche se un'altro pc si connette AP in pratica per ogni connessione hanno banda dedicata lavorando come uno switch quindi in questo caso sono di livello 2...ne ho configurato uno 3 settimane fa vanno che è una meraviglia in connessione ad-hoc tra due pc ho trasferito 65 Mega in 26 sec non male ovviamente in ftp!Cmq come sicurezza sono 0 qui le tue Vpn sono obbligatorie secondo me!!!Anzi qui potresti suggerirmi qualcosa tipo un buon compromesso tra prestazioni e sicurezza secondo te!! io una mezza idea già la ho!!
            Ma veniamo al dunque


            Stiamo parlando dll'impiegato malizioso
            con un pò di

            esperienza che tutte queste info
            sicuramente già le sa

            Ancora insisti su questo! un impiegato con
            un MINIMO di conoscenze? tu hai una visione
            distorta. L'impiegato con un MINIMO di
            conoscenze..............Qui ti rispondo una sola volta io parlo perchè credo in due cose 1 prevenire è meglio che curare 2 mi sono successe e quindi non aspettare che succedano anche a te...mai sottovalutare nessuno mai!!!!!!
            Insinuazione da 4 soldi. Non merita
            risposta. Evidentemente secondo te solo chi
            usa ettercap è un ganzo. Ma chi sei? uno
            degli autori?Magari!! cmq seguo il forum e ogni tanto scrivo anche ma visto il mio pessimo inglese mi limito!!

            Usali e poi ne riparliamo
            Non leggi. L'ho già spiegato. Non c'entra un
            cazzo la facilità d'uso di questo......Anche io ho risposto fin quando non ti capita non ci pensi poi un giorno quando meno te lo aspetti.....
            Si, ma TU non sei un utente con conoscenze
            MINIME (spero!). Sai benissimo a cosa mi
            riferisco. Continui solo a fare il finto
            tonto per polemizzareTi ripeto spero per te che non ti capiti mai!!!
          • Quasar scrive:
            Re: Ma ci avete lavorato con le VPN...
            ******************************************************** Parte 2 di 5*******************************************************

            Hehe vedo che ti fai sempre più meschino,

            vecchio marpione!

            no meschino pignolo come sei tu!!!Anche qui sei meschino. Io pignoleggio solo laddove dettagli tecnici mi costringono a farlo perchè quei dettagli tecnici possono cambiare il senso di un discorso. Tu invece pignoleggi solo per il gusto di farlo = polemica gratuita. Ma certamente negherai tutto ciò, anzi non risponderai nemmeno

            ... Ecco perchè ho

            precisato il fatto che quando ad ogni
            porta

            di uno switch si collega uno ed un solo
            host

            non si può sniffare ecc....

            Invece di fare tutto questo giro di parole,
            bastava una sola parolauna sola parola che non basta per il pubblico profano al quale erano invece dirette tutte le mie spiegazioni precedenti. Ma tu continui ad ignorare questo fatto allo scopo di pignoleggiare solo per il gusto di farlo = polemica gratuita
            "ogni segmento di rete attaccato
            allo switch crea un dominio di collisione"
            punto!!!No! non "punto", semmai "virgola" :D : "... crea un dominio di collisione VIRGOLA a patto che quel segmento di rete in layer-1 non sia a sua volta uno switch, perchè altrimenti sarebbe un dominio di BROADCAST di layer-2, che quindi crea altri N segmenti di rete in layer-2 oppure layer-1 a seconda di cosa c'è attaccato". Io so bene che sottointendevi questo perchè questo è ciò che si sottintende normalmente, ma tu pignoleggi per il gusto di polemizzare e quindi mi costringi a fare altrettanto poichè pare che questo sia l'unico "linguaggio sociale" che conosci. Quando ti sarai dato una calmata sarò lieto di adeguarmi

            Non si può

            sniffare perchè non c'è niente da
            sniffare e

            non c'è niente da sniffare perchè su quel

            filo** (segmento) corre (transita) solo il

            traffico da/per quell'unico host.

            Tanto per cominciare su quel segmento
            potrebbe essere uplinkato un hub con 10 pc...... che è esattamente la eventualità che avevo descritto io ai profani. Ma a te piace negare tutto anche l'evidenza pur di polemizzare gratuitamente (mi sembri la Wanna Marchi :D)

            Si può

            sniffare senza fare MITM, si può fare MITM

            senza sniffare.

            ???????L'ho ben spiegato ai profani, ma tu ecc. ecc. polemizzare ecc. ecc.

            Il nostro docente

            invece preferisce dire che MITM è uno dei

            metodi per "sniffare". Come vuole

            Mio caro te l'ho spiegato dopo cosa è mitm
            quindi
            le tue affermazioni lasciano il tempo che
            trovano...L'ho spiegato anch'io cosa è secondo la mia visione, e l'ho spiegato ai profani, certamente dopo aver letto il tuo "dopo", che non è per profani. Le mie affermazioni lasciano lo stesso tempo che trovano le tue. Per me "sniff" non è un superinsieme di MITM, per te si. Io distinguo nettamente le due cose, tu no. Allora vorrei sapere come identifichi tu l'atto di usare aggeggi come Ethereal o il semplice tcpdump
            ti consiglio di leggere tutto quello che
            scrivo prima di replicare!!!Senti senti da che pulpito. Si predica bene e si razzola mal issimo eh?

            Certo avrei di che correggere certe sue

            affermazioni, in particolare sulle
            possibili

            contromisure, su come ci sia differenza,

            diversamente da quanto asserisce lui,
            sotto

            vari punti di vista (soprattutto tecnico)

            FALLO!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!E va bene, l'hai voluto. Poi però non ti lamentare..... Avrei voluto parlarti serenamente delle contromisure che conosco IO per il mitm di layer-2 già subito dopo che avevi scritto i tuoi 3 post consecutivi di qualche giorno fa. Peccato che in quell'occasione hai pensato bene di continuare a negare ogni evidenza delle mie ragioni sui tuoi ipotetici utilizzi del servizio mclink, sulle vpn, nonchè a polemizzare gratuitamente sul semplice fatto che non avevo ritenuto opportuno addentrarmi nel merito di "arpwatch" (in quanto totalmente OT), che hai buttato li mentre si parlava di sicurezza da remoto. E' un vero peccato perchè almeno sulle LAN sei preparato ed avremmo potuto scambiarci info utili per entrambi. Ieri ho provato persino a farti contento dandoti ragione su tutto ma tu vuoi la sfida a singolar tenzone a tutti i costi. Ti rendi conto di quanto sei infantile? comunque ti accontento
            Ti dico una cosa se avessi risposto con
            queste sole affermazioni ti avrei capito
            pureEh, certo! tu, l'emerito professorino, non accetti che qualcuno possa parlare con te della "tua materia" ad un livello paragonabile al tuo, men che meno accetti che qualcuno possa avere idee diverse, soluzioni diverse per certe problematiche e parlarne civilmente. Tu conosci solo la regola del "ho ragione io e gli altri sono idioti". Il bello è che hai accusato ME di presunzione e di essere il tale che "ucciderebbe l'amico pur di aver ragione"....
            ma sinceramente controbbattere
            nuovamente senza dire nulla di diverso da
            me, visto che la tua spiegazione sulla
            questione della porta è incompleta e
            imprecisa e solo un giro di parole...Non ti è balenato per la mente che non fosse minimamente mia intenzione aggiungere nulla, bensì solo precisare per eventuali lettori profani il motivo di certe mie affermazioni sottintese che tu, per polemica gratuita, hai cercato di storpiare
            quella sul mint l'ho fatta Cos'è 'sto "mint"? avevo dedotto che fosse solo yet-another-mispelling-of-yours al posto di mitm ma ora il dubbio è lecito
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...


            PS Preparati perchè ...Parte seconda
            l'intera LAN ed un tool intelligente (quale
            forse è Ettercap) potrebbe dedurre in tempo
            relativamente breve la topologia logica
            della rete (quali sono i gateway, quali sono
            i client, quali i server, ...) oppure di
            agire selettivamente e un pò per volta fino
            ad individuare ad occhio qualcosa di
            interessante,Stiamo parlando dll'impiegato malizioso con un pò di esperienza che tutte queste info sicuramente già le sa e non di un informatico capace che arriva si connette e ricorre ad ettercap per procurarsele!!
            ma nel primo caso si verrebbe
            sopraffatti da mega e mega di traffico (un
            vero pagliaio nel quale cercare il proprio
            ago)Vero ma l'impiegato non ne ha bisogno se deve beccare la psswd della posta del capo che sta sul suo stesso segmento di rete e ne conosce sicuramente l'ip con 5 comandi da tastiera ha tutto quello che vuole. ovviamente tu usi solo pop3 su ssl beh se così fosse è molto più complesso ed il nostro impiegato è fregato!!!
            nel secondo caso, ma anche nel primo a
            dire il vero, si dovrebbe anche sapere di
            cosa gli host "avvelenati" stiano parlando,
            cioè si dovrebbe sapere se si sta
            intercettando traffico telnet o smtp o pop3
            o chissà cosa. Perchè si dovrebbe saperlo?perchè parli quando le cose e i tool che le fanno non li hai mai usati? Usali e poi ne riparliamo
            perchè altrimenti cosa ve ne fate di un
            mucchio di caratteri più o meno
            (il)leggibili se non sapete a cosa si
            riferiscono? Sei proprio senza parole ok te ne dico io due di parole...ettercap...in modalita grafica ti fa selezionare gli host da sniffare scelto il modo con il quale sniffare "ip based" oppure "mac based" ti apre una schermata con la quale vedi tutte le connessioni tra l'host e ad es. il GW a questo punto le eventuali psswd del telnet pop3 icq msm ftp ecc ecc che passano te le fa vedere subito in chiaro se poi vuoi te le salva tutto comodamente in un file basta premere "l" difficile è!!!!Se poi se ancora più avido ti fa vedere tutto il traffico di una sessione es. due che chiattano!!!Difficilissimo no!!! ma fammi il piacere!!!
            cosa ve ne fate di una
            gragnuola di username e password se non
            sapete in quali contesti vengono usati?Contesti? usati? se ho l'ip user e la psswd della posta del capo che altro mi serve scusa non ti capisco!!!
            quindi, per rendere utile intercettare il
            traffico tra due host, dovete sapere di cosa
            quei due host stiano parlando. Finche non li sniffi non potrai mai saperlo ma sicuramente tra persone che lavorano nello stesso ambito si conoscono abitudini e quant'altro per poter beccare quello che interessa!!
            E davvero
            tutto ciò può essere fatto da un "impiegato
            con un MINIMO di conoscenze informatiche"?Rileggi sopra se non hai capito bene
            mi sbaglierò ma io dico di no. Comunque
            ovviamente lascio a voi la decisioneEcco infatti decidete voi che è meglio!!!

            Miei cari lettori,Miei cari lettori...ma chi sei il presidente del consiglio? :DD
            forse a questo punto
            sarete anche curiosi di sapere come sia
            possibile intercettare traffico altrui senza
            sniffare, come sia possibile frapporsi fra
            due host di una LAN senza (quasi) farsene
            accorgere, anche se trattasi di switched
            LAN. Niente paura, avete un qualificato
            docente di reti pronto a darvi tutte le
            spiegazioni che volete. Ovvio te come docente saresti una frana!!!!
            La sua
            caratteristica peculiare è quella di essere
            estremamente chiaro preciso ed esauriente
            nei suoi interventi. è proprio cosi basta che rileggi quello che ho scritto fino ad ora!!!!
            E non temete di
            chiedergli ulteriori dettagli qualora
            qualcosa non vi tornasse: egli vi risponderà
            prontamente senza inganno e senza offesa.
            Io, dal mio piccolo, vi posso solo
            anticipare brevemente che la faccenda ha a
            che vedere con una sorta di "ingenuità" con
            la quale molti sistemi operativi reagiscono
            al traffico ARP, che è quel traffico
            "dietro-le-quinte" (che corre sul filo come
            qualsiasi altro traffico) che si scambiano
            tutti gli host di una LAN allo scopo di
            tradurre gli indirizzi network-layer (es:
            indirizzo IP) in indirizzi link-layer (es:
            indirizzo Ethernet) questi ultimi conosciuti
            genericamente come MAC address. Ma per cortesia ora stai proprio "sgravando" indirizzi network-layer passano ma gli indirizzi link-layer non si possono sentire indirizzi fisici oppure MAC adress punto, cmq prima mi è sembrato di capire che per link layer intendessi livello 3 forse ho capito male quando hai detto:" si era soffermatosui possibili man-in-the-middle a livello link-layer,non ho avuto proprio niente da eccepire, anzi"Qui credo parlassi di livello 3 livello "Network" o no?Mentre ora dici che il livello Link-Layer è il livello 2 Data Link...ti devi applicare di più non va bene hai studiato poco!!!!.....bocciato!!!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...


            PS Preparati perchè ...Parte Terza
            Per
            ulteriori delucidazioni chiedete al nostro
            anonimo. Sono altresì certo che la sua
            deontolgia professionale farà si che egli
            sia altrettanto solerte nel descrivere anche
            le possibili contromisure, che esulino da
            quelle drastiche ed invasive che ha già
            elencato (tipo autenticazione del traffico
            arp tramite, guarda caso ;), chiavi
            asimmetriche e/o certificati). Anche qui vi
            do solo un piccolo indizio: istruire i s.o.
            ad essere un pò meno ingenui e, siccome
            questo in taluni casi può non bastare e
            creare altre antipatiche possibilità di
            attacco tipo DoS, anche switch appena un pò
            più "intelligenti" della norma possono
            essere utili a far si di contrastare A MONTE
            (come dicevo) simili pericolose prassi (MITM
            e MAC spoofing)Ma ti rileggi quando scrivi fino ad ora sei stato di un generico ed inpreciso sensa precedenti sicuramente il tuo msg migliore io almeno le cose le ho dette ma tu cosa hai detto? hai fatto un'accozzaglia di nomi sbagliati e basta sei pietoso!!
            Ok, il punto che dovevo chiarire l'ho
            chiarito (spero). In breve: con switch alle
            cui porte sono collegati uno ed un solo
            host, non si sniffa nulla, e MITM non è
            sniffbravo...il MITM è una tecnica per sniffare non è uno sniff finalmente una cosa giusta l'hai detta mi sembrava strano.....perdi colpi!!
            Altra piccola precisazione sul discorso
            fastweb/vpn: anche SE il firewall
            consentisse traffico con protocollo GRE e
            ESP, allora potrebbe funzionare UN solo
            tunnel per volta anche senza incapsulare, ma
            eventuali due o più tunnel contemporanei
            diventerebbero concorrenti nella NAT,
            disturbandosi a vicendaSu questa cosa ti dico molto chiaramente che la voglio provare poi ti diro per il momento non ho avuto proprio il tempo e cmq se fosse come dici ma non credo non me ne fregherebbe nulla di dirtelo visto che non l'ho mai provato al contrario di quanto sopra!!!!!!
            Detto questo, auguri all'anonimo Ti ricordo che tu non hai un nome e cognome!!!
            docente per
            i suoi corsi, dopo di che, come ho già detto
            le polemiche gratuite mi possono divertire
            per un poco, poi basta, quindi passo e
            chiudo 8)Per le risposte sulla tecnica dello sniffing tramite MITM ti rimando al prossimo msg qui non ho più spazio!!!!!!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar

            PS Preparati perchè ...
















            Mi limeterò alla rete locale.....per il momento, se poi sei un masochista ti spiego anche fuori dalla rete locale cosa si può fare!!!! Attacchi MINT a secondo della situazioneRete locale:ARP poisoning - DNS spoofing - STP manglingParlerò solo dei primi.....mica mi pagano!!!!!!L' attacco chiamato di man-in-the-middle consiste nel dirottare il traffico generato durante la comunicazione tra due host verso un terzo host - attaccante - il quale fingera? di essere l?end-point legittimo della comunicazione tra i due host. "chiaro no!!!" Connessione LogicaHost A-----------------------------------------------------Host B | | |________________ Host C ________________| Connessione realeOvviamente l'attaccante che si trova in mezzo, Host C ricevera i pacchetti dai due host e a sua volta dovrà preoccuparsi di inoltrarli dove realmente erano destinati!!!Il MINT a secondo delle capacità di monitorare i due host potrà essere half duplex full duplex....mi sembra chiaro oppure te lo devo spiegare!!!!Transparent attack o Proxy attack sono altre due tipologie di attacchi che si possono fare dal nome si capisce già cosa sono oppure te lo devo spiegare? Vantaggi di questi attacchi sono?Grabbare password, oscurare host, possibilità di aggiungere pacchetti inserendo comandi verso il server, simulare risposte verso il client "es. in una sessione telnet si può tranquillamente scrivere sul terminale che ha aperto la sessione telnet inviando comandi " e tanto tanto altro ma non voglio esagerare potresti non riuscire a seguire!!!C'è un attacco molto bello anche per ipsec se sei bravo te lo dico!!!! ARP poisonIl protocollo ARP (Address Resolution Protocol) si preoccupa di mappare i 32 bit di indirizzo IP in 48 bit di indirizzo FisicoI due tipi di msg principali che ARP manda sono:ARP request (richiesta di risoluzione indirizzo Ip)ARP reply (risposta contenente un indirizzo Fisico)Le risposte alle richieste ARP sono memorizzate nella cache per diminuire il traffico.Il problemi stanno nel fatto che il protocollo ARP èstateless e che le ARP reply sono memorizzate in cache anche se non erano state sollecitate.....spero che mi stai seguendo!!A questo punto è semplice capire come è possibile ingannare gli host sfruttando il protocollo ARP che è stateless l'attaccante invia una ARP reply (spoofata) verso un host, che vuole avvelenare questo la memorizzera? nella propria arp cache e il gioco è fatto...in questo modo avvelenerò la cache arp dei due host facendo credere ad "A" che io attacante "C" sono "B" ed a "B" farò credere di essere "A" ovviamente la cache arp ha un time out e quindi l'avvelenamento va periodicamente ripetuto.Questo comportamento è perfetto per macchine winzoz per linux e solaris è un pò diverso e cmq linux di default si comporta come winzoz , se non ricordo male, non mettono entry nella cache fin quando non hanno comunicato e qui il trucco è semplice basta mandare un pachetto ICMP spoofato per fingere la comunicazione e il gioco è fatto...ovviamente Ettercap fa tutte queste cose con un interfaccia grafica di una semplicità disarmante!!!Perchè tutto questo funziona anche con gli switch?IMPARA IMPARA CHE NON SI FINISCE MAI!!!!!!Perchè lo switch e? ignaro dei cambiamenti delle associazioni nelle arp cache degli host vittime ovvio no!!!! quindi il tuo switch e la tua sicurezza mettitela nel...lasciamo perdere non mi farò bannare per dar retta ad un incompetente!!!! Le tracce lasciate sono i Mac dell'attaccante, anche essi però si possono spoofare mentre su gli switch con l'abilitazione del port-security le tracce restanoLe possibili contro misure che tu sicuramente, visto il tuo alto tasso tecnico conosci sono.......Arpwatch lo riconosce ma non lo può evitareEttercap lo riconosce ma non lo può evitareIDS lo rilevano ma non lo evitanoARP entries statiche Lo evitano ma non sono sempre applicabili Secure-ARP Lo evita ma non è uno standard e cmq è in fase di sviluppo!!!!FINE DELLA LEZIONE.ps. IL GIORNO CHE TECNICAMENTE MI FARAI DISCORSI SERI POTREMMO CONTINUARE A DISCUTERE ALTRIMENTI LASCI A CHI LEGGE LA POSSIBILITà DI DOCUMENTARSI E RISALIRE A CHI DICE CRETINATE E CHI NO!!!!!!!!!!!Ovviamente si poteva parla ore sull'argomento molto bello e affascinante ma ti ripeto non mi paga nessuno e qui l'unico che fino ad ora a detto cose che hanno un certo valore tecnico sono io non certo te UGNURANTE!!!!!!!!!!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar
            mi hai decantato possibilità infinite di
            connessioni con client, server, router di
            ogni genere e ora me ne esci con PPTP? non
            ti sembra di essere un "tantino" incoerente?
            Poi, non lo vedo una cagata: lo vedo
            superfluo (per questo sono "quadrato") e nei
            termini esposti da mclink, pure ingannevole
            (per questo sono indignato)Allora...il PPTP è usato per le attuali vpn su ip privati che mclink già usa da 2 anni che anno un target da me già spiegato la nuova proposta per il momento non indica cosa useranno e come ma solo che è fatta con un infrastruttura cisco il che vuol dire tutto e niente quindi fin quando non ufficializzeranno il servizio a fine mese non si sa cosa useranno ma non credo proprio PPTP!!!!

            il PPTP in un anno mai dato un problema

            PARLAVO DI SICUREZZA. Lo so che te dici che
            al tuo target non interessa, ma io di quello
            parlavo. Anche tu un pò quadrato?a parlare con te ci si diventa!!!
            9) Ho esagerato in cosa? ho detto
            genericamente come io risolva a monte il
            problema di MAC spoofing. Se volevi dettagli
            non dovevi fare altro che chiederliSei abbastanza ridicolo ecco la tua soluziona da te indicata: "Una LAN ben configurata è in grado di gestire autonomamente e automaticamente A MONTE il tentativo di annessione alla rete da parte di computer illegittimi, altro che arp-watch"....scusa dov'è la soluzione io non la vedo...una soluziona al M-I-T-M locale vera e propria non esiste gli IDS riconoscono l'attacco ma non sono in grado di evitarlo uso di dhcp non lo risolve l'unica soluzione è inserire entry statica del mac del gateway su tutti gli host....un pò scomodo e cmq soluzione che vale per le sole comunicazioni tra host e gateway bisognerebbe aggiungere anche quelle per eventuali server interni!!Il M-I-T-M è inrisolvibile, lo standard 802.3 comincia ad essere un pò vecchiotto e mette alla luce le sue debolezze ormai da tempo, una soluzione definitiva sta nell'autentificare a livello data link delle rischieste arp degli host c'è chi l'ha fatto tramite il protocollo sarp, calano le prestazioni ma la sicurezza è totale... funziona solo sotto linux!!!Il riferimento ad arp-watch era solo perchè cmq riconosce questo tipo di attacchi nella rete locale e non mi sembra troppo oneroso, per quanto riguarda i server solo entry statiche e cmq anche se non risolve il problema utilizzo esclusivo di swtch e Vlan!la mia risposta che ti piaccia o no è una risposta, la tua....rileggila se non ne sei convinto... non è generica, è assolutamente una non risposta!!!!

            il vero pericolo in

            abito di rete è l'impiegato malizioso con
            un

            minimo di conoscenze informatiche

            Anche ora sei vago; niente di male, ma sono
            convinto che se io ti chiedessi di spiegarmi
            cosa un "impiegato malizioso con un minimo
            di conoscenze informatiche" possa fare di
            così subdolo che sia rintracciabile solo con
            arp watch tu continueresti a glissare. E'
            ciò che hai sempre fatto. Solo quando mi hai
            passato lo schemaBene oltre a quello che ti ho spiegato sopra...premessa, lo schemino, quello detto sopra quello che ti stò per scrivere....tu che cosa mi hai mai detto di concreto a livello tecnico se non un mucchio di critiche o dire che ipsec è meglio del pptp...non me lo dovevi dire tu....oppure a parlare di chiavi pubbliche private e di certificati...non hai mai accennato a come li fai cosa usi, scusa ma perchè mi vieni a fare queste critiche? rileggiti che è meglio cmq......ti prendo un tool dal semplice utilizzo Ettercap multipiattaforma win freebsd linux solaris ecc ecc dal mio computer della rete locale lo lancio e con due tre comandi da tastiera.....seleziono il gaetway
            premo "a" e comincio a sniffare tutte le connessioni verso il gateway anche se la rete lavora con gli swtch abbilito il password dissectore quando voglio premo "l" per salvare tutte le password salvate comprese quelle NTLM che dovrò in seguito crakkare con un tool tipo LC4 stessa cosa vale per ssh 1 e ssl il traffico viene catturato ma va in seguito decodificato.....le altre pop3 ftp telnet icq e chi più ne ha più ne metta passano tranquillamente tutte in chiaro.....ovviamente non dire queste cose al tuo capo se sa che potenzialmente un suo dipendente può fare tutte queste cose sai come si incazza......premessa ti ho fatto solo uno stupido esempio di quello che tools del genere ed in maniera decisamente facile possa fare ma ora tu mi dirai che nella tua rete locale si usa solo pop3 sicuro smtp con autentifica bind su ipsec sftp per trasferire i filessh2 vpn vero? ma fammi il piacere e cmq è una questione di tempo e capacità anche questi sistemi sono aggirabili ad es. per quanto riguarda ssh2 le cose si stanno muovendo, si è ingrado di sapere la lunghezza delle password che è già molto anche troppo!!!
            "pc1,2,3---servermclink---server" con gli ip
            e il resto mi hai dato qualcosa di preciso
            su cui ragionare e darti la mia opinione.
            Anche la questione del server con 4-5 utenti
            remoti è rimasta vaga: non mi hai detto che
            tipo di client e server siano, le tipologie
            di applicazioni rese disponibili agli utenti
            remoti e i relativi protocolli interessati
            (foss'anche il solo semplice CIFS per le
            Risorse di Rete di Windows). Come pretendi
            di convincermi con così poco? Veramente ti ho detto che tramite vpn accedono all'intranet, server web apache 2 con autentifica digest....forse non leggi tutto quello che dico..non avevo specificato apache 2 ma avendoti detto autentifica digest era scontato sempre che tu sappia di cosa si parla!!!!! per quanto riguarda la condivisione da remoto sto sperimentando mod-dav sai di cosa parliamo? spero di si!!! visto che CIFS è l'anti sicurezza e affidabilità vedi vari e innumerevoli bug!!
          • Anonimo scrive:
            Re: Ma ci avete lavorato con le VPN...
            - Scritto da: Quasar
            10) Guarda, te lo dico con tutto l'affetto
            possibile: aspettatelo! non è solo una
            semplice questione di NAT o firewall: PPTP
            mi sembra che usi il protocollo GRE che,
            come anche IPSec che usa ESP, è un
            protocollo senza porte quindi il firewall,
            anche volendo, non è in grado di inoltrare
            più di una connessione alla volta e due
            connessioni contemporaneeIL PPTP, usa la porta TCP 1723 e il protocollo IPcon ID 47 GRE ......quindi non vedo problemi!!!per ipsec dimmelo tu sei tu l'esperto!!!
            "sovrascriverebbero" continuamente il NAT
            sul firewall disturbandosi a vicenda. Con
            IPSec si risolve ciò usando l'estensione
            NAT/Traversal, ma con PPTP non so. O c'è
            qualcosa di analogo oppure deve essere il
            firewall a fare da end-point per il tuo
            tunnel e poi inoltrare verso il pc del tuo
            amico, ma dubito fortemente che fastweb lo
            configuri per te o che dia l'autorizzazione
            a te di configurarlo, sempre ammesso che sia
            tecnicamente possibile visto che PPTP non è
            supportato da tutti. Quindi: dimentica di
            entrare, e per uscire spera di poter
            incapsulare su TCP o UDPTutte parole...quando avrò modo di provare ip pubblico te lo dirò visto che ancora non si sa quale tecnologia vpn utilizza per quanto riguarda la possibilità di farlo già adesso con la soluzione PPTP che esistente credo di fare la prova lunedi...non mancherò di farti sapere!!!!
    • Anonimo scrive:
      Re: Traduzione...
      Dunque traduciamo...- Scritto da: darkman
      ...o siamo tutti in un cyber-bar a farci un
      Cynar (tanto per fare una citazione)?Solo io so tutto gli altri sono ignoranti.
      1) L'IP statico non e' che si utilizza per
      la connessione fisica, ma quella virtuale
      VPN, altrimenti il provider con cui ti
      colleghi ti fa una grossa pernacchia!!!Solitamente i provider forniscono un ip statico ai clienti che si connettono con apparecchiature tipo modem.Le connessioni VPN, criptate, necessitano di un ip statico per funzionare e garantire un livello adeguato di sicurezza.(non e' sempre vero)
      Io(PSTN o ADSL o quello che me pare) -

      Radius Server dell'ISP -
      ottengo un
      indirizzo IP nell'ambito del providerQuando mi collego con il mio provider Internet abituale tramite: modem analogico, modem adsl o altro; mi autentico, tramite id e password, ed ottengo in indirizzo ip dinamico.
      A questo punto devo iniziare
      l'autenticazione col Radius di mclink, che
      utilizza una "soluzione" Cisco per costruire
      un tunnel crittografico, e qui bisognaPer ottenere l'indirizzo statico fornito da McLink devo procedere ad un ulteriore autenticazione presso i server di quest'ultimo.
      vedere in che modo viene gestito. In ogni
      caso, viene convalidato l'IP statico
      assegnato da mclink all'utente, che affianca
      l'IP "normale" del primo provider. Tuttto il
      traffico a questo punto viene "incapsulato"
      pacchetto con IP del provider -
      contiene al
      suo interno un pacchetto con IP di mclink
      (sicuramente crittato). Se l'autenticazione va a buon fine, mi viene assegnato l'utilizzo del mio ipstatico e la comunicazione di tutti i dati dal mio pc a quello di McLink avviene in maniera crittata.A questo punto
      lascio da parte BGP, perché la comunicazione
      su IP di mclink (statico ma "privato")
      viaggia
      Io(cifratura/decifratura lato client) -

      Server Radius mclink(cifratura/decifratura
      lato server) e/o Radius azienda
      mentre la "vera" comunicazione è
      io -
      provider qualsiasi -
      mclink -

      azienda Da questo punto in puoi tutte le connessioni ad altri servizi presenti in Internet (pagine web, ftp, ssh e molti altri) avverranno tramite il mio ip statico.
      2) Il grande spooffo non so cosa ci fa con
      tutto questo, oltre a comprarvi le riviste
      leggete anche un libro serio, vorrei solo
      fare notare che non è detto che con lo
      spoofing non riesco ad avere le risposte,
      comunque lasciamo stare---Questo e' intraducibile. :|
      3) mclink fa da man in the middle? allora
      non utilizziamo piu' la firma digitale, il
      principio è lo stesso. Se non mi fido
      dell'autorità di certificazione perché ho le
      mie paranoie, sto con carta penna e
      inchiostro simpatico. Ci sono altri sistemi che permettono di ottenere un livello di securezza come quello offerto da McLink tramite l'ip statico.
      Ma quando leggete la
      posta con hotmail, per dirne una, che
      pensate di utilizzare? La parola magica? No,
      una sorta di tunnel crittografico (per la
      sola autenticazione client/server) gestita
      con SSL e certifficati digitali.
      4) L'unica critica seria, a parte il fatto
      che la soluzione puo' non piacere a
      prescindere, è il pesante decadimento di
      prestazioni che implica una (possibile)
      cifratura di tutti i pacchetti dall'azienda
      alla casa dell'utente. Questo non è un
      sistema applicabile ad una normale
      connessione 56k, ci vuole almeno un ADSL.
      Questo è il motivo fondamentale per il quale
      solo ora si inizia a vendere soluzioni di
      questo tipo a privati "casalinghi".Utilizzare la soluzione offerta da McLink puo' rallentare la velocita' di download/upload dei dati in Internet quindi potrebbe essere difficoltosa utilizzarla con modem "lenti" come quelli analogici.Faccio meno difficolta' quando traduco dal turco. :D
      • Anonimo scrive:
        Re: Traduzione...
        - Scritto da: Anonimo
        Ci sono altri sistemi che permettono di
        ottenere un livello di securezza come quello
        offerto da McLink tramite l'ip statico.Quali sono gli altri sistemi?è ovvio che questa non è una soluzione definitiva alla sicurezza, ma sicuramente ne alza il livello, è ovvio che poi i vari sistemi tipo ssl ssh ecc ecc devono continuare ad essere usati!!!!
        • Anonimo scrive:
          Re: Traduzione...

          Quali sono gli altri sistemi?
          è ovvio che questa non è una soluzione
          definitiva
          alla sicurezza, ma sicuramente ne alza il
          livello, è ovvio che poi i vari sistemi tipo
          ssl ssh ecc ecc devono continuare ad essere
          usati!!!!Hei! Io ho solo fatto una traduzione in italiano, chiediglielo a quello del primo post.Comunque l'innalzamento della sicurezza costa in termini di denaro e rallentamenti della connessione.Forse potrebbe essere piu' conveniente richiedere un ip statico al proprio provider.
          • Anonimo scrive:
            Re: Traduzione...
            - Scritto da: Anonimo

            Quali sono gli altri sistemi?

            è ovvio che questa non è una soluzione

            definitiva

            alla sicurezza, ma sicuramente ne alza il

            livello, è ovvio che poi i vari sistemi
            tipo

            ssl ssh ecc ecc devono continuare ad
            essere

            usati!!!!

            Hei! Io ho solo fatto una traduzione in
            italiano, chiediglielo a quello del primo
            post.

            Comunque l'innalzamento della sicurezza
            costa in termini di denaro e rallentamenti
            della connessione.

            Forse potrebbe essere piu' conveniente
            richiedere un ip statico al proprio
            provider.Si ma quello non te lo puoi portare a presso non so se è chiara la differenza!!!!io ad esempio fino ad ora permetto l'accesso ad server remoti dal solo ip del mio ufficio e di casa e quando sono fuori per accedervi devo passare per il mio ufficio o per casa altrimenti non entro neanche io in questo modo invece risolvo comodamente non credi!!!
      • darkman scrive:
        Re: Traduzione...
        - Scritto da: Anonimo
        Dunque traduciamo...

        - Scritto da: darkman

        ...o siamo tutti in un cyber-bar a farci
        un

        Cynar (tanto per fare una citazione)?

        Solo io so tutto gli altri sono ignoranti.
        Grazie per la traduzione, se cosi risulta piu' chiaro, meglio. Non ho riletto il mio post, l'ho scritto di fretta, etc. etc. chiedo venia.Un solo appunto (in tanta ironia): non ho mai pensato di avere il dono della sapienza. Magari mi da fastidio vedere come si danno risposte a "caso", anche insultando, e facendo i sapientoni quando è chiaro che non si sa molto dell'argomento. L'ignoranza (o diciamo meglio, la non conoscenza) è lecita quando uno chiede. Non quando uno RISPONDE. Cio' non toglie che si possa tutti sbagliare o dire inesattezze. Io per primo nel post "incriminato". L'italiano è una lingua ricca, forse è il caso di usare un po' piu' spesso i termini "mi sembra che", "se sbaglio correggetemi" (fa molto Papa); piuttosto che, a sproposito, "ma vatti a informare", "secondo me dici ca77ate", "è come dico io", etc. P.S."Il grande spooffo" era una battuta infelice per dire "chi fa spoofing"; eh lo so, l'ho capita solo io...
        • Anonimo scrive:
          Re: Traduzione...
          Certo! non sono uno scrittore, ma se avessi letto cose insulse o inutili non mi sarei preso la briga di metterle in "bella copia"Credo che chiunque voglia condividere la propria esperienza sia degno di lode.
          P.S.
          "Il grande spooffo" era una battuta infelice
          per dire "chi fa spoofing"; eh lo so, l'ho
          capita solo io...Adesso la capita anch'io :D
  • Anonimo scrive:
    C'era una volta Mobile IP...
    MC-Link ha inventato l'acqua calda! Esiste già da tempo Mobile IP, un servizio che permette la raggiungibilità mediante il medesimo indirizzo, con tutte le opzioni per garantire la sicurezza.Considerato poi che il problema della sicurezza in Internet È SEMPRE SOPRAVVALUTATO: c'è ancora (vedi commentatori di questo articolo) chi pensa che lo spoofing di IP sia un problema. Per poter essre messo in pratica necessita che i computer siano nello stesso segmento della rete, in pratica nella stessa stanza!Ma fatemi il piacere...
    • Simplex scrive:
      Re: C'era una volta Mobile IP...
      - Scritto da: frtrotta
      Per poter essre messo in pratica necessita che i
      computer siano nello stesso segmento della
      rete, in pratica nella stessa stanza!
      Ma fatemi il piacere...Ti dice niente:"/ipv4/conf/all/log_martians" ???Tutti nella stanza ?!?! ;-)
  • Anonimo scrive:
    A me... me pare una stru£@#@!
    E pensare che ci sono dei "cazzabubboli" che per meno 500 Euri ti fanno da Router, Firewall, VPN e qualcuno anche da access point Wireless :o...e per la gestione basta studiarci solo un po' sopra (come tutte le cose).Se poi si pensa che un abbonamento ADSL con IP statico non costa così tanto, non capisco perchè farsi tante seghe mentali e fare un giro del genere...:sSara'... ma per me non ha proprio senso...Max
  • Anonimo scrive:
    BGP
    L'unico modo di avere un vero IP staticoda qualunque punto/provider/sottoprovider sitrovi e' quello di pubblicarlo attraverso ilprotocollo BGP. Ed e' un'operazione costosissima...
    • debianaro scrive:
      Re: Oh mamma mia
      - Scritto da: Anonimo
      L'unico modo di avere un vero IP statico
      da qualunque punto/provider/sottoprovider si
      trovi e' quello di pubblicarlo attraverso il
      protocollo BGP. Ed e' un'operazione
      costosissima...veramente io sapevo che chi ha gli indirizzi portable indipendent quind LIR poteva far transitare gli IPsu qualsiasi carrier il bgp serve se hai una connessionemultihomed
  • Anonimo scrive:
    Scoperto IP del boss.. per lui è finita
    Cosi scopro l'IP del mio capo (magari con un occhio al suo PC quando e' distratto), lo tracko, lo spoofo.. e lui e' fottuto !ogni volta che e' acceso il suo PC, gli entro dentro.ogni volta che apre il computer, gli prendo qualcosa... o gli invio qualcosa..tanto i firewall della mia societa' sono dei colabrodo.. e io fotto il mio capo !Firmato: ....un qualsiasi impiegato che smanetta un po sui PC, che lavora in una grande azienda e che ha screzi col boss.. (come dire: il 20-30 % degli impegati IT delle aziende italiane)
    • Anonimo scrive:
      Re: Scoperto IP del boss.. per lui è finita
      come a dire i coglioni sono molti più di due?...parlo di voi "persone serie", ovviamente
    • Anonimo scrive:
      Re: Scoperto IP del boss.. per te e fini
      - Scritto da: Anonimo
      Cosi scopro l'IP del mio capo (magari con un
      occhio al suo PC quando e' distratto), lo
      tracko, lo spoofo.. e lui e' fottuto !

      ogni volta che e' acceso il suo PC, gli
      entro dentro.

      ogni volta che apre il computer, gli prendo
      qualcosa... o gli invio qualcosa..

      tanto i firewall della mia societa' sono dei
      colabrodo.. e io fotto il mio capo !


      Firmato:
      ....un qualsiasi impiegato che smanetta un
      po sui PC, che lavora in una grande azienda
      e che ha screzi col boss.. (come dire: il
      20-30 % degli impegati IT delle aziende
      italiane)
      peccato che il capo accortosi di qualcosa ha messo alle tue calcagna un hacker detective, e siccome tu sei un haker da hacker magazine, in due secondi ti sgama e dopo altri due secondi sei fuori dalle gonadi.attento di notte sotto i ponti bazzica brutta gente.
  • Quasar scrive:
    Un commento a caldo
    Dico la mia di getto, così, su due piedi.... Inutile perchè ridondante : per identificare in maniera ragionevolmente certa e sicura un "road-warrior" ovunque si trovi e qualunque metodo di connessione usi esistono già quelle "strane" cose chiamate "chiavi asimmetriche" e "certificati", cose che assolvono egregiamente questo ingrato compito (e molti altri). E poi, se si deve instaurare una VPN tra il "road-warrior" e il server mc-link, perchè mai il medesimo "road-warrior" non potrebbe instaurare la VPN direttamente con il suo server :o ?? mi sfugge davvero :| .... Estremamente insicuro : praticamente quelli di mc-link ci propongono bel belli un "magnifico" man-in-the-middle!! e vogliono pure farsi pagare!!! hahaha che ganzi :D Intrinsecamente instabile : ci mancava proprio che tra un "road-warrior" ed il server aziendale ci mettessero di mezzo pure un sedicente server di terze parti al quale affidare la stabilità e l'efficienza delle connessioni!!! si, non aspettavamo altro!!! Conclusione : MA FATEMI IL PIACERE!!!!PSPerdonate il tono sarcastico: oggi sono di buon umore :)ma ovviamente se qualcuno ha qualcosa da obbiettare sono volentieri a disposizione!
    • Anonimo scrive:
      Re: Un commento a caldo ma anche a fredd
      - Scritto da: Quasar
      Dico la mia di getto, così, su due piedi....

      Inutile perchè ridondante: per
      identificare in maniera ragionevolmente
      certa e sicura un "road-warrior" ovunque si
      trovi e qualunque metodo di connessione usi
      esistono già quelle "strane" cose chiamate
      "chiavi asimmetriche" e "certificati", cose
      che assolvono egregiamente questo ingrato
      compito (e molti altri). E poi, se si deve
      instaurare una VPN tra il "road-warrior" e
      il server mc-link, perchè mai il medesimo
      "road-warrior" non potrebbe instaurare la
      VPN direttamente con il suo server :o ?? mi
      sfugge davvero :| ....

      Estremamente insicuro: praticamente
      quelli di mc-link ci propongono bel belli un
      "magnifico" man-in-the-middle!! e vogliono
      pure farsi pagare!!! hahaha che ganzi :D

      Intrinsecamente instabile: ci mancava
      proprio che tra un "road-warrior" ed il
      server aziendale ci mettessero di mezzo pure
      un sedicente server di terze parti al quale
      affidare la stabilità e l'efficienza delle
      connessioni!!! si, non aspettavamo altro!!!

      Conclusione: MA FATEMI IL PIACERE!!!!

      PS
      Perdonate il tono sarcastico: oggi sono di
      buon umore :)
      ma ovviamente se qualcuno ha qualcosa da
      obbiettare sono volentieri a disposizione!vedi sono al 100% concorde con te, il problema nasce per quelle aziende che non hanno suporto interno, dove gestire vpn firewall chiavi e certificati e chi ne ha più ne metta diventa problematico.Ti faccio un esempio mi hanno chiamato in una grande azienda per fare un discorso simile, ho studiato per giorni il problema ho in riunione espresso la soluzione, con costi miei e dell'HW-SW (con due soluzioni proprietarie e open).Ovviamente l'open e stato scartato a priori, si e valutata l'altra soluzione, e alla fine tutti contenti mi hanno lasciato con un ci penseremo.due settimane dopo mi giunge un sms con scritto che il badget per l'impresa verrà usato per sviluppare un sistema più semplice.peccato che in informatica i sistemi più semplici non esistono e penso che abbiano optato per un sistema simile gestito in ASP da qualche societa.peccato che conosco societa di questo tipo, e considerando la preparazione del personale che ci lavorano tra un due-tre mesi li vedro ritornare strisciando, e li i costi saliranno e di parecchio.
      • Anonimo scrive:
        Re: Un commento a caldo ma anche a fredd

        vedi sono al 100% concorde con te, il
        problema nasce per quelle aziende che non
        hanno suporto interno, dove gestire vpn
        firewall chiavi e certificati e chi ne ha
        più ne metta diventa problmatico.Esiste anche l'outsourcing ...
        Ti faccio un esempio mi hanno chiamato in
        una grande azienda per fare un discorso
        simile, ho studiato per giorni il problema
        ho in riunione espresso la soluzione, con
        costi miei e dell'HW-SW (con due soluzioni
        proprietarie e open).
        Ovviamente l'open e stato scartato a priori,
        si e valutata l'altra soluzione, e alla fine
        tutti contenti mi hanno lasciato con un ci
        penseremo.Che significa "ovviamente" ?
        due settimane dopo mi giunge un sms con
        scritto che il badget per l'impresa verrà
        usato per sviluppare un sistema più
        semplice.Vuoi dire che ti hanno liquidato con un SMS?Devono avere budget fortemente ristretti !
        peccato che in informatica i sistemi più
        semplici non esistono e penso che abbiano
        optato per un sistema simile gestito in ASP
        da qualche societa.Mai essere troppo sicuri ...
        peccato che conosco societa di questo tipo,
        e considerando la preparazione del personale
        che ci lavorano tra un due-tre mesi li vedro
        ritornare strisciando, e li i costi
        saliranno e di parecchio.Mai essere troppo sicuri ancora una volta: non sei l'unico, non pensare di essere il migliore ... e non sperare di vederli tornare (tantomeno strisciando), nè di far lievitare i costi (in nome di che, poi ...)A mio avviso non dovresti essere troppo costoso, vista la quantità di accentate e punteggiatura che risparmi, per non parlare degli errori ortografici e grammaticali.Con simpatia
        • Anonimo scrive:
          Re: Un commento a caldo ma anche a fredd
          ...Ovviamente l'open e stato scartato a priori...Parla meglio di quest'aspetto.Citando un dialogo dal primo episodio di Matrix:"Non devi Pensare di essere il migliore, devi Esserlo"Int
  • Anonimo scrive:
    IP-spoofing
    come da soggettoMAI dare false certezze agli utenti!
    • debianaro scrive:
      Re: Oh mamma mia
      - Scritto da: Anonimo
      come da soggetto

      MAI dare false certezze agli utenti!cosa vorrai mai spooffare se l'ip viaggia in VPN e quindi presumo su crittografia ....poi certo se il managerozzo con l'ip personale metteuna password tipo maria23 grazie :)
      • Anonimo scrive:
        Re: Oh mamma mia
        Se non ho capito male, la VPN esiste tra la connessione del cliente ed MCLink...di li la connessione e' cmq. "normale"(non criptata).Il problema vero e' (oltre alla falsa sicurezza), anche il fattoche non sempre ci si trova in condizioni di poter utilizzareuna connessione PPTP o L2TP (firewall, NAT ecc. ).E poi, se per accedere alla mia VPN aziendale uso il client nativo di windows ? Funzionera' "sopra" quellodi McLink ?
        • Anonimo scrive:
          Re: Oh mamma mia
          mai usato una vpn vero ?io(vpn)------mioproviderdeltubo------mclink(ip fisso)----Azienda(vpn server)la vpn puo essere cifrata o in chiaroi login sono 2il primo per la connessione ad internetil 2o per la connessione VPNe puo starciun utenticazione kerbos pap chap ssh altroipv6 insonna tutto quello che vi passa per la zucca (e anche piu di 1)diciamo che l'azienda che ha la vpn deve GESTIRE bene la vpncerto che ip spofing sul ip del provider e mancanza dicertificati e cose varie la possibilita di trovarsi root del server aziendale non e' da escludere (anche quella di ritrovarsiin cella)
          • Quasar scrive:
            Re: Oh mamma mia
            Uhm.... quanto dici non mi torna in relazione a quanto descritto nell'articolo di PITu dici:
            io(vpn)------mioproviderdeltubo------mclink(ip-fisso)----Azienda(vpn server)Cito testualmente: Per l'assegnazione dell'IP, la soluzione di MC-link si avvale di un client di rete virtuale (VPN) basato su tecnologia Cisco System in grado di collegarsi al server reso disponibile da MC-link Quindi io dico:io(vpn)-----mioproviderdeltubo-------mclink(vpn-server+ip-fisso)-------AziendaAnche perchè se il VPN server dovesse essere obbligatoriamente il server aziendale, allora a maggior ragione il server di mc-link non "server" a un piffero! ;)
          • Anonimo scrive:
            Re: Oh mamma mia
            Premettendo che la sicurezza dalle intrusione (esterne) è possibile solo non collegando le machine ad internet, sembra assurdo ma è così.Le aziende serie, o per lo meno quelle che hanno sistemisti capaci, non permettono accessi da connessioni passanti per la bubble internet, si lavora dalla rete interna stop.Vi chiederete ed allora come si fa?Aspetto i vs suggerimenti........poi vedremo.......L'idea di mc-link è la trovata di un esperto in maketing e non di un esperto in sicurezza e direi che è anche bravo.Salve e buona lettura.
          • Quasar scrive:
            Re: Oh mamma mia
            - Scritto da: Anonimo[cut]
            allora come si fa?
            Aspetto i vs suggerimenti........poi
            vedremo.......VPN crittografate direttamente tra il road-warrior ed il server aziendale. Sono cose che si fanno da diverso tempo ormai...
            L'idea di mc-link è la trovata di un esperto
            in maketing e non di un esperto in sicurezza
            e direi che è anche bravoSenza dubbio. Fesso è chi ci casca
          • Anonimo scrive:
            Re: Oh mamma mia
            - Scritto da: Anonimo
            mai usato una vpn vero ?

            io(vpn)------mioproviderdeltubo------mclink(i

            la vpn puo essere cifrata o in chiaro
            i login sono 2
            il primo per la connessione ad internet
            il 2o per la connessione VPN
            e puo starci
            un utenticazione kerbos pap chap ssh altro
            ipv6 insonna tutto quello che vi passa per
            la zucca (e anche piu di 1)

            diciamo che l'azienda che ha la vpn deve
            GESTIRE bene la vpn
            certo che ip spofing sul ip del provider e
            mancanza di
            certificati e cose varie la possibilita di
            trovarsi root del server aziendale non e' da
            escludere (anche quella di ritrovarsi
            in cella)
            Se un'azienda e' in grado di gestire BENE una vpn, allora non ha certo bisogno di autenticare tramite IP statico (che notoriamente e' il sistema di autenticazione + debole).Insomma, a me sembra una baggianata colossale!Ciao
    • Anonimo scrive:
      Re: IP-spoofing
      - Scritto da: Anonimo
      come da soggetto

      MAI dare false certezze agli utenti!Con lo spoofing puoi solo spedire dati, non riceverli...
      • Anonimo scrive:
        Re: IP-spoofing
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        come da soggetto



        MAI dare false certezze agli utenti!

        Con lo spoofing puoi solo spedire dati, non
        riceverli...e poi l'ip spoofing non e' piu' possibile nel 2003, a meno di usare un os obsoleto
        • Anonimo scrive:
          Re: IP-spoofing
          - Scritto da: Anonimo

          - Scritto da: Anonimo



          - Scritto da: Anonimo


          come da soggetto





          MAI dare false certezze agli utenti!



          Con lo spoofing puoi solo spedire dati,
          non

          riceverli...

          e poi l'ip spoofing non e' piu' possibile
          nel 2003, a meno di usare un os obsoletoEh? certo non ce' la voce di menu "ip sproofing" o la relativa icona ma si puo' anche fare :-D
        • Anonimo scrive:
          Re: IP-spoofing
          - Scritto da: Anonimo
          e poi l'ip spoofing non e' piu' possibile
          nel 2003, a meno di usare un os obsoletoQuesto è il mio preferito http://ettercap.sourceforge.net/ma ce ne sono molti altri......calcola che tra poco è il 2004!!! :DDD
          • debianaro scrive:
            Re: Oh mamma mia

            - Scritto da: Anonimo


            e poi l'ip spoofing non e' piu' possibile

            nel 2003, a meno di usare un os obsoleto
            Questo è il mio preferito
            http://ettercap.sourceforge.net/
            ma ce ne sono molti altri......calcola che
            tra poco è il 2004!!! :DDDè vero lo conosco anchio piu che altro lo uso per vederese è tutto ok la lan :)
    • Anonimo scrive:
      Re: IP-spoofing e hacker giurnal
      - Scritto da: Anonimo
      come da soggetto

      MAI dare false certezze agli utenti!dato per scontato che non hai letto o peggio non hai capito la notizia, che c'è fai dell ip-spoofing in questo caso, assolutamente niente.sai cosa significa il termine oppure ne hai appreso l'esistenza su hacker giurnal.che tragedia dopo il danno causato dai vari giornaletti immondizia per pc, ora ci si mettono anche i giornali che ti vogliono far diventare hacker.sempre più aumentano i port scan attachi ecc.., ma in genere becchi quello che ti ha scannato fai a tua volta uno scan e trovi di tutto condivisioni senza password, buchi aperti, server web con l'amministrazione abilitata e senza password (sia iis che apache).Ragazzi vi prego diventare hacker non significa leggere un articolo su questi schifosi giornaletti e partire a testa bassa a far danno.In giro c'è gente più cattiva di me, trova il vostro ip nei log del FiREWALL e vi denuncia.
      • Anonimo scrive:
        Re: IP-spoofing e hacker giurnal


        MAI dare false certezze agli utenti!


        dato per scontato che non hai letto o peggio
        non hai capito la notizia, che c'è fai dell
        ip-spoofing in questo caso, assolutamente
        niente.

        sai cosa significa il termine oppure ne hai
        appreso l'esistenza su hacker giurnal.

        che tragedia dopo il danno causato dai vari
        giornaletti immondizia per pc, ora ci si
        mettono anche i giornali che ti vogliono far
        diventare hacker.

        sempre più aumentano i port scan attachi
        ecc.., ma in genere becchi quello che ti ha
        scannato fai a tua volta uno scan e trovi di
        tutto condivisioni senza password, buchi
        aperti, server web con l'amministrazione
        abilitata e senza password (sia iis che
        apache).

        Ragazzi vi prego diventare hacker non
        significa leggere un articolo su questi
        schifosi giornaletti e partire a testa bassa
        a far danno.

        In giro c'è gente più cattiva di me, trova
        il vostro ip nei log del FiREWALL e vi
        denuncia.Confermo quello che ho detto. Avere un IP statico NON porta grossi vantaggi. Da' solo una pericolosa sensazione di sicurezza. E' come installare un antivirus ed essere convinti che poi si possano aprire tutti gli allegati senza pericoli.PS.: Lo so, e' maleducazione ridere degli errori altrui pero' ... giurnal? hahahah!!! LOL! ROTFL!
        • napodano scrive:
          Re: IP-spoofing e hacker giurnal

          PS.: Lo so, e' maleducazione ridere degli
          errori altrui pero' ... giurnal? hahahah!!!
          LOL! ROTFL!arriveremo al punto in cui ironia e sarcasmo saranno compresi da talmente poche persone che ci sentiremo in dovere di ridere soltanto se in sottofondo sentiremo una risata registrata..non ti è venuto il dubbio che il tizio possa chiamarlo "giurnal" di proposito?
          • Anonimo scrive:
            Re: IP-spoofing e hacker giurnal
            - Scritto da: napodano

            PS.: Lo so, e' maleducazione ridere degli

            errori altrui pero' ... giurnal?
            hahahah!!!

            LOL! ROTFL!

            arriveremo al punto in cui ironia e sarcasmo
            saranno compresi da talmente poche persone
            che ci sentiremo in dovere di ridere
            soltanto se in sottofondo sentiremo una
            risata registrata..

            non ti è venuto il dubbio che il tizio possa
            chiamarlo "giurnal" di proposito?che te devo di in giro bazzica tanta gente ottusa, fai una battuttttta modifichi il nome tanto per ridere (winzozz linuzzz ecc..) ed ecco che arriva il solito ctedendosi Dantttte alligatore.Considerando che e grande maleducazione commenttttare un post solo per gli errrrrori
          • Anonimo scrive:
            Re: IP-spoofing e hacker giurnal
            - Scritto da: Anonimo

            - Scritto da: napodano


            PS.: Lo so, e' maleducazione ridere
            degli


            errori altrui pero' ... giurnal?

            hahahah!!!


            LOL! ROTFL!



            arriveremo al punto in cui ironia e
            sarcasmo

            saranno compresi da talmente poche persone

            che ci sentiremo in dovere di ridere

            soltanto se in sottofondo sentiremo una

            risata registrata..



            non ti è venuto il dubbio che il tizio
            possa

            chiamarlo "giurnal" di proposito?


            che te devo di in giro bazzica tanta gente
            ottusa, fai una battuttttta modifichi il
            nome tanto per ridere (winzozz linuzzz
            ecc..) ed ecco che arriva il solito
            ctedendosi Dantttte alligatore.Io gli errori grammaticali li metto sempre bene in evidenza tra virgolette. Ed era evidente che si trattava di una enorme svista. Se lo avesse fatto di proposito avrebbe messo dentro qualche altro strafalcione. Come avete fatto voi insomma.

            Considerando che e grande maleducazione
            commenttttare un post solo per gli errrrroriEra un P.S. E per di piu' ho ammesso la mia maleducazione. Ma sapete leggere??????
Chiudi i commenti