Intel spara nanosonde contro il cancro

Re: Ma ci avete lavorato con le VPN...


Se vuoi che vada ancora più nel dettaglio,

sono a disposizione

ed allora comincia!!!!!E te chiedi. Non pretenderai mica che ti faccia un excursus sulla sicurezza tutta. L'hai detto tu stesso che la sicurezza è un mondo infinito. Te chiedi e ti verrà risposto
non esiste meglio o peggio tutto dipende da cosa
ci serve quali sono le esigenze ecc
ecc....Primo errore. La sicurezza ha un valore assoluto : puoi averne di più (=meglio), puoi averne di meno (=peggio). La sicurezza non dipende dalle esigenze. Piuttosto, siccome che per ottenere migliori gradi di sicurezza si deve o sacrificare funzionalità oppure lavorare per implementare meccanismi di sicurezza maggiori (ove tecnicamente possibile), dalle esigenze dipende semmai solo il grado di sicurezza che può soddisfarti, in relazione al livello di "sensibilità" dei tuoi dati. Quindi : a seconda di quanto vale la pena proteggere i tuoi dati (=le tue esigenze), tu scegli un grado di sicurezza maggiore (=migliore) o minore (=peggiore)
se navigo con un modem da 56kb con il
mio portatile non mi porto a presso un pix
per potermi proteggere giusto? Giusto. Non di meno fai un secondo errore : io il pix appresso non me lo porto in nessun caso. Io mi porto il mio portatile con il mio sistema operativo preferito dotato del supporto per VPN. Non mi serve nessun IP statico pubblico, e tanto menu una mc-link che fornisce il medesimo. Mi serve solo di aver configurato il mio server aziendale (o per meglio dire: il firewall in sua vece) per instaurare VPN con il mio portatile, che è perfettamente identificabile in maniera univoca e molto più certa che non con un IP address, grazie ad una chiave asimmetrica magari accompagnata da certificato di autenticità il quale magari è stato rilasciato dal mio server aziendale (così non metto di mezzo nemmeno una CA esterna)
la uso da tempo è fino ad ora non ho mai avuto
problemiNessuno (non io) ti sta dicendo che non funziona. Non ho motivo di dubitare dell'efficienza dei servizi offerti da mc-link, nè tanto meno della sua serietà, onestà e buona fede. Ti trovi bene con questo servizio? bene, benissimo, sono davvero felice per te. Io ti dico solo : okkio che stai dando le spalle ad mc-link con le braghe calate. Sicuramente mc-link è tua vera amica percui non se ne approfitterà mai, ma tu sappi che sei in quella condizione
non ci vedo nulla di maleNon c'è proprio niente di male. E' un servizio come un altro. Perfettamente inutile a mio modo di vedere, ma questo non è importante. Basta che non venga venduto come un servizio di sicurezza perchè non lo è per niente e quindi in tal caso diventerebbe truffa
è chiaro che lo stesso servizio non lo userei
mai per amministrare da remoto es. il server
delle transazioni di banca sella
ovvio...capisci la differenza capisci il
target che cambia????Capisco tutto quello che vuoi, ma non vedo proprio nessuno scenario per il quale un servizio come quello di mc-link abbia davvero una sua utilità, soprattutto in ragione del fatto che con uno sforzo veramente minimo in più posso avere di più e di meglio e non dipendendo da nessuno . Descrivimi il tuo di scenario, sarò lieto di ricredermi qualora io non trovassi una soluzione alternativa. Ma devi essere un pò più dettagliato che non un semplice "4 o 5 utenti che si collegano", perchè anche con le VPN IPSec che faccio io ci si collegano decine di "road-warrior" contemporaneamente, ovunque si trovino, solo loro e senza ip statico pubblico
quello dell'ip statico secondo me è una
grande comodità perchè oltre alle mille
soluzioni da te indicate per la sicurezza
uno dei consigli che si applica è proprio
quello di poter accedere ad una macchina
remota da un solo ipTerzo errore: quello che dici te ha certamente una sua valenza se tu hai il controllo diretto di tutti i nodi che stanno tra il mittente ed il destinatario di un pacchetto, ma questo è il caso delle LAN non certo di Internet. Nonostante ciò anche io uso volentieri l'ip pubblico statico ma solo se non c'è motivo per fare qualcosa di più oppure per soluzioni temporanee
non si è capito quello che mclink sta
proponendo...non sta proponendo una vpn sta
dando la possibilità alla gente di poter
portarsi a presso un ip publico statico non
so se il concetto è chiaro Certo che è chiaro, ma non serve a niente portarsi appresso un ip pubblico statico perchè ci sono altri metodi migliori di identificare i road-warriors.Vedi, se fosse gratuito ma soprattutto immediato, potrei anche essere d'accordo nel vederlo come un metodo "intermedio", ma mc-link vuole soldi e neanche pochi, con quei soldi oggi ti compri un routerino con funzionalità VPN integrate; poi, mc-link ti installa un software apposito (immagino sia l' EzVPN di Cisco), essa stessa si deve configurare per inoltrare il tuo traffico road-warrior server .... insomma : non è immediato. E allora, con la stessa cifra (o forse poco più) mi configuro la mia VPN personale, è mia, ne ho la completa amministrazione e giurisdizione e la scalo come mi pare senza dover chiedere nulla a nessuno ed ho "vera" sicurezza end-to-end, al passo con le tecnologie più moderne
il fatto che sia o meno crittografato non è neanche
fondamentale la cosa fondamentale è ip staticoAllora a maggior ragione il servizio mc-link non serve a niente: se hai una tua VPN personale puoi assengare un ip statico della tua rete privata, il che è anche meglio per un sacco di altre cose
poi te addirittura dici che è
peggio mah!!!...Leggi bene, amico mio : parlavo di sicurezza. E' peggio perchè è meno sicuro dei metodi di identificazione e sicurezza convenzionali, ed è meno sicuro perchè si aggiunge un elemento (il server mc-link) tra il client ed il server aziendale. Questo elemento in più ha tutto ciò che gli serve per effettuare con comodo e calma tutte quelle operazioni di auditing sul tuo traffico, tale e quale a quello che potrebbe fare il provider di connettività. Mc-link vede transitare tutto il traffico da/per il tuo server da/per i tuoi road-warrior, quindi potrebbe analizzarlo, studiarlo, e se tu non lo cripti potrebbe anche spiarlo. Questo tipo di situazioni si chiamano in gergo "man-in-the-middle", e sono tra quelle più pericolose e subdole nella sicurezza, tanto che la stragrande maggioranza delle tecniche di sicurezza sostanzialmente mirano a difendere la privacy proprio contro queste situazioni. Anche tutti i normali nodi (i router) sul percorso tra te il tuo server sono dei men-in-the-middle, ma essi si vedono passare miliardi di pacchetti tutti i giorni di tutto il mondo quindi un operazione di auditing da parte loro diventa proibitiva. Ma per mc-link buona parte della fatica è già fatta. Ovviamente questo non vuol dire che mc-link ne approfitti, ma è nelle condizioni perfette per farlo e tu non hai nemmeno alc

Re: Ma ci avete lavorato con le VPN...
Ah dimenticavo: l'unica utilita' di un ip statico pubblico e' la possibilita' di fornire servizi. Ma chi lo fa via PSTN a 56kbps? Inoltre si possono fornire servizi anche con ip dinamici sfruttando qualche trucchetto descritto in questo stesso forum ...RiCiao

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar Quindi : a seconda di quanto vale
la pena proteggere i tuoi dati (=le tue
esigenze), tu scegli un grado di sicurezza
maggiore (=migliore) o minore (=peggiore)hai fatto un bellissimo discorso per poi chiudere con " a seconda di quanto vale la pena proteggere i tuoi dati (=le tue esigenze), tu scegli un grado di sicurezza maggiore (=migliore) o minore (=peggiore)"Quindi anche tu affermi che è un discorso di esigenze è chiaro che poi le esigenze si basano su quanto sono importanti i tuoi dati ma sempre esigenze sono!!!

se navigo con un modem da 56kb con il

mio portatile non mi porto a presso un pix

per potermi proteggere giusto?

Giusto. Non di meno fai un secondo errore :
io il pix appresso non me lo porto in nessun
caso.Ovviamente era un esempio non me lo porto a presso neanche io e neanche lo uso!!!
Io mi porto il mio portatile con il
mio sistema operativo preferito dotato del
supporto per VPN. Non mi serve nessun IP
statico pubblico, e tanto menu una mc-link
che fornisce il medesimo. Mi serve solo di
aver configurato il mio server aziendale (o
per meglio dire: il firewall in sua vece)
per instaurare VPN con il mio portatile, che
è perfettamente identificabile in maniera
univoca e molto più certa che non con un IP
address, grazie ad una chiave asimmetrica
magari accompagnata da certificato di
autenticità il quale magari è stato
rilasciato dal mio server aziendale (così
non metto di mezzo nemmeno una CA esterna)Perfetto ma se a tutto questo aggiungi che alla tua lan aziendale puoi accedervi soltanto da un preciso ip PUBLICO non credi che sia ancora meglio....tu confondi un pò le cose ti ripeto quello che ti offre mclink è un valore aggiunto che non deve farti rinunciare a tutte le precauzioni che già adotti!!!!


la uso da tempo è fino ad ora non ho mai
avuto

problemi
Nessuno (non io) ti sta dicendo che non
funziona. Non ho motivo di dubitare
dell'efficienza dei servizi offerti da
mc-link, nè tanto meno della sua serietà,
onestà e buona fede. Ti trovi bene con
questo servizio? bene, benissimo, sono
davvero felice per te. Io ti dico solo :
okkio che stai dando le spalle ad mc-link
con le braghe calate. Sicuramente mc-link è
tua vera amica percui non se ne approfitterà
mai, ma tu sappi che sei in quella
condizioneAnche tu guando fai transazioni bancarie ti devi fidare della tua banca noo? e cmq ti ripeto dipende sempre dalle esigenze io non proteggo dati minitari!!

non ci vedo nulla di male
Non c'è proprio niente di male. E' un
servizio come un altro. Perfettamente
inutile a mio modo di vedere, ma questo non
è importante. Basta che non venga venduto
come un servizio di sicurezza perchè non lo
è per niente e quindi in tal caso
diventerebbe truffaTi ripeto è un impiù che non guasta avere!!

è chiaro che lo stesso servizio non lo
userei

mai per amministrare da remoto es. il
server

delle transazioni di banca sella

ovvio...capisci la differenza capisci il

target che cambia????
. Descrivimi il tuo di scenario,
sarò lieto di ricredermi qualora io non
trovassi una soluzione alternativa. Ma devi
essere un pò più dettagliato che non un
semplice "4 o 5 utenti che si collegano",
perchè anche con le VPN IPSec che faccio io
ci si collegano decine di "road-warrior"
contemporaneamente, ovunque si trovino, solo
loro e senza ip statico pubblicoLe soluzioni alternative le conosco anche io quello che non capisci è il target se devo gestire da remoto20 30 clienti diversi tra loro non posso per ogni cliente creare e gestire un vpn preferisco usare mclink visto che cmq..ti ripeto non proteggo dati minitari!!!

quello dell'ip statico secondo me è una

grande comodità perchè oltre alle mille

soluzioni da te indicate per la sicurezza

uno dei consigli che si applica è proprio

quello di poter accedere ad una macchina

remota da un solo ip
Terzo errore: quello che dici te ha
certamente una sua valenza se tu hai il
controllo diretto di tutti i nodi che stanno
tra il mittente ed il destinatario di un
pacchetto, ma questo è il caso delle LAN non
certo di Internet. Ma cosa hai detto? forse non ci stiamo capendo...io non intendo assolutamente che l'utilizzo dell'ip deve essere esteso a tutti gli utilizzatori della vpn 10 user150 ? a user 1500 ? ma siamo matti!!io dico che averne 1 da utilizza per l'amm. remota èconsentire solo a quello alcuni servizzi è comodo!!
Certo che è chiaro, ma non serve a niente
portarsi appresso un ip pubblico statico
perchè ci sono altri metodi migliori di
identificare i road-warriors.Non hai capito avere un ip statico portabile ha mille scopi non solo quello che dici tu ma che sei tarato vedi solo road-warriors e vpn!!!!
E allora, con la stessa cifra
(o forse poco più) mi configuro la mia VPN
personale, è mia, ne ho la completa
amministrazione e giurisdizione e la scalo
come mi pare senza dover chiedere nulla a
nessuno ed ho "vera" sicurezza end-to-end,
al passo con le tecnologie più moderneCome sopra devi capire che avere un ip publico sempre a presso ti permette di fare mille cosenon solo vpn!!!!!

poi te addirittura dici che è

peggio mah!!!...
Leggi bene, amico mio : parlavo di
sicurezza. E' peggio perchè è meno sicuro
dei metodi di identificazione e sicurezza
convenzionali, ed è meno sicuro perchè si
aggiunge un elemento (il server mc-link) tra
il client ed il server aziendale.Ripeto non è il rimedio per la sicurezza è una cosa in più i tuoi meccanismi di sicurezza continuali ad usarli pure.....
Questo
elemento in più ha tutto ciò che gli serve
per effettuare con comodo e calma tutte
quelle operazioni di auditing sul tuo
traffico, tale e quale a quello che potrebbe
fare il provider di connettività. Mc-link
vede transitare tutto il traffico
da/per il tuo server da/per i tuoi
road-warrior, quindi potrebbe analizzarlo,
studiarlo, e se tu non lo cripti potrebbe
anche spè vero ma quello che a me interessa è IP PUBLICOdopo ho mille modi per evitare una cosa eventuale e cmq sappi che anche la tua vpn passa per chissà quanti nodi se volessero sniffare i tuoi dati lo farebbere cmq quindi per star tranquilli spengi il pc è l'unica!!!NB Ho dovuto fare molti cut altrimenti non i bastavano i caratteri spero di essere stato chiaro!!

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar


hai fatto un bellissimo discorso per poi

chiudere con...

A bello di mamma, questa è stata la tua
frase:
"Vedi la sicurezza è un mondo infinito non
esiste meglio o peggio"
nella sicurezza il meglio ed il peggio
esistono eccome e tu in base alle
esigenze decidi se ti basta una sicurezza
migliore o una sicurezza peggiore. "...e tu in base alle esigenze decidi se ti basta una sicurezza migliore o una sicurezza peggiore"Perfetto siamo d'accordo è quello che intendevo!!!


io il pix appresso non me lo porto in

nessun


caso.

Ovviamente era un esempio non me lo porto
a

presso neanche io e neanche lo uso!!!
Bene. E allora che cazzo hai portato a fare
quell'esempio?


.... rilasciato dal mio server
aziendale (così


non metto di mezzo nemmeno una CA
esterna)

Perfetto ma se a tutto questo aggiungi che

alla tua lan aziendale puoi accedervi

soltanto da un preciso ip PUBLICO non
credi

che sia ancora meglio....
Noneeeee è totalmente superfluoooooooo

ti ripeto quello che ti offre mclink

è un valore aggiunto che non deve farti

rinunciare a tutte le precauzioni che già

adotti!!!!
E allora a che cazzo serveeeeeeeee!!!!
dell'ip statico pubblico per gli "utenti
remoti" non me ne fo di una segaaaaaaaa!!!!!


Io ti dico solo :


okkio che stai dando le spalle ad
mc-link


con le braghe calate. Sicuramente
mc-link

è


tua vera amica percui non se ne

approfitterà


mai, ma tu sappi che sei in quella


condizione

Anche tu guando fai transazioni bancarie
ti

devi fidare della tua banca noo?
Non c'entra un cazzo : si parla di sicurezza
end-to-end. Quando faccio transazioni
bancarie con la mia banca io sono un end e
la banca e l'altro end. Nel tuo caso il tuo
"utente remoto" (non ti piace il termine
road-warrior) è un end e il tuo server è
l'altro end. MC-LINK E' UN TERZO CHE SI
FRAPPONE FRA I TUOI DUE END

e cmq ti

ripeto dipende sempre dalle esigenze io
non

proteggo dati minitari!!
Si, intanto hai evitato accuratamente di
descrivere il tuo scenario. Forse temi che
ti possa dimostrare come la soluzione
mc-link sia ridicola se raffrontata con le
soluzioni convenzionali? E poi se i tuoi
dati non sono così sensibili allora
probabilmente non ti serve nemmeno l'ip
statico


Descrivimi il tuo di scenario,


sarò lieto di ricredermi qualora io non


trovassi una soluzione alternativa. Ma

devi


essere un pò più dettagliato che non un


semplice "4 o 5 utenti che si
collegano",


perchè anche con le VPN IPSec che
faccio

io


ci si collegano decine di
"road-warrior"


contemporaneamente, ovunque si trovino,

solo


loro e senza ip statico pubblico
Ascolta, se non sei competente dillo, non
c'è niente di male. VPN significa Virtual
Private NETWORK e una volta
configurata se si collegano 1 utente o
100000 utenti non fa alcuna differenzama di cosa parli tu lavori in un'azienda e forse certe problematiche ti sfuggono!!!Se io ho 20 30 clienti i quali hanno le loro adsl128-640 a casa al negozio ecc ecc e hanno la necessita in qualche modo di collegarsi al proprio pc quando sono fuori la soluzione mclink secondo me è la più facile comoda ed economica!!!
Veramente io ero convinto che tu avessi un
ip per ciascuno dei tuoi utenti!!!!! Invece
hai 1 solo ip statico per tutti i tuoi 4-5
utenti? e allora che cazzo identifichi?? Non solo non ci siamo capiti ma vedo con piacere che parli di mclink ma non conosci minimamente il servizio che offre e che ora ha ulteriormente potenziato mclink per i propri abbonati da la possibilità, da tempo, di configurare una vpn che tramite la configurazione di alias, che io assegno permette di identificare l'utente che si collega , la cosa comoda è che gli ip assegnati ai singoli alias sono statici ma in questo caso privati della classe 10.x.x.x Tutto questo mi permette ad es. di avere un server web configurato su un ip statico pubblico dove tengo il sito e nello stesso tempo è configurato su ip statico privato della vpn il tutto con auth Digest e con acl che permettono l'accesso hai soli ip della vpn, per far accedere dall'esterno 4 5 persone all'area intranet il tutto su una sola macchina con una spesa che rientra nell'abbonamento non credo che si possa spendere di meno.

io dico che averne 1 da utilizza per
l'amm.

remota è

consentire solo a quello alcuni servizzi è

comodo!!


perchè ci sono altri metodi migliori di


identificare i road-warriors.te l'ho detto mille volte ip statico è un impiù che non disdegno gli altri mille modi li continuo ad usare ma sei di coccio!!!!

Non hai capito avere un ip statico
portabile

ha mille scopi non solo quello che dici tu

ma che sei tarato vedi solo road-warriors
e

vpn
??? ma, ma .... HAHAHAHAHA!!! ma è quello di
cui stiamo parlandooooooo in questo
foruuuuuummmm ed è la problematica
affrontata dal servizio di mc-liiiiiiink!!!!
oddio mi fai schiantare dal ridere!!!si questo è vero ma io la possibilità dell'ip statico sempre, la vedo con un'altra ottica non solo la sicurezza e quindi credo che persone inteliggenti invece di criticare potrebbero anche evidenziare altri aspetti della cosa che l'articolo non ha fatto!
Comunque attendo ancora di conoscere queste
miriadi di applicazioni che puoi fare con
"ip statico portabile" (come lo chiami tu) e
non puoi fare con VPN personale. Finchè non
le dici e rimani sul generico posso solo
continuare a motteggiartiPurtroppo qui entriamo in un argomento che credo ti sfugga ma a me l'idea di potermi portare a presso un server web sempre accessibile, poter configurare un un server ftp un beeweeb server oppure un mod-davtutti strumenti per condividere risorse o strumentisul mio pc con un ip publico e statico non mi dispiace affatto anzi!!!

quello che a me interessa è IP PUBLICO
NO! quello che ti interessa per un "utente
remoto" è poterlo identificare univocamente
con certezza e l'ip NON è il mezzo giusto.lo so, però è un mezzo che mi restringe ulterio il campo.es se devo amm, 30 adsl con router, come mi connetto ai router in caso di necesità?telnet, che è ormai l'insicurezza in assoluto ed allora che faccio?permetto l'accesso a quel router soltanto dal mio ip statico non è il massimo ma cmq è quello che faresti anche tu noo??

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar

Perfetto siamo d'accordo è quello che

intendevo!!!

Come volevasi dimostrare. Serietà, senso
civile e netiquette vorrebbe che tu ti
scusassi per esserti spiegato male, ma
vabbè, sorvoliamoio credo di essermi spiegato bene ecco perchè non mi scuso ma giustamente ammetto che volevamo dire la stessa cosa!

ma di cosa parli tu lavori in un'azienda e

forse certe problematiche ti sfuggono!!!
Ma falla finita con queste patetiche
insinuazioni, sei solo ridicolo. Sai una
sega te di dove lavoro io. E comunque
continui "elegantemente" a glissare sui tuoi
precedenti sproloqui, confermando la tua
totale mancanza di serietà oppure (a tua
scelta) totale incapacità di distinguere gli
argomenti : qui infatti hai tagliato il
quoting sul tuo commento "se devo gestire da
remoto 20 30 clienti................Rispondo sotto!!!


Se io ho 20 30 clienti i quali hanno le
loro

adsl

128-640 a casa al negozio ecc ecc e hanno
la

necessita in qualche modo di collegarsi al

proprio pc quando sono fuori la soluzione

mclink secondo me è la più facile comoda
ed

economica

Più facile comoda e economica per chi? forse
per chi la rivende. Certo, lui non deve fare
un bel niente e nemmeno spendere un
centesimo. chi la rivende la deve amministrare e gestire e già mi leva un impiccio!!!che poco che sia è sempre un impiccio!!
Economica? lo vediamo subito :
dimmi quanto costa esattamente tutto
l'ambaradan.Nell'abbonamento adsl 128-640 da 77 ? + iva al mese ai 10 client vpn da poter configurare per quella cifra credo che una soluzione più economica non la trovi...adsl di per se è un pò cara ma ti assicuro che non ho mai avuto un problema che durasse + di pochi minuti!!!
Intanto, lo sai quanto costa un
router capace di instaurare 4-5 tunnel
contemporanei per i tuoi 4-5 utenti su una
VPN IPSec personale tramite PSK? tra i 200 e
i 300 euro. La configurazione? mezz'ora sul
router, 10 minuti per ogni client, sia esso
Windows che Linux (non so per altri s.o.).
Ecco fatto.Vedi che non capisci che il problema è il target se devo fare una cosa in proprio migliore e più affidabile mi prendo uno scassone di pc e sopra ci monto openbsd e faccio la mia bella vpn con meno spese ma con più tempo...invece cosi per l'utente casalingo che non ha pretese gli faccio la vpn in due minuti lo capisci!!!
Diciamo un quarto d'ora
per ogni certificato tò. Cazzo che fatica!!
(Inutile dire che a un serverino apposito
puoi fargli fare tutte le cose insieme
risparmiando la spesa del router, ma
lasciamo stare)perchè lasciamo stare?


Veramente io ero convinto che tu
avessi un


ip per ciascuno dei tuoi utenti!!!!!

Invece


hai 1 solo ip statico per tutti i tuoi
4-5


utenti? e allora che cazzo
identifichi??

la cosa comoda è che gli ip

assegnati ai singoli alias sono statici ma

in questo caso privati della classe
10.x.x.x

Ah, quindi ci vuole un altro tunnel tra il
server mc-link e il tuo server. Quindi il
tuo server (gateway) lo devi configurare
comunque. O è un'altro dei tuoi sproloqui?gateway? scusa qui non ti capisco un altro tunnel ma cosa!!! spiegati meglio!!

Tutto questo mi permette [cut] con una
spesa che rientra

nell'abbonamento non credo che si possa

spendere di meno

Ma stai scherzando? ti devi aggiornare amico
mio





perchè ci sono altri metodi

migliori di




identificare i road-warriors.



te l'ho detto mille volte ip statico è un

impiù che non disdegno gli altri mille
modi

li continuo ad usare ma sei di coccio!!!!
Oh, ma ci sei o ci fai? ma ti sei accorto
che hai ri-quotato e ri-risposto ad un mio
commento di 3 messaggi fà??si non è stato volontari la fretta!!!
comunque il "di
coccio" sei te che non t'entra nel
cervelletto che l'ip statico pubblico è un
di più che per l'utenza remota non serve a
un cazzo, e anzi nel contesto di sicurezza e
identificazione può essere ingannevole. Un
sacco di tempo sprecato a spiegarti il
perchè e il percome e tu continui a fare lo
gnorri. Boh, fatti tuoi....no comment..la sicurezza per me è fatta di tante piccole cose e questa è una di quelle che ti devo dire..se ti senti sicuro solo dei tuoi certificati e della tua vpn bravo ma occhio il primo pericolo è sempre dall'interno !!!
Ahhh fermo fermo, ora si scopre che in
realtà il tuo "utente remoto" (road-warrior)
non accede ai servizi del tuo server
aziendale come hai pomposamente dichiarato
finora, bensì è lui ad offrire servizi? ho
capito bene? e perchè mai un road-warrior
dovrebbe avere server web, ftp, ecc... ?Lo sapevo non ci saresti arrivato....e qui non aggiungo altro credo che tu sia un pò limitato cmq appena avro la possibilità di provarlo vado da un mio amico con fastweb a 10 M mi configuro la vpn con ip statico e vediamo come vado che dici questo ti basta tanto per fare un esempi!!!!


se devo amm, 30 adsl con router, come mi
connetto ai

router in caso di necesità?

:o No, dai, stai scherzando, dì la verità :|
Guarda che per fare questo ti basta davvero
dyndns.Dyndns cosa!!! e certo sullo zyxel gli faccio un acl sul nome ma che dici!!!!
Oppure puoi usare il TUO server (e
non quello di mc-link) come ponte per venire
a conoscenza dell'ip del router remoto in
quel momento e quindi connettertici.questo già lo faccio ma averne uno che mi porta a presto lo ritengo più comodo già te l'ho detto con un ip statico ci si possono fare altre cose.
Dài,
via, mi hai preso per il culo finora dài! ci
sono cascato, ero convinto che tu parlassi
seriamente!ma io sono serio :)))

telnet, che è ormai l'insicurezza in
assoluto

Si, dài via mi stai prendendo per il culo!forse che ti devo dire....buon "man in the...." !!!!

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar

Nell'abbonamento adsl 128-640 da 77 ? +

iva al mese ai 10 client vpn
ma stiamo parlando della
stessa cosa? io sto parlando della notizia
di questo forum, e tu?scusa tu mi hai chiesto una cosa io ti ho risposto rileggiti il post, ti ho detto che l'articolo parla di un potenziamento di un servizio che già c'è!!!!

Vedi che non capisci che il problema è il

target
Amico, basta che ti decidi su quale sia
questo target perchè ad ogni post lo cambi....Non è che lo cambio sono tutte situazioni reali che mi capitano io non sto con il culo su di una sedia tutto il giorno a fare la stessa cosa fortunatamente!!!

perchè lasciamo stare?

La verita? perchè mi sembra troppo
complicato per temai sottovalutare nessuno ricordatelo presuntuoso!!



la cosa comoda è che gli ip



assegnati ai singoli alias sono

statici ma



in questo caso privati della classe


10.x.x.x





Ah, quindi ci vuole un altro tunnel
tra il


server mc-link e il tuo server. Quindi
il


tuo server (gateway) lo devi
configurare


comunque. O è un'altro dei tuoi
sproloqui?



gateway? scusa qui non ti capisco un altro

tunnel ma cosa!!! spiegati meglio!!

Allora : tu dici che quando "l'utente
mobile" si collega a mc-link questi gli
assegna sempre il solito IP ma della classe
privata 10.x.x.x. bravooooo!!!!
Se così è, e se questa
identificazione univoca tramite IP statico
deve essere "tramandata" al server finale
(cioè il server finale deve essere in grado
di identificare univocamente l'utente mobile
grazie a questo benedetto IP statico),ES.(213.203.147.2) (213.203.147.4) (213.203.147.3) pc1 10.0.0.2 pc2 10.0.0.3 pc3 10.0.0.4 | | | | | | |____________INTERNET__________ | 195.110.128.10 Server MClink VPN | | Server 172.110.128.23 (10.0.0.1)Questa è la situazione già esistente quella dell'articolo è un'ulteriore evoluzione secondome comoda!!!!!
Appunto : fai lo gnorri. E' proprio questo
il motivo dell'insulsaggine di questa
discussione : io ti ho fatto affermazioni
spiegandole e argomentandole, tu di contro
finora sei stato capace solo di obbiettare
con "tu non capisci qua.... tu non capisci
la.... per me non è così....". Abbiamo
capito perfettamente che per te non è così
ma se vuoi sperare di essere minimamente
credibile sarebbe ora che tu iniziassi a
spiegare i motivi, altrimenti, credimi, non
ci fai bella figura.mi sembra che le cose te le ho dette sei tu che ti stai sclerotizzando su di un articolo che sicuramente poteva dare spunto ad altre discussioni ma tu, forse giustamente vedi solo vpn e sicurezza.

che ti devo dire..se ti senti sicuro solo

dei tuoi certificati e della tua vpn bravo

buah, si vedono continuamente pareri
discordi sugli argomenti più disparati ma
uno che negasse l'efficacia degli odierni
metodi pro-privacy ancora mi mancava. Ok,
prendo attovedi che non leggi, ho detto "solo" il che vuol dire che non sono i soli certificati e le sole vpn a farti stare sicuro con questo non ho assolutamente messo in dubbio la loro efficacia...è diverso noo!!!sei di cemento!!!

ma occhio il primo pericolo è sempre

dall'interno !!!

Già, infatti chissà come mai ho sempre
parlato di connessioni sicure end-to-end, e
comunque il pericolo dall'interno non è
certo un buon motivo per trascurare il
pericolo dall'esterno. Ovvio la mia era una battuta ma possibile che sei cosi quadrato!!!Quindi usi "arp watch" spero! :D
Ma sono sicuro che
avrai da ridire anche su questo.... proprio
te, che fai l'amministrazione con telnet 8)
il toro che dà di cornuto all'asino....Ma chi fa l'amministratore con il telnet ma perchè scrivi quello che ti fa comodo.Ho detto che se devo connettermi ad un router adsl da remoto devo usare il telnet, cosa che capita sporadicamente ma capita ed allora permetto l'accesso da un solo ip tutto qua!!!se proprio lo vuoi sapere da remoto uso ssh vnc su ssh e radmin contento conosci questi strumenti???


ho capito bene? e perchè mai un
road-warrior


dovrebbe avere server web, ftp, ecc...
?



Lo sapevo non ci saresti arrivato....e qui

non aggiungo altro credo che tu sia un pò

limitato

Si, si, certo, certo, però intanto ancora
non lo dici! ma come!
ti fai scappareMi sembra che te lo abbia detto il fatto di avere sulla mia macchina dei servizzi lato server e portarmeli ovunque mi trovo, visto che il mio partatile è sempre acceso mi fa comodo lo capisci o no non ti basta!!

cmq appena avro la possibilità di

provarlo vado da un mio amico con fastweb
a

10 M mi configuro la vpn con ip statico e

vediamo come vado
ma dove vai! ma stattene a casina tua che è
meglio :D

che dici questo ti basta

tanto per fare un esempi!!!!
ma di che! ma te sei malato! "vado dal mio
amico fastweb 10M mi configuro la vpn con ip
statico e vediamo come vado"! che fulgido
esempio di esempio esplicativo!!!poi dici a me invece tu ne dai tante di spiegazioni nel tuo non essere daccordo non mi sembra che hai spiegato un bel niente cosa ci trovi di tanto ridicolo?dammi un riferimento e quando lo faro ti faccio sapere i risultati!!!!



se devo amm, 30 adsl con router,
come

mi


connetto ai



router in caso di necesità?





No, dai, stai scherzando, dì la verità


Guarda che per fare questo ti basta

davvero
ma acl de chè! A RINCOOO! sei te che hai
tirato in ballo i 30 router adsl da
amministrare: io ho voluto dare per scontato
che si trattassero di 30 adsl con ip
pubblico dinamico perchè se non è così si
cade nel ridicolo davvero.scusa ma qui tu sei ridicolo io ho detto che il telnet è un colabrodo ma visto che alle volte ho necessita di arrivare su dei router adsl ip dinamico o statico sti caz... l'importante è che almeno permetto il telnet da un solo ip invece che da tutto il mondo questo non è per amm. ma per fare piccole modifiche ogni tanto. acl è un termine che non riquarda solo cisco che a quanto ho capito non ti sta simpatica!!!

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar

INTERNET

195.110.128.10

Server MClink

|

|

Server

172.110.128.23

(10.0.0.1)

E se ti devi
prendere la briga di configurare 'sto tunnel
con mc-link, non potresti prenderti la
stessa briga per configurare una VPN
personale? in altre parole: dove sarebbe la
semplicità e immediatezza di configurazione
rispetto a una VPN personale?Che il costo sta nell 77 ? di connessione che cmq devo pagare per la linea e che il tutto lo faccio con 10 click e ...ripeto...il target è talmente basso che questo tipo di offerta è secondo me più che soddisfacenete!!!!


Questa è la situazione già esistente
quella

dell'articolo è un'ulteriore evoluzione

secondome comoda!!!!!

Mah, a me sembra che sia invece proprio ciò
che è descritto nell'articolo e quindi non
ci vedo nessuna evoluzione. Ma perchè continui ad essee cosi "quadrato" questo servizio mclink lo offre da almeno 2 anni, due anni fa le tue vpn non costavano 300 ?, ora però in più ti da la possibilità di avere un ip pubblico cosa che prima non era possibile questa è l'evoluzione che poi ti piaccia o no è un'altra cosa!!!! e se non vedi evoluzione che ti devo dire!!!! io si!!!!
Tutt'al più da


sarebbe ora che tu iniziassi a


spiegare i motivi, altrimenti, credimi,

non


ci fai bella figura



mi sembra che le cose te le ho dette sei
tu

che ti stai sclerotizzando su di un
articolo

Io non sclerotizzo su di un articolo. Io
commento un servizio che fornisce un
"oggetto" (l'ip statico portabile) dicendo
che è "Il modo più semplice per assicurare
la certezza dell?identificazione ...
per farsi riconoscere tramite un IP statico
che permette di individuare in modo
certo l?utente". La possibilità di scrivere qui è anche legata al fatto che si può discutere e approfondirlo un argomento quindi visto che io ritengo che quello dell'ip statico è un impiù e ci vedo anche altre possibilità ne parlo, non mi fermo all'articolo, tu invece continui imperterrito sul contenuto dell'articolo che sicuramente è stato scritto da un commerciale e non da un tecnico di mclink!!!
Nota le parole in
neretto: chi afferma ciò è un bugiardo. Come
se non bastasse devi (ovviamente) accettare
che il SUO server si frapponga fra il tuo
client e il TUO server. Direi che è il colmo
della (non) sicurezza!Prova un secondo a lasciar perdere il discorso articolo e sicurezza e pensa all'ip statico forse qualcosa ti viene in mente di carino nooo!!!

che sicuramente poteva dare spunto ad
altre

discussioni ma tu, forse giustamente vedi

solo vpn e sicurezza

Ne parla mclink, e io commento nel contesto
tirato in ballo da lei stessa. Forse
continua a sfuggirti questo dettaglionon mi è sfugito ma se io ci vedo altre possibili funzionalità ne parlo!!!


vedi che non leggi, ho detto "solo" il che

vuol dire che non sono i soli certificati
e

le sole vpn a farti stare sicuro
Cioè secondo te non sono adeguatamente
efficaci. Scommetto che tuo padre da bambino ti picchiava con la cinta....questo tuo continuo puntualizzare per far finta di non capire...dire "non sono adeguate" non vuol dire dire "non sono efficaci".La sicurezza è fatta di mille accorgimenti che vanno da quelli più banali a quelli più corposi per fare un es. accettare connessione da un solo ip cambiare le porte di default di un servizio ecc ecc rientrano tra quelle banali, certificati, chiavi asimmetriche, vpn,emulatori di OS ecc rientrano tra i più corposi ora la differenza tra me e te sta nel fatta che per me la sicurezza è un insieme di cose che ti ho riportato per te solo chiavi certificati e vpn!!!!

Quindi usi "arp watch" spero!
Che c'entra arp watch? stavamo parlando di
pericoli esterni...si ho capito!! ma siccome ti ho detto che il primo pericolo viene dall'interno ti ho fatto una battuta dicendoti se usi arp watch!!! cmq io te lo consiglio!

Ma chi fa l'amministratore con il telnet
ma

perchè scrivi quello che ti fa comodo

Guarda che l'avevi detto te! infatti lo
ridici anche ora, anche se (per fortuna)
correggi il tiro...si ma in che termini? te lo ripeto non riesci mai ad aprire le vedute della tua mente per comeriporti tu le cose sembra che in telnet mi ci connetto sulla mia linuxbox per amministrare il server delle transazioni della bnl!!!! e che diamine stai tranquillo!!!

se proprio lo vuoi sapere da remoto uso
ssh

Oh, ora sono + tranquillo. M'hai fatto
venire un'accidente, mannaggiacome sei simpatico però ricorda.....l'ultimo bug di ssh ben documentato che permetteva da remoto di cambiare la password dell'utente ed entrare tranquillamente....è ovvio che solo uno stupido consente l'accesso da remoto con ssh per l'utente root....ha fatto sfracelli e anche un amministratore attento poteva cascarci.. il pericolo qui non è solo l'informatico esperto che sfruttando il bug ti può far danno quanto il piscello che legge una qualche rivista che ne parla...ormai ne siamo pieni.....e si mette ha sperimentarlo, è proprio quello oggi il pericolo maggiore quindi, è qui torniamo al discorso a noi tanto caro in quel caso l'accesso alla macchina da un solo ip avrebbe sortito da tampone non credi?
COSI' CHE LA
FACCIAMO DIVENTARE COSTRUTTIVA QUESTA CAZZO
DI DISCUSSIONE!! e poi: sempre acceso? ma
che c'hai, il rifornimento in volo?sempre accesso perchè ovunque sto ho internet quindi ho anche un AC....e cmq anche se ho fatto un cut, si... ci facci anche tutto quello che hai elencato tu senza pornazzi che sul mio pc non hanno mai visto la luce!!!! e mai la vedranno!!!

poi dici a me invece tu ne dai tante di

spiegazioni nel tuo non essere daccordo
non

mi sembra che hai spiegato un bel niente

COME?mi riferivo a quello detto subito sopra che però hai tagliato...credo si parlasse di fastweb idea a mio avviso buona se non fosse che la differenza di prezzo dell'offre mclink è dovuta proprio alla larghezza di banda e + di 512 non ti da...cmq io una prova la farei 512 a 300 ? l'hanno anche se rendono 256 non mi sembrano niente male!!!!

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar

alle volte ho necessita di arrivare su
dei router adsl ip

dinamico o statico ...

ahhhh quindi parlavi del caso in cui sei te
l'utente mobile in questione e vuoi l'ip
fisso per inserirlo nelle acl dei tuoi 30
router così che fanno accedere solo te, e
non che i tuoi 30 router hanno l'ip dinamico
e tu gli vuoi dare l'ip fisso per farci
l'amm. Cazzo, mi sei saltato da un caso
all'altro ad ogni riga senza dire nulla e
poi la tua domanda "come mi connetto ai
router in caso di necesità?" mi aveva
definitivamente sconcertato. Vabbene,
stavolta hai ragione te: non avevo fatto 1+1
io. Okkey, questo te lo concedo: in quei
casi meglio un controllo sull'ip statico che
niente (naturalmente dò per scontato che sia
un router SENZA supporto ssh, e SENZA
nemmeno un PC con sshd, sennò non te lo
concedo più! )Vedi il problema è che in molte cose non ci siamo capiti ed ammetto che io nello scrivere non sono un drago ma tu ammetti di essere come gli inglesi.....quando vengono da noi ci dobbiamo sforzare di capirli quando noi andiamo da loro sbagliamo un accento è finita è come se avessimo detto niente!!!Tu sei un pò così dillo dai ogniuno ammetta le sue responsabilità e poi....... buon "Man in the middle a tutti"!!!!

Re: Ma ci avete lavorato con le VPN...
Ti risponderò così altrimenti non la finiremo più.1) hai ragione tu su tutto.2)Mclink è un providere di incompeternti e tu hai la verità in mano3) Sei troppo bravo per me spero tu sia un'ingegniere che quadagna minimo 5000 ? al mese altrimentnti licensiati 4) Credo che le tue competenze siano limitate alla vpn e hai tuoi certificati.5) tutto quello che ci faccio con ip statico anche solo per sperimentare, oltre a quello che già ho detto è per me una gran comodità.6)se uno di quelli che pur di affermare le proprie ragioni uciderebbe l'amico...altro che pignolo...7) hai dato delle giustificazioni ridicole su ssh dimostrando di non conoscere neanche il bug in questione8) PPTP bravo....10 click e via per un utente che paga 77 ? ed è senza pretese e senza segreti minitari è perfetto se tu non lo capisci bravo fai tu!!!Intanto una soluzione diversa non me l'hai proposta ti ricordo che con tutte le magagne che il PPTP in un anno mai dato un problema....configurazione via web con 10 click, file doc passo passo per la configurazione del cliente inviato per posta e in 5/6 minuti ho fatto tutto, per me va bene se per te tutto questo è una cagata fai come ti pare io per quel che deve svolgere la trovo una soluzione dal buon compromesso!!!tu invece la vedi tutta una cagata ma te l'ho detto sei quadrato!!!9) sul discorso arp watch hai proprio esagerato ti ripeto il vero pericolo in abito di rete è l'impiegato malizioso con un minimo di conoscenze informatiche e non un computer configurato male o un virus!!!i quali non sono da sottovalutare e avvio!!!!10) fasteweb vedremo che ti devo dire...per tutta la rete fastweb ci sono due gateway che nattano le connesioni, non credo che impediscano alle connesioni vpn di passare sarebbe troppo!!!11) ultima cosa ...scommetto che voti berlusconi e vai in ufficio in giacca e cravatta...se la rovina degli informaticiTi lascio con la firma del mitico..............."There are only 10 types of people in this world... those who understand binary, and those who don't".

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar Se pretendi che la
gente ti creda a scatola chiusa temo che
avrai cocenti delusioniNessuno mi deve credere a scatola chiusa ip statico e nel frattempo trasportatile a me rimane comodo per i motivi da me detti e da te detti.....non ai mai risposto al pericolo dei "piscelli" che si divertono a mettere in atto exploit bene documentati senza capire bene quello che fanno ma ottenendo cmq risultati pericolo e che magari davanti ad un acl su un ip ben preciso non vanno più avanti cambiando bersagli!!!!anche questa è prevenzione e sicurezza e qui un bel'ip statico ci sta proprio bene, te lo ripetola sicurezza è fatta da tante piccole cose l'ip statico rientra cmq tra queste!! ma tu non se daccordo ed io non so cosa farti!!
2) Non sono incompetenti, sono bugiardiNon soo bugiardi offrono un servizio per un target ben preciso non vogliono convincere nessuno che il loro servizio sia la soluzione definitiva alla sicurezza...non si sognerebbero mai di convincere la banca x y di usare il loro servizio per la sicurezza dei loro impiegati che girano il mondo e devono accedere al server della banca..ma tu questo non riesci a capirlo vedi solo bianco e nero!!!il costo di 150 ? per una cosa di questo tipo mi sembra ben proporzionato e non ci vedo grosse bugie mi dispiace!!!per altro stai parlando di uno dei pochissimi isp se non l'unico che oltre a dirti la banda che ti vende ti dice la banda minima garantita. es. 128/640 2 Mbps per 100 utenti puoi dire tutto di mclink ma non che sono bugiardi mi dispiace tanto!!!
4) Stavamo o non stavamo commentando un
servizio che ha l'esplicita pretesa di
fornire identificazione certa? Si ma per come la vedo io il servizio può avere anche altre funzionalità che non questo....un altra cosa che mi è venuta in mente ora è questa...stando continuamente collegato ad internet ovunque mi trovo posso benissimo usare il mio ip un pò come un numero di tel. installandomi un software per il voice over ip ora tu mi dirai come sempre che ci sono altre mille soluzioni migliori più economiche più funzionali più più....intanto io con il mio ip pubblico trasportabile ti ho già fatto vedere quante cose si possono fare...http ftp voice pop3 sicuro...perchè no!!! in somma spazio alla fantasia io vedo l'ip pubblico con tutti i vantaggi dell'ip pubblico se tu queste cose non le vedi che posso fare.....considerando che per tuo malgrado sono docente di informatica da 5 anni mi viene in mente come potrebbe essere comodo configurare servizzi sul mio pc con ip pubblico e farli usare dai studenti in modo da simulare una situazione più reale che se facessi tutto in locale ti ripeto l'articolo e la sicurezza sono relativi per il mio utilizzo, sono un impiù ma non la cosa più importante.....se mi metto a pensare sicuramente mi verrebbro in mente altre cose!!!!!
7) Non ho dato giustificazioni ridicole
perchè non ho dato proprio giustificazioni.
Cosa avrei dovuto commentare? o addirittura
giustificare? E' assurdo dare qualsivoglia
giustificazione a un tipo di problemi (i
bug) che ci sono sempre stati e sempre ci
saranno; se lavori nel settore dovresti
saperlo bene anche tu: un conto sono i
difetti strutturali, altra cosa sono i bug.
Quel bug è stato risolto, ne verranno fuori
altri; è normale. I difetti di
implementazione sono inevitabili. Se
dovessimo non usare un programma perchè può
avere dei bug allora non ne useremmo nessuno
di nessun tipo. Volevi che ti dicessi come
affronto io i bug? semplicemente come
dovrebbero fare tutti: mi tengo sempre
aggiornato alle ultime versioni. Fai quello
e probabilmente non avrai mai problemi. Non
so quel caso specifico ma sono certo che
avrà "fatto danni" solo a coloro non si
erano aggiornati con la patch che
sicuramente era uscita settimane o
addirittura mesi prima. Come faccio a
esserne certo? semplicemente perchè succede
sempre così. Volevi sapere come configuro io
ssh? se rispondi te lo dicoil tuo discorso sui bug è quasi scontato ma neanche tanto.....in informatica ci sono due tendenze una è quella di che è sempre aggiornato all'ultima path e quellodi chi non tocca nulla se tutto funziona...sempre che non escano bug clamorosi è ovvio!!! e cmq in ambito MS...e qui dimostri di non essere molto serrato tra un sp e l'altro MS cambia i suoi termini di licenza che in alcuni casi ti costringono a non effettuare l'upgrade vedi la vicenda poste italiane e il virus che attacco il db delle poste per un agg. non fatto dall'amministratore di sistema!!
8 ) Guarda, ti passo pure il "compromesso",
anche se già all'inizio ti dissi quanto
secondo me fosse poco rilevante visto che si
mette in piedi una vpn personale (più sicura
e stabile) con uno sforzo di poco maggiore
che ti ho pure quantificato. Cosa mi hai quantificato la tua vpn personale te la quantifico io....acquisto del firewall vpn da 300 ? come dici tu....non mi sono informato ma ni sembra poco cmq...tutto questo ha ovviamente dei tempi sia che te lo fai consegnare sia che lo devi fisicamente andare a comprare no?Configurazione a dei tempi da te indicati...20 30 min se non erro... configurazioni cliente a dei tempi che non sono solo quelli della configurazione vera e propria ma tanto per fare un esempi...metti daccordo 5 10 persone a farti lasciare i pc e poi spiega loro quelle quattro cazzate che cmq devono saper per l'utilizzo della vpn questi sono i veri tempi diciamo in totale 3-5 giorni? ora non mi dire che ho esagerato....e non solo dove lo metto il server della vpn sulla connessione 128-640 sai che prestazioni è inutile pensare alla sicurezza se poi non c'è usabilità..quindi avrai bisogno di una buona connessione e soprattutto affidabile che comincia a costicchiaree tutto questo che dici tu per chi? l'utente casalingo oppure il negozio con 3 4 rappresentanti che vuole spendere poco...ma scherziamo...la soluzione di mclink in tal senso è perfetta ripeto PERFETTA per questo target!!!!10 click via web una guida passo passo da spedire per email ed in 10 min ho fatto tutto, al massimo puoi ricevere 1 2 tel per maggiori delucidazioni ma nulla di più!!!

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar
Ho diverse cose da
scriverti ma ora devo lavorare (devo fare
una vpn ;) ) percui cercherò di risponderti
stasera o al massimo domani (voglio infatti
risponderti al meglio delle mie possibilità
e per fare questo devo trovare un pò di
tempo continuativo). Adesso vorrei solo
rispondere ad alcune disquisizioni non
tecniche, in modo da circoscriverle in
questo messaggio solamenteSpero solo che non ti stai prendendo del tempo per documentarti perchè io non l'ho fatto altrimenti dovremmo incontrarci in chat ma non credo che ti conviene.....vpn? oggi? ma dai dimmi che dovevi uscire con la ragazza altrimenti sei proprio uno stacanovista!!!!

Non soo bugiardi offrono un servizio per
un target ben preciso

non vogliono convincere nessuno che il
loro servizio sia la

soluzione definitiva alla sicurezza
Non parlano di sicurezza, parlano di
identificazione certa grazie all'ip statico.
Per me questa è una bugia. E come ti dissi,
l'ip statico lo posso considerare un buon
indizio di identità, ma non una certezza.
Poi, capisco e mi va bene tutto quello che
vuoi riguardo ai target e alle esigenze di
ogni caso per le quali avere un buon indizio
(ma diciamo pure ottimo) di identità può
essere molto più che sufficiente. Non solo
l'ho capito (anzi lo concordo e l'ho sempre
pensato anche io) ma lo uso pure io
volentieri quando non mi voglio
sbattere troppo oppure non ho giurisdizione
su uno dei due end di una connessione. Ma
non mi si venga a dire che un ip address dà
indentificazione CERTA e che quindi consente
tutte quelle applicazioni che necessitano di
identificazione certa


il costo di 150 ? per una cosa di questo
tipo mi sembra ben

proporzionato

Miseria cane! realizzo solo ora che i 150
euro sono all'anno e non al mese!!!! Te l'ho detto mclink come isp non lo conosci affatto e alla fine si scopre che una dei motivi principali del tuo non essere daccordo con il servizio di mclink, il prezzo.....non lo avevi neanche capito....e poi chi è che deve ridere? lasciamo perdere va...fai più bella figura!!!!
Di teoria se ne può fare quanta
se ne vuole ma poi bisogna videre le
applicazioni nel mondo reale; es. fornire
gli upgrade ai clienti non è realistico....
o tu hai clienti così bravi da collegarsi,
scaricare, installare, ...., tutto da soli?
Poi, un sito web su un computer portatile?
dài via non mi dire che è pratico! E per
quanto riguarda l'amministrazione remota,
per me è una cosa che non può accontentarsi
solo di un "ottimo indizio" di
identificazione, quindi, abbi pazienza, ma
personalmente penso a quella soluzione solo
per escluderla assolutamente!!Questi sono solo punti di vista....non replico neanche, io come ti ripeto le cose che tu reputi poco utili le ritengo utili inoltre per gli upgrade posso capire sotto linux e os unix like ma sotto windows ad effettuare un agg. non ci vuole una scienza non credi?Ovviamente ci sono sempre le dovute eccezioni che possibilmente risolvo da remoto!!
Poi, mi rinfacci la ridicolaggine della mia
"soluzione" per difendermi dai MAC spoofing
asserendo che è una non soluzione. Ma...
l'avevo già detto io! avevo ben detto che
ero rimasto vago, generico.Vedi, lo sai fin ora qual'è la verità...che tu sei quello che tecnicamente non ha ancora detto una mazza forse sei tu che hai paura di scoprirti sei tu che volevi fare discorsi costruttivi e scambi di idee ma invece sei come dice un bellissimo film "tutte chiacchiere e distintivi"......
Tu preferisci
dire "non risposta"? ok, mi sta bene questa
tua definizione, ma te l'ho detto io che era
una non-risposta. Aspetto con anzia una risposta!!!!!!!
Ti ho detto che io lo
affronto in un non meglio identificato certo
modo e che se eri interessato ai dettagli
dovevi solo chiederli. Io ti ho risposto con una la soluzione tu potevi ribbattere con la tuaed invece.......ed allora te lo chiedo dispetratamente VOGLIO I DETTAGLI MA MI RACCOMANDO CHE ESCANO DALLA TUA BOCCA!!!!!
Può sempre capitare
di buttare li un argomento ma se vuoi
approfondire me lo devi dire te. Non lo
posso fare io di mia iniziativa, soprattutto
se è un argomento che non è attinente al
topic principale (come è il caso dei MAC
spoofing); rischierei di rubare inutilmente
spazio (caratteri) prezioso agli altri
argomenti già avviati e più attinenti. Come
ti risposi nel primissimo post (quando mi
dicesti "E allora comincia a parlare..."),
non puoi mica pretendere che ti faccia un
excursus totale!!! sai bene che non
basterebbero decine e decine di post da 7000
caratteri l'unoOK!!..però basta...ogni volta che non rispondi aggiungi che stiamo uscendo fuori dall'argomento ma insomma ormai un vero e proprio argomento non credo che ci sia volevi essere costruttivo essilo......alla fine sulla questione VPN mi sembra che ci siamo più o meno chiariti...per te il prezzo è proporzionato al mercato e il discorso del target cominci a capirlo per altro una soluzione più veloce più economica non mi pare che tu l'abbia proposta...più sicura non c'è bisogno che me lo ricordi lo so perfettamente, ma ricorda a chi serve...quindi che ti dico!! visto che in più di un'occasione hai voluto rendermi ridicolo sappi che fino ad ora l'unico ridicolo sei tu...cmq legi leggi che l'argomento sicurezza a livello "Data Link" è molto bello ed interessante potresti imparare molto e ti assicuro che è molto più interessante del tuo livello "Application".

Re: Ma ci avete lavorato con le VPN...
- Scritto da: QuasarTi ho detto che io lo
affronto in un non meglio identificato certo
modo e che se eri interessato ai dettagli
dovevi solo chiederli. Può sempre capitare
di buttare li un argomento ma se vuoi
approfondire me lo devi dire te. Scordavo....qui poi sei ridicolissimo io ti ho dato le info sul PPTPe poi ti ho detto:" dimmelo tu sei tu l'esperto!!!" riferendomi a ipsecbeh! non mi dire che in tutto quello che hai scritto almeno qui dove sei "ESPERTO" potevi rispondere no? Forse ti devi documentare anche su questo........quindi ti prego non dirmi che te devo chiedere le cose perchè mi sembra che tanto le risposte non arrivano cmq!!!Buone letture!!!!

Re: Ma ci avete lavorato con le VPN...

non ai mai risposto al pericolo
dei "piscelli" che si divertono a mettere in
atto exploit bene documentati ...Mi sembra di averlo detto. Più o meno direttamente. Ho detto che tengo sempre aggiornati tutti i software che uso, specie i software inerenti la sicurezza. Così facendo ritengo di difendermi adeguatamente sia dagli uni (i pischelli) che dagli altri (i pirati esperti)
la sicurezza è fatta da tante piccole cose
l'ip statico rientra cmq tra queste!! ma tu
non se daccordo ed io non so cosa farti!!Ma non è vero che non sono d'accordo. Io non sono d'accordo e sono quindi intransigente verso coloro dicono che un ip statico è un mezzo per dare identificazione certa. Io smetterò di ripeterti imperterrito (e quindi di essere "quadrato") questa cosa quando avverrà una delle seguenti:1) mi dimostrerai tecnicamente il contrario2) concorderai con me su questa cosa e al contempo cesserai di suggerirmi possibili applicazioni del servizio di mclink che, per essere fatti come Cristo comanda, non possono accontentarsi del solo ip statico come elemento identificativo
un altra cosa che mi è venuta in
mente ora è questa...
stando continuamente collegato ad internet
ovunque mi trovo posso benissimo usare il
mio ip un pò come un numero di tel.Questa mi piace! assolutamente si, mi piace talmente tanto che..... l'ho proposta tempo fa ad un mio cliente, con le differenze che mi accingo a descriverti GENERICAMENTE
ora tu mi dirai come sempre che ci sono
altre mille soluzioni migliori più
economiche più funzionali più piùPiù economiche non lo so, probabilmente no, e certamente non "mille". Ti posso descrivere GENERICAMENTE come la vorrei farei io: - server vpn " in casa " (mia, o del cliente, come preferisce lui)- ovviamente server (linux) vpn con supporto h323 (openh323.org e relativi software)- eventuale scheda PSTN gateway (insomma: una mini compagnia telefonica....)- "ip statico portabile" privato assegnato dalla vpn- gli utenti mobili titolari di un ip statico privato sono raggiungibili tramite l'ip statico pubblico del server vpn. L'idea sarebbe che il "numero di telefono" fosse l'accoppiata "ip-pubblico-server (meglio: fqdn) + porta-tcp-associata-in-maniera-fissa-al-utente-interno"Soluzione certamente più complessa di quella percorribile avendo un vero ip statico pubblico per ogni utente mobile, ma più risparmiosa almeno in termini di ip, anche se a dire il vero sto ancora studiando la reale fattibilità (in particolare relativamente al port forwarding necessario)
sono docente di informatica anni mi viene
in mente come ...Per carità, gli usi accademici te li approvo e avallo tutti. Gli usi reali dipendono dal grado di certezza di identificazione e di privacy necessari (l'hai detto anche tu, no?). Semplicemente per me ci sono cose per i quali affidarsi al solo ip come metodo di identificazione è sbagliato. E su quelle cose non sento ragioni (l'hai notato, no? 8))
se mi metto a
pensare sicuramente mi verrebbro in mente
altre coseNon ne dubito. Se ti interessa il mio parere, quando ti vengono in mente sai dove trovarmi. Basta che eventuali critiche tu non le prenda come offesa personale! non vorrai mica che ti dica "si, si, hai ragione" solo per farti contento? cosa ci guadagneresti?
il tuo discorso sui bug è quasi scontato Per questo non avevo ritenuto opportuno farlo
in informatica ci sono due
tendenze una è quella di che è sempre
aggiornato all'ultima path e quellodi chi
non tocca nulla se tutto funziona...Io tendo per la prima (obbiettivamente non sempre, ma quasi)
e cmq in ambito MS...e qui dimostri di non
essere molto serrato tra un sp e l'altro MS(intendevi dire "ferrato"?) Questo è verissimo! I miei server sono 100% (linux), i miei client sono grosso modo 20% linux e 80% Microsoft
Cosa mi hai quantificato la tua vpn
personale te la quantifico io....acquisto
del firewall vpn da 300 ? come dici
tu....non mi sono informato ma ni sembra
pocoE' il prezzo al pubblico (+IVA) dello Zyxel Prestige 652 che ha solo due limitazioni: autentica solo con PSK (e non con chiavi e nemmeno certificati) e sopporta solo due tunnel attivi contemporaneamente su 10 configurabili. Ma si parlava di utenti medio-minimi, no? (tipo aziende o uffici medio-piccoli, SOHO). Altra possibile soluzione: router con solo VPN-passthrough (es: Netgear DG814, prezzo 120 euro +IVA) ed un server (linux) dietro (che magari c'è già a fare altre cose) a fare da end-point per un numero illimitato (dalle prestazioni e dalla memoria) di tunnel
cmq tutto questo ha ovviamente dei
tempi sia che te lo fai consegnare sia che
lo devi fisicamente andare a comprare no?Con un cliente nuovo o anche vecchio ma che non ha un router adatto (VPN-passthrough) non sei soggetto al medesimo problema?
Configurazione a dei tempi da te
indicati...20 30 min se non erro...Si, per il router Zyxel si. Per Linux ci vuole in più il tempo di ricompilazione del kernel dopo averlo patchato per il supporto ipsec di freeswan.org (complessivamente un'altra ora). Ma con il nuovo kernel 2.6 non sarà più necessario perchè avrà il supporto ipsec nativo
configurazioni cliente a dei tempi che non
sono solo quelli della configurazione vera e
propria ma tanto per fare un esempi...metti
daccordo 5 10 persone a farti lasciare i pcNo. Per i client ho un installer che possono scaricare dal mio sito e che fa tutto da solo: ipsecpol.exe (ipseccmd.exe per XP) di mamma Microsoft per il supporto ipsec + file di configurazione su misura per la loro vpn da me predisposto in pochi minuti: i parametri sono sempre uguali, basta cambiare gli ip di riferimento (ip statico pubblico assegnatogli dal provider e indirizzo della loro subnet privata, nonchè PSK se router Zyxel)
e poi spiega loro quelle quattro cazzate che
cmq devono saper per l'utilizzo della vpnVeramente le cazzate non sono nemmeno due: i client basta che generino traffico (di qualsiasi tipo) verso la subnet privata e Windows automaticamente instaura il tunnel
questi sono i veri tempi diciamo in totale
3-5 giorni?Se vuoi includere i tempi di consegna del router possono essere anche maggiori. Ma anche nel tuo caso
e non solo dove lo metto il
server della vpn sulla connessione 128-640
sai che prestazioni è inutile pensare alla
sicurezza se poi non c'è usabilitàa 128k? va quanto basta. Es: si fanno anche 3-4 telefonate contemporanee VoIP a quella velocità. Comunque l'utente medio-minimo accede al gestionale (telnet, http o altro protocollo thin-client) o alla intranet, e per quelle cose non si percepisce differenza tra traffico in chiaro o su tunnel vpn (cioè è una scheggia)
la soluzione di mclink in tal
senso è PERFETTA per questo
targetSecondo me giusto per un utente casalingo che dal portatile vuole

Re: Ma ci avete lavorato con le VPN...

PS Preparati perchè ...Hmm, scommetto di sapere a cosa ti riferisci e quindi scrivo nuovamente solo per precisare alcune cose che ho scritto e che potrebbero essere fuorvianti soprattutto per i profani che potrebbero essere tratti in inganno dalle tue facili insinuazioni. Vorrei chiarire ad altri lettori (dubito che ce ne siano ma non si sa mai) che la mia frase " ad ogni porta (di uno switch) si attacca UNA SOLA macchina che quindi non può sniffare proprio un cazzo a livello data-link " non nega affatto che sia possibile intercettare traffico altrui, bensì nega il fatto che sia possibile farlo SNIFFANDO il traffico, come invece il nostro anonimo docente vuole far intendere (" utilizzo Ettercap dal mio computer della rete locale ... seleziono il gaetway ... e comincio a SNIFFARE tutte le connessioni verso il gateway anche se la rete lavora con gli swtch "). A beneficio di chi non lo sapesse occorre fare un passo indietro. Cosa significa "sniffare"? sniffare significa vedere i pacchetti di dati che corrono sullo stesso filo al quale siamo connessi noi, pacchetti di dati muniti di indirizzo mittente e indirizzo destinatario non corrispondenti a nessuno dei nostri indirizzi nè all'indirizzo broadcast (che viene sempre trasmesso da tutti gli switch). Questo è sniffare. E con un solo host collegato ad ogni porta di uno switch, ciò non è possibile. Fin tanto che il nostro anonimo docente si era soffermato sui possibili man-in-the-middle a livello link-layer, non ho avuto proprio niente da eccepire, anzi. Ma quando, forse preso da un inspiegabile "entusiasmo", egli mi parla di "sniffare" liberamente a destra e a manca le cose cambiano. Sono esageratamente pignolo? Forse. Ma visto che il nostro docente "gioca" sul gergo tecnico inventandosi interpretazioni lascive dei termini per tentare squallidamente di mettermi in cattiva luce, non posso evitare di intervenire e fare le dovute spiegazioni a chi non masticasse della materia (non certo al nostro docente, che viceversa conosce bene quello che mi accingo a spiegare ora). E qui, ho sorvolato e sorvolo su tante altre cose, ma NON posso sorvolare sul fatto che si era partiti, su mia ipotesi, da casi di MAC-spoofing, e siamo finiti improvvisamente a complesse pratiche di MITM a livello link, il tutto come risposta alla domanda "cosa un impiegato malizioso con un MINIMO di conoscenze informatiche potrebbe fare di così subdolo ecc... ?" Beninteso che è stato lui a mettere in mezzo il MINIMO di conoscenze, quindi evidentemente secondo lui tutto ciò sarebbe fattibile da un "impiegato con un MINIMO di conoscenze informatiche". Orbene, ancora una volta il nostro docente parla in teoria, dimenticandosi della realtà. A prescindere dalla facilità d'uso di questo o quel tool (nella fattispecie non conosco Ettercap percui non posso esprimermi in merito), nella realtà un MITM a livello link in una switched LAN presuppone che l'autore dell'attacco sappia già quali siano gli host interessanti e per che cosa (cioè per quale traffico) lo siano. Questo perchè in una switched LAN non si può SNIFFARE per scoprirlo in maniera passiva. Quindi si deve già sapere il nome o meglio già gli IP address tramite qualche altro metodo "out-of-band". Certo, si può decidere di "avvelenare" (come si dice in gergo) l'intera LAN ed un tool intelligente (quale forse è Ettercap) potrebbe dedurre in tempo relativamente breve la topologia logica della rete (quali sono i gateway, quali sono i client, quali i server, ...) oppure di agire selettivamente e un pò per volta fino ad individuare ad occhio qualcosa di interessante, ma nel primo caso si verrebbe sopraffatti da mega e mega di traffico (un vero pagliaio nel quale cercare il proprio ago), nel secondo caso, ma anche nel primo a dire il vero, si dovrebbe anche sapere di cosa gli host "avvelenati" stiano parlando, cioè si dovrebbe sapere se si sta intercettando traffico telnet o smtp o pop3 o chissà cosa. Perchè si dovrebbe saperlo? perchè altrimenti cosa ve ne fate di un mucchio di caratteri più o meno (il)leggibili se non sapete a cosa si riferiscono? cosa ve ne fate di una gragnuola di username e password se non sapete in quali contesti vengono usati? quindi, per rendere utile intercettare il traffico tra due host, dovete sapere di cosa quei due host stiano parlando. E davvero tutto ciò può essere fatto da un "impiegato con un MINIMO di conoscenze informatiche"? mi sbaglierò ma io dico di no. Comunque ovviamente lascio a voi la decisioneMiei cari lettori, forse a questo punto sarete anche curiosi di sapere come sia possibile intercettare traffico altrui senza sniffare, come sia possibile frapporsi fra due host di una LAN senza (quasi) farsene accorgere, anche se trattasi di switched LAN. Niente paura, avete un qualificato docente di reti pronto a darvi tutte le spiegazioni che volete. La sua caratteristica peculiare è quella di essere estremamente chiaro preciso ed esauriente nei suoi interventi. E non temete di chiedergli ulteriori dettagli qualora qualcosa non vi tornasse: egli vi risponderà prontamente senza inganno e senza offesa. Io, dal mio piccolo, vi posso solo anticipare brevemente che la faccenda ha a che vedere con una sorta di "ingenuità" con la quale molti sistemi operativi reagiscono al traffico ARP, che è quel traffico "dietro-le-quinte" (che corre sul filo come qualsiasi altro traffico) che si scambiano tutti gli host di una LAN allo scopo di tradurre gli indirizzi network-layer (es: indirizzo IP) in indirizzi link-layer (es: indirizzo Ethernet) questi ultimi conosciuti genericamente come MAC address. Per ulteriori delucidazioni chiedete al nostro anonimo. Sono altresì certo che la sua deontolgia professionale farà si che egli sia altrettanto solerte nel descrivere anche le possibili contromisure, che esulino da quelle drastiche ed invasive che ha già elencato (tipo autenticazione del traffico arp tramite, guarda caso ;), chiavi asimmetriche e/o certificati). Anche qui vi do solo un piccolo indizio: istruire i s.o. ad essere un pò meno ingenui e, siccome questo in taluni casi può non bastare e creare altre antipatiche possibilità di attacco tipo DoS, anche switch appena un pò più "intelligenti" della norma possono essere utili a far si di contrastare A MONTE (come dicevo) simili pericolose prassi (MITM e MAC spoofing)Ok, il punto che dovevo chiarire l'ho chiarito (spero). In breve: con switch alle cui porte sono collegati uno ed un solo host, non si sniffa nulla, e MITM non è sniffAltra piccola precisazione sul discorso fastweb/vpn: anche SE il firewall consentisse traffico con protocollo GRE e ESP, allora potrebbe funzionare UN solo tunnel per volta anche senza incapsulare, ma eventuali due o più tunnel contemporanei diventerebbero concorrenti nella NAT, disturbandosi a vicendaDetto questo, auguri all'anonimo docente per i suoi corsi, dopo di che, come ho già detto le polemiche gratuite mi possono divertire per un poco, poi basta, quindi passo e chiudo 8)

Re: Ma ci avete lavorato con le VPN...


la mia

frase "ad ogni porta (di uno switch)

si attacca UNA SOLA macchina che quindi

non può sniffare proprio un cazzo a
livello

data-link" non nega affatto che sia

possibile intercettare traffico altrui,

Già ti sei contradetto rileggiti e spiegati
meglio!!!
e cmq anche alla porta di un hub si attacca
una sola macchina che vuoi dire a meno che
non sono riusciti a fare dei mini rj45 da
metterne due per porta è così dimmelo perchè
mi manca :DDDHehe vedo che ti fai sempre più meschino, vecchio marpione! Eh si che sai bene cosa intendevo dire ma vuoi continuare con la tua polemica gratuita. Ora pur di aver qualcosa per polemizzare ti aggrappi persino a questo e addirittura al "nick-che-è-comunque-anonimo". Comunque ti ringrazio perchè mi dai l'opportunità di spiegare ciò che avevo colpevolmente sottinteso (lo spiego sempre a beneficio dei profani, non certo a beneficio tuo che invece sapevi bene cosa sottintendevo ;))Ebbene, miei cari lettori, mi consentano :D : qualora si fosse in possesso di hub si potrebbe collegarci 2,3,4,10,100,x host, tanti quanti sono le porte disponibili sull'hub in questione, certamente un solo host per ogni porta (mattacchione! ;)). Gli hub, diversamente dagli switch, propagano tutto il traffico, anche quello non broadcast, quindi gli host collegati ad un hub vedono ... Versione 1, per i profani: ... correre sullo loro filo** il traffico da/per qualsiasi altro host collegato al medesimo hub Versione 2, medesimo concetto, ma a beneficio di chi già mastica l'argomento: ... transitare sul segmento LAN a cui appartengono il traffico da/per qualsiasi altro host connesso al medesimo segmento LANTra loro possono perciò effettuare ANCHE sniffing oltre che MITM. Questo hub, qualora fosse collegato a sua volta ad una porta di uno switch, fa si che tutti gli host (2,3,4,10,100,x .....) a lui connessi siano di fatto collegati tutti a quell'unica porta di quello switch. Ergo, come per magia, si hanno tanti host tutti collegati ad una sola porta di uno switch, questo perchè uno switch è proprio uno strumento che suddivide una LAN in più segmenti. Ecco perchè ho precisato il fatto che quando ad ogni porta di uno switch si collega uno ed un solo host non si può sniffare ecc.... Non si può sniffare perchè non c'è niente da sniffare e non c'è niente da sniffare perchè su quel filo** (segmento) corre (transita) solo il traffico da/per quell'unico host. Si può sniffare senza fare MITM, si può fare MITM senza sniffare. Sniffare è come appoggiare l'orecchio ad una porta e sentire le persone che parlano e quello che si dicono (sperando di capire la loro lingua). Fare MITM è come convincere due persone che noi siamo l'altra persona con la quale ciascuna di loro crede di parlare. Cioè: Mario vuole parlare con Carlo e viceversa, ma tra i due si frappone Luca che convince Mario che lui (Luca) è effettivamente Carlo e convince Carlo che lui (sempre Luca) è effettivamente Mario, quindi Mario è convinto di parlare con Carlo mentre invece parla con Luca e Carlo è convinto di parlare con Mario mentre invece anch'egli parla con Luca. In caso di sniffing invece Carlo e Mario parlano davvero fra di loro e Luca è dietro la porta ad ascoltare ciò che si dicono. La differenza è sostanziale poichè le possibili implicazioni pratiche sono diverse (anche se alcune sono in comune). Il nostro docente invece preferisce dire che MITM è uno dei metodi per "sniffare". Come vuole. Io ho precisato cosa intendevo con la mia frase, il resto è solo polemica gratuita e non mi interessaCerto avrei di che correggere certe sue affermazioni, in particolare sulle possibili contromisure, su come ci sia differenza, diversamente da quanto asserisce lui, sotto vari punti di vista (soprattutto tecnico) tra m-i-t-m di network-layer (=layer-3 es: IP) e m-i-t-m di link-layer (=layer-2 es: Ethernet, Token Ring, 802.11a/b/g (aka Wi-Fi), lui sempre per polemica ridicola puntualizza DATA-link-layer. Ok, come vuole, non fa differenza), su come MAC address sia un termine generico, checchè ne dica lui, per riferirsi agli indirizzi DATA-link-layer (=layer-2) e quindi si dice comunemente MAC address di una scheda Ethernet, di una scheda Token Ring, di una scheda Wi-Fi, ..... Ovvio, dicevo, che avrei da correggere cose che ha scritto nonchè aggiungere cose che ha dimenticato di scrivere nonostante il notevole impegno che ha profuso, ma come ho già detto:1) ha ragione lui su tutto2) mclink dice il vero ecc.... ecc....3) è troppo bravo per me ecc...ecc...4) tutte le sue insinuazioni nei miei riguardi (su cosa so, cosa non so, cosa uso, cosa non uso, cosa "finalmente" avrei capito grazie a lui, ecc...) sono tutte verissime e fondatissime!5) ho fatto davvero figuraccia al suo cospetto! diamine, ha persino accennato a STP!!! sono convinto che se d'ora innanzi lo chiamerò "Radia Perlman" ella non se ne avrà a male!** Amici lettori, in realtà ci sono sostanziali differenze tra "filo" e "segmento LAN", differenze che hanno a che fare con il layer-1 (=physical-layer) del modello OSI, laddove ad es Ethernet "corre" su "filo" (di solito RJ45, un tempo si usava anche il BNC = cavo coassiale) mentre Wi-Fi "corre" ovviamente .... per l'aere. Il motivo per cui faccio questa distinzione solo come nota è perchè in mezzo al discorso principale avrebbe potuto confondere inutilmente le idee, inutilmente perchè è comunque ininfluente nel discorso principale (ma scommetto che il nostro docente avrebbe certamente colto questa opportunità per polemizzare sempre più pateticamente....)==================================Modificato dall'autore il 06/11/2003 20.04.39

Re: Ma ci avete lavorato con le VPN...
****************************************************************** Parte 5 di 5****************************************************************
ARP entries statiche Lo evitano ma non sono sempre
applicabili
Secure-ARP Lo evita ma non è uno standard e cmq è in
fase di sviluppo!!!!.... c'è anche DAI (Dynamic ARP Inspection) di Cisco che comunque non uso perchè lo ritengo ancora troppo "faticoso" (oltre che costoso) e ancora un pò vulnerabile se non fatto bene (si basa su server DHCP come trusted database per l'associazione "autenticata" tra MAC e IP address. Troppo poco "trusted" per i miei gusti se non è lo stesso switch a fare da dhcp, e comunque troppo poco flessibile), comunque esiste ed è efficaceEd infine la soluzione per la quale avevo precedentemente suggerito qualche indizio tipo "host un pò meno ingenui" e "switch un pò più intelligenti" per contrastare "a monte" (cioè per impedire l'attacco invece che sperare di individuarlo mentre è in atto o dopo che è già avvenuto) il mitm di layer-2. Per te che ti piace l'inglese lo chiamerò "Duplicated Arp-Reply Detection" (= DARD) Un host un pò meno ingenuo... :-- deve ignorare sempre eventuali arp-reply relativi ad una entry già esistente. Quindi attendere SEMPRE lo scadere di ogni entry della cache, ed in quel momento effettuare regolare arp-request (se necessario per via di connessioni attive, ovviamente, come di consueto)-- non deve mai aggiungere una entry nella cache in seguito ad un arp-request qualsiasi, nemmeno se lo riguarda direttamente-- non deve mai aggiungere una entry nella cache in seguito a traffico incoming di layer-3 (tipo un ping o qualunque altra cosa). Piuttosto, deve sempre prima trasmettere il proprio arp-request-- in seguito ad un suo arp-request (quindi entry markata come ), deve impedire ogni trasmissione verso il MAC address in questione qualora ricevesse più di un arp-reply entro un ristretto timeout (1 sec. o anche meno) dall' arp-requestQuindi mi sembra evidente che:-- gli unsolicited arp-reply vengono semplicemente scartati-- nessun traffico incoming viene considerato automaticamente "safe" per lo scopo di aggiornare o aggiungere entry nella cache e quindi ...-- ... se un host attaccante inviasse il proprio arp-reply in seguito ad un arp-request, questo arp-reply "illegittimo" entrerebbe in conflitto con l'arp-reply del vero host (quello "legittimo"), impedendo la connessione (in fin dei conti è nè più nè meno ciò che avviene in presenza di un semplice host mal configurato con IP address in conflitto con altro host...)Rimane scoperto il caso in cui l'host "legittimo" sia spento. In quel caso l'unico arp-reply sarebbe quello dell'host attaccante che quindi diventerebbe "legittimo" agli occhi dell'host vittima che ha trasmesso il request. Ma intanto tagliamo via già un gran numero di casistiche (un gateway o un server dovrebbero essere sempre accesi e quindi trasmettere i propri reply "legittimi"). Inoltre si crea l'opportunità per un attaccante di effettuare DoS con i suoi arp-reply; ma prima o poi (più prima che poi, ritengo) verrebbe scoperto. In ogni caso vengono in aiuto gli .... Switch un pò più intelligenti :in buona sostanza, uno switch con le medesime caratteristiche sopra descritte fornisce immediatamente questi altri vantaggi:-- centralizzazione del meccanismo (non è strettamente necessario intervenire su tutti gli host per modificarne il comportamento, anche se è sempre comunque consigliabile soprattutto in casi di segmenti a dominio di collisione)-- possibilità di individuare esattamente a quale porta dello switch è collegato l'host attaccante. Questo solo dopo che, da una stessa porta (dello switch), siano giunti almeno due arp-reply che abbiano creato conflitto con altri arp-reply. Cioè se sono avvenuti due o più DARD** nei quali uno degli "attori" è sempre una stessa porta, significa che in quella porta c'è un host che fa il furbo-- possibilità di estendere la funzionalità in maniera così capillare che diventa possibile intercettare anche MAC spoofing (molto semplicemente ad ogni porta dello switch può provenire traffico solo da un certo MAC address). In questo modo si riesce a tamponare anche il caso sopra citato dell'host legittimo spento che non può inviare l'arp-reply a contrastare l'arp-reply dell'host attaccante. Ovviamente l'anti-MAC spoofing introduce anche una certa rigidità nel poter cambiare la porta dello switch alla quale è collegato un host, ma è possibile farlo in maniera semi-automatica seguendo la prassi di consentire il learning dello switch solo in situazioni certamente safe (es: solo in presenza fisica o remota del sysadmin che può supervisionare lo spostamento di un host da una porta all'altra dello switch)-- inoltre è sottinteso (ma con te non si sa mai....) che ogni switch non deve mai avere in cache uno stesso mac address associato a più porte.... e il tuo ettercap (e qualsiasi altro avvelenatore) è bello che inculatoOvviamente un siffatto switch è uno switch di layer-2, si, ma specializzato per il protocollo IP. Per gli altri protocolli..... sculoMi sembra di non essermi dimenticato di nullaSe farai il bravo ti racconterò altre piccole evoluzioni che migliorano ed ottimizzano alcune cosettePoi appena posso voglio provare questo ettercap. E se cazzo non mi dà quell'output che ho detto prima o anche più semplice vengo li e ti taglio le palle!!!
e qui l'unico che fino ad ora a detto cose che hanno un certo
valore tecnico sono ioNon t'allargare. Sulle VPN hai detto poco e niente. Sulle LAN sei stato bravoObbietta, opina, critica, correggi, aggiungi tutto quello che ti pare ma se ricominci con la solita solfa del fare lo gnorri, rigirare frittate, insinuare di qua e di la, puntualizzare solo per polemica, ecc.. stavolta "passo e chiudo" davvero. Mi sono rotto i'ccazzo di te e i tuoi giochini. Ricordati che hai iniziato tu con gli atteggiamenti arroganti e io mi sono adeguato. Smettila te e la smetto anch'io. Ritengo di averti dato per la terza volta il buon esempio in questo senso. Vediamo di che pasta sei fatto veramente** Ovviamente non si considera come DARD il normale burst di arp-reply che certi s.o. trasmettono. Si ha un DARD quando arrivano reply per lo stesso ip da mac diversi

Re: Ma ci avete lavorato con le VPN...
****************************************************** Parte 8 di 8****************************************************Dunque, uno switch dotato di quelle stesse caratteristiche valide anche per gli host può fungere da barriera tra i domini di collisione che collega. E' chiaro che se un dominio di collisione ha più di un host, quei host possono avvelenarsi a vicenda e lo switch non può fare nulla, ma con un host per ogni porta di ogni switch, si evita di dover implementare queste modifiche sui singoli host perchè lo switch con quelle caratteristiche è perfettamente in grado di schermare i DAR che transitano attraverso di lui, nonchè gli eventuali reply per i quali non ha visto nessun request. Inoltre, siccome lui può individuare a quale delle sue porte è connesso Malicious, esso (lo switch) può decidere di chiudere quella porta così da evitare anche il DoS poichè a quel punto ad Alice giungerebbe solo il reply di Bob (mi rifaccio all'esempio di prima). Come fa lo switch a capire qual'è il reply fasullo e quindi a capire su quale porta è collegato Malicious? è semplice: per ogni porta tiene un contatore che viene incrementato ogni volta che un arp-reply ricevuto da quella porta causa un DAR. Non appena una stessa porta si ?eleva? nella classifica delle porte che hanno provocato più DAR, si può già dire con ragionevole certezza che in quella porta c'è un host avvelenatore. Esempio esplicativo: supponiamo che alle porte di uno switch siano collegati i seguenti host:porta 1 : Alice : DAR counter = 0porta 2 : Bob : DAR counter = 0porta 3 : Malicious : DAR counter = 0Supponiamo poi che Malicious tenti di avvelenare Alice e Bob. Quando Alice invia il proprio request per conoscere il mac di Bob, quest'ultimo e Malicious trasmettono il reply causando il DAR. Quindi abbiamo la porta 2 e 3 con il contatore DAR = 1. Ovviamente anche Bob vuole comunicare con Alice quindi invierà il request per conoscerne il mac e a quel punto ci sarà un DAR tra Alice e Malicious, quindi la situazione diventa:porta 1 : DAR counter = 1porta 2 : DAR counter = 1porta 3 : DAR counter = 2A questo punto si può già intuire che in porta 3 c'è un host avvelenatore. Ovviamente se Malicious risponde solo agli arp-request che riguardano Bob, allora la situazione rimane ambigua e lo switch non può fare alcuna distinzioneAlcune ulteriori sofisticazioni riguardano controlli legati alle singole associazioni mac/ip che possono consentire sia di individuare il mac colpevole (e non solo la porta a cui è collegato), sia di ?depenalizzare? i mac innocenti che sono stati coinvolti in DAR dal mac colpevole.... tutte cose per le quali ci vuole un meccanismo di anti-IP-spoofing che avvicinano molto verso il DAI di Cisco, anche se senza basarsi su DHCP, e comunque sofisticazioni che cominciano ad essere veramente complesse. Comunque se vuoi ne possiamo parlare, solo per il gusto di farlo
Ti assicuro che ettercap ha più modalità di attaccare ed
ingannare uno switch ... quello che tu asserisci è
perfettamente vero ma ettercap lo smentisce è chiaro che
qui si apre un discorso infinito su come fa che
cmq potremmo sempre fare!!!! A me va anche bene. L'unica cosa è che magari non so te ma io non ho proprio tempo di andare avanti a manciate di messaggi da 7000 caratteri l'uno ogni volta e così spesso, quindi magari rarifichiamo la cosa e selezioniamo gli argomenti. E poi non vorrei che il De Andreis ci facesse pagare l'occupazione di spazio su disco!!

ti racconterò altre

piccole evoluzioni che migliorano ed

ottimizzano alcune cosette

dimmi dimmi e poi io ti dico come ettercap inganna i tuoi
switch intelligenti!!!!! Una è l'implementazione dell' anti-IP-spoofing basata su ARP invece che su DHCP, altre sono quelle relative alla depenalizzazione dei mac address innocenti, solo che ora francamente al solo pensiero di scrivere una frase in più mi viene la nausea. E poi ho scritto talmente tanto e ho parlato di talmente tante cose che non sto capendo più un cazzo. E' inutile anche che rilegga quello che ho scritto perchè tanto non mi accorgerei di eventuali imprecisioni, errori, lacune.... Vabè tanto ci pensi te a trovarle no? ;) Magari ne riparliamo la prossima volta, ammesso che ti interessi

Re: Ma ci avete lavorato con le VPN...
**** NOTA: puoi leggere i messaggi in qualsiasi ordine

Dunque, uno switch dotato di quelle stesse

caratteristiche valide anche per gli host

può fungere da barriera tra i domini di

collisione che collega. ... [cut]

ti vorrei accennare ad un'altra tecnica
tipicamente utilizzata ... [cut]Beh, se l'unica possibilità che dài a ettercap è quella di sperare in bug di implementazione o in cedimenti dovuti a saturazione della RAM, allora vuol dire che riconosci l'efficacia del meccanismo in sè ;) Comunque anche questa soluzione ha ovviamente i suoi limiti : uno switch con DARD difende solo contro arp-poisoning, mentre contro mitm di layer-3 (NATting) può fare poco e niente, e assolutamente niente contro Application-spoofing. Per queste cose ci vuole anti-IP-spoofing vero e proprio, quale è DAI di Cisco

... [stra-cut]. Comunque se vuoi ne

possiamo parlare, solo per il gusto di

farlo

perchè no ma parliamone all'inizio che io
verso la fine comincio a dare i numeri sono
quasi 2 ore che scrivo...............Se è per questo basta che tu legga questo messaggio per primo!!! :D a 'sto giro non è necessario leggere in.... ordine di numeroComunque se ti limiti a fare obiezioni del tipo ?qualche bug c'è sempre? oppure ?basta saturare la RAM dello switch? allora è inutile che io mi impegni per descriverti tutto nei dettagli. Non dico che non hai ragione, anzi. E' ovvio che i bug ci possono essere e le RAM si possono saturare (anche questo io lo considero un bug... ma vabbè) e quindi ogni difesa può cadere per questi semplici motivi, ma se vogliamo fare un confronto di idee su una soluzione, allora quel tipo di obiezioni non sono costruttive e quindi.... non mi stimolano. D'altro canto so bene che per fare obiezioni ponderate devi a tua volta aver letto bene, aver capito bene, aver riflettuto bene, .... in pratica: devi averci dedicato del tempo, e magari questo non ti è possibile, ma anch'io dedico un sacco di tempo a scriverti e non mi va di sprecarlo. Fammi sapere come vuoi procedere

E poi non vorrei

che il De Andreis ci facesse pagare

l'occupazione di spazio su disco!!

De Andreis è un caro amico di una mia amica
vedrai faccio mettere una buona parola!!!Questo si che si chiama culo..... 8)
e cmq sono pienamente daccordo!Bene. Proponi gli argomenti che più ti interessano e io ti dico se posso....

E' inutile anche che

rilegga quello che ho scritto perchè tanto

non mi accorgerei di eventuali

imprecisioni errori, lacune.... Vabè tanto ci pensi te

a trovarle no?

Io non l'ho fatto mai e mai lo faro mai
tanto lo fai tu per me! :DBatttttuta!!! :D :p :) :| : :o ..... ma un l'ho 'ccapita!!! :s

Re: Ma ci avete lavorato con le VPN...
RE:7 di 8



-- non deve mai aggiungere una entry
nella


cache in seguito ad un arp-request


qualsiasi, nemmeno se lo riguarda


direttamente



Linux lo fa di default

Lo so ;)e cmq non mettere in cache le arp-request penalizza molto le prestazioni non si può sempre applicare


-- non deve mai aggiungere una entry
nella


cache in seguito a traffico incoming di


layer-3 (tipo un ping o qualunque altra


cosa)



ti ripeto il pinguino lo fa di default

Lo so ;) Ma okkio: non dire ?ti ripeto?
perchè questo punto è una cosa diversa dal
punto precedente: nel punto precedente
parlavo di ?incoming ARP-REQUEST?, mentre
qui parlo di ?incoming traffic di layer-3?
cioè es: 192.168.1.1 non ha nessuna entry
per 192.168.1.2 ; improvvisamente da esso
riceve un ICMP 8 (ping), il quale contiene
il source MAC oltre che il source IP ed
alcuni s.o. (stupidi) aggiornano la cache
solo in base a questo!!Stupidi lo fanno tutti forse solo netbsd e openbsd non lo fanno ed in effetti sono OS molto sicuri ma sicuramente poco performanti!!
Ho accorpato le tue obiezioni. Dunque:

Host Alice MAC = 01:01:01:01:01:01
IP = 192.168.1.1
Host Bob MAC = 02:02:02:02:02:02 IP
= 192.168.1.2
Host Malicious MAC = 03:03:03:03:03:03 IP =
192.168.1.3

Per ?unsolicited arp-reply? intendo un
arp-reply che non è stato ?sollecitato?
direttamente da un arp-request. Cioè: se
Alice riceve un pacchetto tipo [ source MAC
= 03:03:03:03:03:03, dest MAC =
01:01:01:01:01:01 ARP-reply 192.168.1.2 is
at 03:03:03:03:03:03 ] (nota che è un reply
spooffato) che NON è stato sollecitato
esplicitamente da un proprio pacchetto tipo
[ source MAC = 01:01:01:01:01:01, dest MAC =
FF:FF:FF:FF:FF:FF ARP who has 192.168.1.2
tell 192.168.1.1 ] (che avrebbe creato una
entry nella propria cache)
allora quell' arp-reply è ?unsolicited? è
deve essere scartato in conformità alla
seconda regolaSolo solaris di default lo fa!!

Se il ?sollecito spooffato? è invece un
arp-request tipo [ source MAC =
03:03:03:03:03:03, dest MAC =
FF:FF:FF:FF:FF:FF ARP who has 192.168.1.1
tell 192.168.1.2 ] (nota ancora il source
MAC di Malicious ma il ?tell? IP di Bob,
quindi arp-request spooffato) allora il
problema è risolto dalla regola 3 in
combutta con la regola 4. Cioè se Alice
riceve un arp-request come quello, esso
(Alice) NON deve usare quel request per
aggiornare la propria cache, bensì deve
inviare a sua volta un regolare arp-request
[ source MAC = 01:01:01:01:01:01, dest MAC =
FF:FF:FF:FF:FF:FF ARP who has 192.168.1.2
tell 192.168.1.1 ] che crea la entry
per 192.168.1.2 e a quel punto
tutto dipende da se Bob è acceso o meno. Se
è acceso allora Alice riceverà sia [ source
MAC = 03:03:03:03:03:03, dest MAC =
01:01:01:01:01:01 ARP-reply 192.168.1.2 is
at 03:03:03:03:03:03 ] da Malicious che
anche [ source MAC = 02:02:02:02:02:02, dest
MAC = 01:01:01:01:01:01 ARP-reply
192.168.1.2 is at 02:02:02:02:02:02 ] da
Bob, quindi Alice intercetterà il DAR (=
Duplicated ARP-Reply) e quindi farà le
seguenti cose:
1) lascerà la entry 192.168.1.2 marcata come

2) eventualmente loggerà l'evento nel syslogTutti questi discorsi non trovano molte applicazioni in una situazione reale dove molte cose non sono applicate per non degradare le performance come una volta è una questione di compromessi anche qui è certe accortezze come dici anche tu non sono applicabili su larga scala!!

e cmq solo solaris che io ricordi

non mette in cache le unsolicited
arp-reply e quindi crea il

problema sicuramente linux lo consente ma

non di default

Vero, ma mica ho mai detto che qualche s.o.
fa queste cose di default. Ho descritto
quali sono le poche modifiche da fare ad un
s.o. per renderlo ?meno ingenuo? contro
questi attacchile modifiche teoriche sono una cosa pratiche un'altra...e visto che la maggior parte dei client sono sempre MS dimmi un pò su queste macchine dove le fai queste modifiche?



Switch un pò più intelligenti ...



Se non intervieni sugli host ti assicuro
che lo switch alla fine

è ragirabile ho fatto molte prove su di un

catalyst 2950 e ti assicuro che ettercap
fa il suo dovere!!!

Non ho dubbi. Non sto mettendo in dubbio
l'efficacia di ettercap, nè di qualsiasi
altro avvelenatore. Ho ben visto
l'arp-poisoning in azione con uno
avvelenatore stupido che ho fatto io (non ci
vuole molto a fare un programmino stupido
che forgia un pacchetto arp). Non conosco il
catalyst 2950 ma evidentemente non è
intelligente quanto dico io!Il catalyst è intelligente ma come al solito di default non lo è e sono in pochi a perdere tempo su queste cose tu stesso nelle tue la non credo che di default prendi queste accortezze e non credo che hai sotto mano sempre switch di questo tipo visto il loro costo ecco perchè la soluzione arp....alle volte può essere il miglior compromesso!!

Re: Ma ci avete lavorato con le VPN...
RE: 6 di 8

..arpwa.....all'avvio si mappa tutta la
rete creandosi una

tabella di mac ed ip associati agli host
quando

nella rete avviene un tentativo di
avvelenamento se ne

accorge verificandolo nella tabella che si
era

creato all'inizio nulla di più facile

nello stesso forum di ettercap dagli
stessi autori viene

indicato come strumento per identificare

avvelenamenti e arrivi tu e dici che non è
cosi ma chi sei

rusty russel....

Non ambisco a tanto. Non di meno mi piace
ragionare e capire il perchè delle cose.
Dunque, tu dici arpwatch all'avvio ecc.
ecc.., ed ettercap farà certamente lo stesso
(non ho dubbio alcuno) e proprio a quello mi
riferivo con ?fare euristica analizzando il
traffico?. E nella sua MASSIMA espressione
potrebbe essere qualcosa tipo:
1) trasmettere degli arp-request a tutti gli
IP e prendere nota delle risposteFare un brodcast..........e crearsi una tabella ip mac
2) SPERARE che tutti gli host legittimi
siano accesiIn una lan da te aministrata metti questa cosa la fai una sola volta con i pc tutti accessi e basta dovìè il problema?
per rispondere con i propri
arp-reply e quindi intercettare eventuali
DAR, perchè altrimenti potrebbe ricevere dei
reply avvelenati con i quali si costruirebbe
una tabella avvelenata che poi andrebbe in
conflitto con l'host legittimo qualora
venisse acceso (a quel punto l'host
legittimo verrebbe visto come
avvelenatore!!)Questo è da film.....o meglio è chiaro che tutto è possibile ma ti ripeto la prima volta lo fai inregime di controllo non è che un giorno ti svegli e fai girare arp.....
3) eventualmente verificare la sua tabella
personale con la arp-table dell'host su cui
sta girando (che per quanto ne sa potrebbe
essere essa stessa avvelenata, quindi da non
prendere come oro colato)questo non avviene...vedi sopra!!! la cosa la prima volta la fai con tutti gli host accessi e senza nessuno una volta fatta non vedo più problemi di questo tipo stai descrivendo situazioni inreali!!
4) analizzare tutti gli arp-request e
relativi arp-replyno visto che all'avvio di tools di questo tipo vedi ettercap, vengono lanciati broadcast sulla rete che arrivano anche al gateway dove è configurato arp...che si accorge subbito di tutto....non è che arp....è costantemente in ascolto su tutta la rete sarebbe troppo dispendioso....
5) verificare che tutto il traffico IP abbia
delle associazioni MAC/IP coerenti con la
sua tabellasolitamente si sniffa host + gateway e cmq anche quando si sniffa host + host si lanciano dei broadcast per trovare gli host vittime, che sono sufficenti ad arp... per riconoscere l'host malizioso...............................
(analisi buona a capire se si è costruito
una tabella di associazioni MAC/IP
avvelenata)Già ti ho detto come si evita e cmq l'unico modo di ingannare arp è conoscere precedentemente ip e mac della vittima e lanciare ettercap in silent mod in modo che all'avvio non lancia broadcast e cmq in questo modo non potresti sniffare host e gateway ma solo host + host!!!
La tabella se la può creare con il punto 1
(magari ripetuto periodicamente) più
successivi arp-request intercettati sulla
rete ma per fare i test (4, 5 e 6) deve
?sniffare? (come lo intendo io, cioè in
?modalità tcpdump?)Già risposto!!!
e questo lo può fare
solo nel suo dominio di collisione, quindi
può monitorare solo gli host sul suo stesso
?filo?. No ed inoltre non si comporta assolutamente come tcpdump non centra nulla!!


.... c'è anche DAI (Dynamic ARP
Inspection)



Premesso che stiamo sconfinando in pratiche

assolutamente permesse a persone con certe
capacità

Embè? certo! sennò noi sysadmin che ci
stiamo a fare a questo mondo?? :D


ti dico che il sistema cisco se non
ricordo male è

applicabile solo alle vlan

Sinceramente non mi sembra ma perchè mai
dovrebbe? quale sarebbe tecnicamente il
vincolo?Infatti ti ho detto mi sembra perchè mi ricordo qualcosa ma molto vagamente e non ho cercato ulteriori info cmq effettivamente neanche io ci trovo vincoli!!!

cmq facilmente agirabile per certi versi
visto che utilizza

dhcp, te lo dico come? va beh va te lo
dico......se

voglio sniffare un utente in una rete con
il supporto al DAI

non faccio altro che configurare io sul
mio pc

un server DHCP bloccando il dhcp
legitttimo configurerò io

l'host attaccato con il mio ip come
gateway e il

gioco è fatto carino no!!!!!

Cioè secondo te basterebbe configurare un
server DHCP sul tuo pc per bloccare quello
legittimo? perchè mai? tanto più che se,
come dicevo io per usare bene DAI, il server
DHCP è lo switch medesimo, il tuo pc
probabilmente neanche riceve il DHCP-request
nonostante sia trasmesso in broadcast (lo
switch potrebbe filtrarlo in quanto lo serve
lui), hai detto bene potrebbe ma non è detto che lo faccia
ma comunque ritengo che al massimo il
tuo pc potrebbe solo concorrere con lo
switch facendo a gara a chi risponde prima e
di certo lo switch vincerebbe quasi sempre,
non foss'altro perchè riceve il request
sempre in anticipo rispetto al tuo pc
(stiamo parlando di switched lan dove ad
ogni porta dello switch è collegato un solo
host)Si è vero ma credi che non si possa in qualche modo sniffare e modificare il traffico dhcp dello switch oppure inibirlo temporaneamente per usare il nostro server? io e non solo io credo di si!!!

Re: Ma ci avete lavorato con le VPN...

Io NON intendo dire che arpwatch è
totalmente incapace, bensì che siccome non è
in grado di rilevare tutti i tipi di
avvelenamento e non tiene conto degli eventi
legittimi che possono avvenire in una LAN,
non può essere una soluzione definitiva
contro l'arp-poisoning. QUANDO HO DETTO CHE è UNA SOLUZIONE DEFINITIVA...ma io mi spiego sempre male oppure sei te che devi sempre estremizzare i concetti?
Questo intendevo
dire con ?arpwatch non lo rileva?. Ammetto
che quella frase sia troppo categorica e
quindi la cambio doverosamente in ?arpwatch
rileva troppo poco?.Per fortuna che te ne accorgi da solo....allora non mi sbaglio quando ti riprendo su queste tue affermazioni cosi categoriche che mi metti in bocca ma che io non ho mai detto!!!!
In fondo dalle mie
stesse descrizioni tecniche precedenti
traspare chiaramente che qualche possibilità
gliela riconosco.... a patto che faccia
tutte le cose che dicevo io, il che non
sembra secondo quanto hai scritto tu.io io io io......ti ripeto non discuto ne le tue conoscenze ne le tue capacità ma ripeto...sei molto presuntuoso molto!!!!Se poi
sei comunque interessato a sapere quanto ho
da dire prosegui pure nella lettura...proseguo proseguo..........


2) SPERARE che tutti gli host legittimi


siano accesi



In una lan da te aministrata metti questa

cosa la fai una sola volta con i pc tutti

accessi e basta dovìè il problema?

secondo me tu dài per scontate un pò troppe
cose favorevoli al sysadmin!!io faccio esempi teorici la realtà e cmq un'altra cosa e cmq una rete di una certa grandezza se realizzata da 0 può rispettare tutto quello che dico e anche di più!!


3) eventualmente verificare la sua
tabella


personale con la arp-table dell'host su


cui sta girando (che per quanto ne sa
potrebbe


essere essa stessa avvelenata, quindi da


non prendere come oro colato)si prevede che l'host dove gira sia messo in modo che non è possibile avvelenarlo altrimenti è inutili parlare!!
Irreali? forse è irreale che l'host su cui
lanci arpwatch la prima volta sia
avvelenato, ma NON è irreale che degli host
vengano aggiunti e tolti legittimamente
(soprattutto client ma anche server). ed allora qual'è il problema? arp.... se individua un avvelenamento te lo notifica tramite email quindi se ti notifica che è avvenuto un avvelenamento che in realtà non lo è perchè magari hai sostituito una scheda di rete al server ne prendi atto e basta aggiorni l'associazione ip mac e basta!!!
Non è
irreale che i client possano cambiare ip
address, specie in presenza di un server
dhcp.Ma dai veramente cavolo non ci pensavo......allora se non te lo detto scusa lo faccio ora arp...è applicabile solo ad una rete con indirizzamento statico....cosa che io preferisco sempre salvo se mi trovo in presenza di reti veramente enormi!!!


4) analizzare tutti gli arp-request e


relativi arp-reply



no visto che all'avvio di tools di questo

tipo vedi ettercap, vengono lanciati

broadcast sulla rete che arrivano anche al

gateway dove è configurato arp...

che si accorge subbito di tutto....

di tutto? anche degli avvelenamenti che
avvengono tramite unsolicited arp-reply?
anche degli avvelenamenti che avvengono
tramite traffico di layer-3 spooffato SENZA
che l'host avvelenatore abbia prima
trasmesso l'arp-request spooffato? di queste
cose arpwatch si può accorgere solo se
?sniffa mettendo l'eth in modo promiscuo? e
quello lo può fare solo sul proprio dominio
di collisione, ma tu dici...arp lo si mette a girare sul gateway che è l'inizio del dominio di broadcast della rete es una bella macchina linux che comedetto fino ad ora avra tutti gli accorgimenti del caso per non essere spoffata...quindi tutti i tentativi di intercettare traffico che cerca di uscire dalla rete e quindi interessa il gateway vengono beccati solo i tentativi di mettersi in mezzo tra due host per intercettare ...al massimo che so lo scambio di file...per questo i server i una rete è sempre preferibile metterli in una rete mai nella stessa rete degli host proprio perchè mettendoli in un'altra rete per sniffare bisogna attaccare il gateway che se ben protetto se ne accorgerà!!! ti ripeto i casi host to host se ben fatti non sono identificabili da arp ma converrai con me che sono situazioni nelle quali i benefici dell'attacco sono relativamente pochi il vero punto debole di una rete è il suo gateway!!!
sei sicuro? e se l'host malizioso riesce ad
avvelenare solo tramite unsolicited
arp-reply? o solo tramite traffico di
layer-3? l'hai detto tu del "silent mode" di
ettercap.... e l'hai detto anche tu che ci
sono tanti s.o. che si fanno avvelenare dal
traffico di layer-3....Praticamente valgono le risposte sopra e cmq tutti gli OS di default tutti..scommetto anche il computer che usi!!!

lanciare ettercap in silent mod in modo che

all'avvio non lancia broadcast e cmq in

questo modo non potresti sniffare host e

gateway ma solo host + host!!!

mmh non rende bene l'idea del possibile
pericolo incombente. Diciamo "... in questo
modo non puoi sniffare host e gateway ma
PUOI sniffare client + sever" ;)esatto ma come già ti ho detto mettere i server ,magari contenenti dati importanti nella stessa rete degli host è una mossa assai poco sicura e tu che sei paranoico dovresti saperlo bene!!!
E' così
fuori dal mondo per te? spero di no, e
quindi spero che attivi arpwatch su tutti i
server (almeno quelli importanti) oltre che
sui gatewayla mia soluzione è molto molto meno dispendiosa gli host e i server li metto su reti differenti!!!ovviamente questa soluzione non è sempre applicabile ma spesso quando non lo è non è necessario neanche srp........


La tabella se la può creare con il punto

Re: Ma ci avete lavorato con le VPN...


diversamente

dall'ambito layer-2 dove è sufficiente

avvelenare i due host vittima, in ambito

layer-3 si dovrebbe riuscire ad avvelenare

un numero elevato di router per ottenere

un avvelenamento completo

Basta avvelenare es Router A e fargli
credere che per arrivare C non deve passare
per B ma per F in pratica basta cambiare la
metrica sul Router A e far dirigere tutto su
di noi ?? non per polemizzare ma la tua descrizione mi sembra un pò superficiale. Se ho capito bene praticamente hai descritto: vittima |C----B----A | F | Noi (attaccante)Cioè: con C come host da spooffare dài per scontato che F sia connesso direttamente ad A, oltre che a "Noi" e che F sia sotto il nostro diretto controllo. Ciò è possibilissimo ed è l'espressione minimale del mio "postulato" che dice che più router ci sono a separare l'attaccante dalla vittima, più sono i router da avvelenare. E' l'espressione minimale perchè nel tuo esempio c'è un solo router (A) che separa "Noi" (l'attaccante) da "vittima" (c'è anche F ma questi è sotto il nostro controllo), ma ammetterai che questo, pur essendo un esempio realistico, è anche un pò semplicistico! Internet è ben altra cosa.... e anche in questo esempio basta che ci sia un altro router D tra A ed F per far si che "Noi" sia costretto ad avvelenare anche D, altrimenti A può anche essere stato avvelenato in modo da instradare il traffico per C verso F invece che verso B, ma se tra A ed F c'è D, allora A inoltra verso D e quindi anche D deve essere "persuaso" a proseguire il percorso fino a "Noi" tramite F, altrimenti D potrebbe rimbalzare verso A oppure dirottare verso B se è collegato direttamente con esso. Poi forse può essere che avvelenando un solo router gli altri si avvelenano di conseguenza.... non so, non mi ricordo, ti ho detto che è roba che ho studiato anni fa, ma ciò non toglie che ci siano più router che devono essere avvelenati tanti quanti sono quelli che ci sono lungo il percorso tra l'attaccante e la vittima. Il tutto moltiplicato per due se si vuole fare MITM full-duplex (anche se magari qualche router può essere in comune tra i due percorsi "attaccante"-"vittima1" e "attaccante"-"vittima2")

** Preciso che la mia cultura sul RIP e i

protocolli di routing in genere risale a

diversi anni fa, quindi può darsi

benissimo che ora si siano (spero) trovati rimedi

efficaci anche in casi di routing-tables

dinamiche

Qui è meglio non addentrarci visto che in
pratica è il mio argomento..... diciamo fortePerchè ?è meglio non addentrarci?? non ho mica paura di parlare con te del tuo argomento..... forte. Magari non sono un'interlocutore adatto perchè su queste cose ho la memoria arrugginita e non sono al passo coi tempi....


Non è il mio campo ma C non è ad oggetti


C++ è ad oggetti noo?



Si, ti avevo chiesto se conoscevi la OOP

per prepararti alla frase successiva che ...

Si ma non hai risposto.........C non è ad
ogetti C++ siSi che ho risposto! avevo detto Si !!! lo avevi visto quel Si? Si : C non è a oggetti mentre C++ PUO' essere usato per sviluppare a oggetti

Re: Ma ci avete lavorato con le VPN...
RE: 4 di 8

...oppure potremmo dire che per segmento
di rete

indichiamo tutto quello che è nello stesso
dominio di

broadcast..per me questa è la definizione
migliore
Io invece quando dico ?segmento di rete?
senza specificare, intendo tutto ciò che è
nello stesso dominio di collisione.... sono
rimasto al concetto di ?filo? grezzo, ovvero
di hub e/o repeater che in termini per
profani definisco come ?oggetti che
allungano il filo.... senza allungarlo!!?Allungano il filo senza allungarlo è veramente una bella definizione non ti voglio assolutamente prendere in giro lo dico seriamente.



Cmq ti ricordo che anche un Hub o un



Repeater lavorano a livello 1 potevi


Anche un' Access Point, se per questo



Non tutti, gli ultimi prendi gli US
robotics a 100Mbit ...
E come fanno? quello che dici mi sembra
molto fuori standard wi-fi. Il che può
essere benissimo visto che alla US robotics
piace fare cose fuori standard, ma come
funzionerebbe? per ogni host assegna un
canale di frequenza diverso? se così i 5ghz
si esauriscono con 8 host, per non parlare
degli 11Mbit (2.4ghz) che ha solo 3 bande
non overlapping (quindi solo 3 host
simultanei)Scusa ma in realtà ti ho riportato quello che mi ha detto il tecnico US Robotics allo smau che in effetti è impreciso il tuo ragionamento è corretto mi spiego meglio...in pratica gli AP USR non adeguano la banda per tutti se all'interno della stessa infrastruttura si aggiunge un host con tecnologia più lenta es se ci sono host che supportano il b 11 Mbit e Host che supportano il g 54 Mbit l' AP non adeguerà tutti a 11 ma stabilirà connessioni ottimizzate a secondo dei due interlocutore b
g 11 Mbit g
g 54 Mbit prima non era cosi!! Cmq più che bande sono canali, esattamente 1 6 11.

Cmq come sicurezza sono 0
Eh si, purtroppo per ora si. E tra l'altro
li si che un avvelenatore di arp
imperverserebbe inarrestabile!! E' nato il
nuovo standard WPA ma accesspoint che lo
supportino sono ancora pochi....Già hanno trovato le vulnerabilità al WPA se ti interessa ti mando il link lo devo ricercare!!
e comunque
ancora non ho letto le specifiche per cui
non so quanto sia migliore rispetto a WEP.Ci vuole poco ad essere migliori visto che con un Ipaq modificato con dentro linux ci vogliono circa 6 ore a crakkare una shared key a 128 :DD
. Comunque anch'io 3
settimane fa ho installato un AP US robotics
e l'ho preso nel culo perchè c'era scritto
?WPA-compliant through firmware upgrade?
mentre invece il firmware che c'è sopra è lo
stesso disponibile sul sito che ancora NON è
WPA compliant!! mortacci loro!! Ho detto la stessa cosa anche io sono daccordo, cmq il nuovo firmware è uscito ed io l'ho installato te lo consiglio per il resto anche io credo sia un ottimo prodotto anche se ho notato che è molto sensibile ai tel H3G che lavorano a 2.4.

qui le tue Vpn sono obbligatorie secondo
me!!!

Mmh non proprio.... dipende. Fra poco ti
accenno qualcosa....


Anzi qui potresti suggerirmi qualcosa tipo
un buon

compromesso tra prestazioni e sicurezza
secondo te!!
.......................... L'esperienza sul campo mi dice
ad es. che SSH Sentinel con un Cisco 837
(IOS 12.2(8 )YP) va sensibilmente più forte
con AES256 (bit) che con 3DES (168 bit),
mentre tra SuperFreeswan (freeswan + altre
patch non ufficiali) e lo stesso Cisco 837
la differenza è meno sensibile............................................. Se
proprio proprio per te le prestazioni sono
un 'must' potresti scendere ad un AES128, ma
soprattutto se hai i 100Mbit (ma anche con
gli 11) la velocità mi sembra un
non-problema, soprattutto se il traffico è
di tipo interactive non noti alcuna
differenza qualunque cipher usi. ...................................

io una mezza idea già la ho!!
Se vuoi raccontami. Intanto ti accenno
qualcosa:semplice ipsec con Freeswan usando smoothwallche è già predisposto per l'algoritmo non so se ne usa uno di default oppure si può scegliere cmq sarei per un 128 che mi dia le massime performace.......
I principali aspetti di cui tenere conto nel
scegliere la soluzione sono:
1) qual'è il requisito primario fra: a)
massima sicurezza, b) massima facilità
implementativa e trasparenza, c) massimo
risparmio di denaroNessuno dei tre......la sicurezza deve essere buona ma non eccessiva da penalizzarmi le prestazionil'implementazione non mi preoccupa il risparmio neanche nel senso che usero una vecchio pc con linux e i cliente saranno misti windows 2000 xp e linux
2) quali applicazioni necessitano di privacyla navigazione in internet con annessi e connessi!
3) se sei obbligato ad usare windows come
server vpn o noNo!!
4) quale varietà di s.o. client hai nella
rete. In particolare se hai anche Win9xNo!!!
Per massima sicurezza imho non c'è dubbio:
IPSec. Il problema è che essendo un
tunnelling di layer-3 non si adatta bene a
ricreare fedelmente il comportamento di una
LAN (in particolare i broadcast non si
propagano in vpn ipsec) Questo non è assolutamente un problema!!!
e inoltre le
operazioni di configurazione sono più
macchinose, più delicate, doppio IP address
(uno normale di LAN e un altro di VPN), ....
insomma: lo può fare ma non è proprio il suo
mestiere! :(si forse è vero ma alla fine lo vedo come la soluzione più migliore
Per massima facilità implementativa, nonchè
adesione agli standard wi-fi, scalabilità,
trasparenza per i client anche qui imho non
c'è dubbio: TKIP che prevede cifratura WEP
ma con negoziazione automatica frequente
dello shared secret tra AP e client.usrobotics permette di utilizzare un server radius ed in effetti avevo pensato anche a questo tipo ti soluzione anche se non l'ho mai fatto ho un mio amico che se ne occupa e mi ha detto che è una cretinata ovviamente lo farei girare su un bel openbsd
C'è una seconda soluzione: il connubio......................................
Però, al solito, se hai solo windows............Niente cose proprietarie questa la devo fare a casa mia tra tre palazzi e le soluzioni proprietarie le abolisco!!..........Infatti sai
meglio di me quanto sia facile configurare
PPTP su qualsiasi s.o. client microsoft e
L2TP più o meno è lo stessoSi si ma io non sono il cliente con poche pretese io sono un informatico che vuole sempre il massimo!
Comunque ti saprei dare ulteriori dettagli
solo se scegli ipsec perchè TKIP non l'ho
mai usato e su PPTP/L2TP probabilmente ne
sai più te (visto che lo usi con mclink)è per qesto che ho scelto ipsec...scherzo!

Re: Ma ci avete lavorato con le VPN...
- Scritto da: Quasar

Allungano il filo senza allungarlo è

veramente una bella definizione non ti

voglio assolutamente prendere in giro lo

dico seriamente

Oohh! lo vedi? prova a rileggere anche
qualcuna delle altre mie "definizioni per
profani", vedrai che ti piaceranno anche
quellePresuntuoso......:D
Davvero? cavolo mi interessa si! grazie!
forse è per questo che parlano già di WPA2
heheguarda il link più interessante non ricordo più in quale forum l'ho visto cmq leggi qui http://www.technewsworld.com/perl/story/32070.html molto generico ma ti fa capire il senso del problema se cerchi su gogle cmq trovi tutto!!!
Uhm, okkio che le prestazioni possono essere
influenzate MOLTO più dalla potenza di
calcolo e disponibilità di RAM del server
(in relazione ovviamente al numero di client
simultanei) che non dal cipher che scegliin vpn viaggieranno solo 5 pc...


2) quali applicazioni necessitano di


privacy



la navigazione in internet con annessi e

connessi!

Ah quindi niente applicazioni inter-host e
nemmeno Risorse di Rete. Benissimo, queste
cose causano sempre le complicazioni
maggiori...lo so lo so...sto sperimentando diverse soluzioni su ip per poter eliminare definitivamente il client per reti microsoft!!!!!....beeweeb, web-dav oppure server ftp ben configurati su tutti i cliente!!!!

Re: Ma ci avete lavorato con le VPN...
RE: 3 di 8

quindi diciamo che mi stai quasi...ho
detto quasi,

simpatico se vieni a .....passami a

trovare!!! :))

Chissà..... perchè no...... comunque per
come stanno le cose ora si può fare solo
all'inverso (dove sto io lo sai, dove stai
te io non lo so..... anche se un'idea ce la
potrei avere per via di una cosa che hai
scritto, hehe....)Ricordami cosa ho scritto e ti aiuto.....non rileggerò mai e poi mai tutto quello che ti ho scritto non ce la faccio!! :DD
Poi ancora non mi hai detto cos'è 'sto MINT!
cioè, lo usi quando si parla di MITM ma
perchè scrivi MINT ??Se hai notato l'ora di quel msg forse capisci perchè!!! spero solo che non hai cercato il significato su google...non era un tranello per vedere che dicevi era solo stanchezza MINT è il mio nuovo modo per dire MITM...:D
Mmmh mi viene il dubbio che forse qui ho
capito male quello che intendevi. Quando
dici ?mie affermazioni che erano cmq
comprensibili venivano riprese da te e
puntualizzate? ti riferisci a tue
affermazioni sulle lan o sulle vpn? io
pensavo che ti riferissi all'argomento vpn,
dove le tue affermazioni erano certamente
comprensibili e altrettanto certamente io le
?riprendevo e puntualizzavo?Dicevo in generale su tutto...spesso puntualizzavi per poi affermare che quello che intendevo era sicuramente..........e quindi dimostravi di aver perfettamente capito quindi....perchè puntualizzavi?se poi capivi male sarei stato io a fartelo notare e a chiederti scusa per non essermi espresso bene!


solo perchè hai cominciato a farlo TU!!
hai


la memoria corta amico mio: chi ha


cominciato a dare del "tarato"
all'altro? Già ti o risposto!



Non lo so dopo 40 msg continui a chiedermi
come dall'ip si

puoi identificare in maniera univoca un
utente

quando io non l'ho mai detto e pensato ma
ho sempre detto

che è un impiù e l'ip pubblico lo vedevo

soprattutto in un'altra ottica!!........ se tu mi dici
che usi il tuo ip fisso portabile per
metterlo nelle acl dei router in modo che
GRAZIE A QUELLO solo tu puoi fare
l'amministrazione, è come se tu mi dicessi
che usi quell'ip fisso come unico elemento
identificativo! TROVAMI IL MSG IN CUI AFFERMO QUESTO CON LE STESSE PAROLE CHE STAI USANDO TU!!!!!!!!!!!!!!!!!!!!!!!!io ho detto che uso quel sistema come ulteriore elemento di precauzione e ripeto ulteriore e non come unico elemento.....ed ora non ti offendere se ti dico tarato perchè lo sei!!!
Ho capito i target.... il
non bisogno di privacy... blablabla, capisco
tutto.... ma se quando ti chiedo le
possibili utilità dell'ip fisso portabile tu
mi dici candidamente semplicemente ?lo metto
nelle acl e faccio amm. remota? a me, abbi
pazienza, mi si rizzano i capelli!!!! Io sono sicuro che dove possibile lo fai anche tu oltre ad usare i vari ssh e certificati e se così fosse...ed io sono sicurissimo che è così, le mie parole le avresti sicuramente capite e non estremizzate nei loro concetti come tu continui a fare........ti ripeto UNICO ELEMENTO NON L?HO MAI DETTO!!!!!!!
e se
poi dopo (solo DOPO le mie puntualizzazioni
di cui sopra...) mi aggiungi ?si, vpn o ssh
PIU' ip fisso? io allora ti rispondo ?quando
hai già chiavi asimmetriche e/o certificati
l'ip fisso diventa superfluo? e anzi, ora
aggiungo anche che diventa addirittura
fastidioso perchè se ti capita di essere in
un posto (supponiamo da un cliente) dove hai
una connettività che non ti permette la vpn
con mclink (per via ad esempio del firewall
del cliente), te rimani fregato perchè il
router che vorresti amministrare non ti fa
entrare per via dell'acl!!!e no...qui mi caschi su una buccia di banana...per prevenire questo devi permettere verso l'ip dove lavori eventuali redirect verso i tuoi clienti o cmq devi permettere al tuo ip di essere raggiungibile ovunque in modo che se non ti trovi dove hai ip statico puoi cmq raggiungerli ..la possibilità di spoffare un ip è reale la possibilita di sapere qual'è ip sul quale si basa ACL è però mille volte più difficile e lungo...soprattutto lungo, di quanto non possa esserlo un buffer overflow di un servizio come es. SSH raggiungibile da da tutti mi dispiace ma tu la sicurezza la teorizzi ma nei fatti uuummmhhh io ti consiglio ogni tanto di metterti dalla parte dell'attaccante e simulare situazioni sono sicuro che capiresti molto di più certe cose altro che aggiornamenti!!!!proprio l'altro giorno dopo aver installato la dmz di qui ti parlavo con smooth.....ho fatto un pò di prove per stressare la macchina ed è bastato un plugin di ettercap ad uccidermi apache 1.28 su https la macchina funzionava perfettamente ma l'amministrazione remota via web non era più accessibile ssh e squib non hanno fatto una piega ora se permetti se io l'amministrazione remota l'avessi concessa ad un solo IP non sarebbe stato cmq meglio? e cmq questo è successo per apache al primo colpo figuriamoci se avessi cominciato a provare di tutto credo che almeno in lan sarei riuscito a mettere in crisi anche ssh e squib quindi ti ripeto la sicurezza è fatta da tante piccole accortezze quella dell'ip statico è una di quelle che non fa male e che sono sicuro usi anche tu che per me ormai ne fai una questione di principio se continui a dire di no io mi arrendo!
e magari invece
fa entrare il pischello che dicevi te che ha
trovato un buco nel server di mclink
(amministrato da uno di quei sysadmin che
non applica le patch per tempo) e che
sfruttando il tuo ip fisso entra nel router
di quel tuo cliente e lo sconfigura solo per
il gusto di farlo!!!Il tuo sarà anche un esempio ma anche il mio riportato sopra è un esempio soltanto che il mio è molto ma molto più fattibile del tuo e non dirmi che non è vero!!!
?? guarda che se non vuoi dirlo
?pubblicamente? ti basta mandarmi un
messaggio pvt in PI Box! se vuoi restare
anonimo non sono mica così stronzo da
divulgare il tuo nik! comunque fai come
vuoi, per me non c'è problemaTi scrivo ti scrivo, prometto anche questo in tanto finisco di risponderti!!!!

Re: Ma ci avete lavorato con le VPN...
1

Ricordami cosa ho scritto e ti aiuto.....
Considerando che Firenze è dove sto io (come
tu sai) potrei dedurre che Milano è dove
stai tu. E' solo un vago indizio, ma a
volte.....Non mi sono scordato di te è solo che sono stato molto impicciato e quindi ho aspettato il fine settimana per scrivere.....cmq sei lontano molto lontano....va be te lo dico.....se per me firenze è una citta bellissima nella quale mi piacerebbe abitare, ovviamente mi riferisco al centro purtroppo le periferie sono brutte in tutte le città la mia compresa,la mia città senza presunzione rimane la più bella....al mondo! ora credo che hai capito!!!

TROVAMI IL MSG IN CUI AFFERMO QUESTO CON LE

STESSE PAROLE CHE STAI USANDO

TU
Dunque, durante i
primi messaggi non mi era chiaro se tu
pensavi veramente così, perchè più volte
facevi passare il discorso sicurezza in
secondo piano, dove io invece volevo
rimanerci ancorato (ricordi? tu dicevi
?altre ottiche? e anche ?sclerotizzi su un
articolo? nonchè ?tu vedi solo vpn e
sicurezza?). Poi non ti offendere se ti dico tarato....avrò affermato 1000 volte che l'ip fisso è un impiù e non una soluzione e tu ancora hai dubbi....che poi passi nei primi messaggi ok...ma che continui ancora adesso proprio no!!!!
Non sono mica telepatico! Solo
dopo un pò di messaggi metti definitivamente
in risalto il fatto che l'ip statico lo usi
come un ?di più? a ssh, radmin, e altro.un pò? dopo 2 o 3 e cmq proprio perchè l'ho fatto....perchè al 50esimo messaggio ancora mi dici:"........ se tu mi dici che usi il tuo ip fisso portabile per metterlo nelle acl dei router in modo che GRAZIE A QUELLO solo tu puoi fare l'amministrazione, è come se tu mi dicessi che usi quell'ip fisso come unico elemento identificativo!" quindi ti ripeto sei un pò tarato...senza offesa...prova ad andare avanti nei discorsi!!!!
............................. ma quando
si asserisce che ip fisso dà certezza si
asserisce il falso". Il fatto che lo abbia
scritto a te è solo perchè destino ha voluto
che ne stessi parlando con te, tutto qua. Mi
dispiace di non averti capito bene fin da
subito ma anche tu ci hai messo un pò del
tuo nel non farti capire!!! Ok tutto chiaro..........spero!!!!!!!!!!!!


.... ma se quando ti chiedo le


possibili utilità dell'ip fisso portabile


tu mi dici candidamente semplicemente "lo


metto nelle acl e faccio amm. remota" a
me, abbi


pazienza, mi si rizzano i capelli



Io sono sicuro che dove possibile lo fai

anche tu oltre ad usare i vari ssh e

certificati

Sinceramente no anche perchè molto raramente
mi trovo in situazioni dove il client ssh o
ipsec ha un ip fisso.Quindi non lo fai per questioni pratiche altrimenti lo faresti!


se ti capita di essere in


un posto (supponiamo da un cliente) dove


hai una connettività che non ti permette
la


vpn con mclink (per via ad esempio del


firewall del cliente), te rimani fregato
perchè il


router che vorresti amministrare non ti
fa


entrare per via dell'acl



e no...qui mi caschi su una buccia di

banana...per prevenire questo devi

permettere verso l'ip dove lavori eventuali

redirect verso i tuoi clienti o cmq devi

permettere al tuo ip di essere
raggiungibile

ovunque in modo che se non ti trovi dove
hai

ip statico puoi cmq raggiungerli

Sinceramente non sono sicuro di aver capito
quello che hai scritto, comunque così a
occhio mi sembra che tu la faccia un pò
troppo comoda: tu dài per scontato che
ovunque vai (anche presso tuoi clienti) tu
abbia facoltà di configurare ciò che ti pare
come ti pare. ovvio altrimenti sono clienti di qualcun'altro!!!Io devo sempre avere il controllo su tutto per potermi assumere le responsabilità altrimenti spiega a un non tecnico che il problema x non colpa tua ma di qualcun'altro che si è scordato di impostare sul firewall la regola z per evitare che ecc ecc......
diciamo l'hotspot
di Fiumicino) che abbia un firewall che NON
ti consenta di instaurare il tunnel con
mclink. In quel momento non puoi
"agganciarti" al tuo ip fisso portabile e se
tu quell'ip fisso portabile l'hai inserito
nelle acl dei tuoi router, in quel momento
non puoi entrare in quei routerFin quando non uscirà l'offerta definitiva e non saprò esattamente come hanno implementato il tutto non posso rispondere e cmq rimangono poche situazioni limitate se permetti!!..credo che mclink ha valutato molte situazioni studiando la soluzione più versatile vediamo qundo il servizio uscira.
E siamo d'accordo


e che sono sicuro usi anche tu che per

me ormai ne fai una questione di principio
Non mi
far ripetere di nuovo che mi va bene tutto
anche il servizio di mclink basta che non si
dica che ip fisso = certezza di
identificazione, perchè sennò mi dici che
dopo 42 messaggi te lo rinfaccio ancora, ma
non lo rinfaccio a te, lo rinfaccio a mclink
che lo dice a chiare lettere nella sua
offerta. Questo è un punto ormai chiuso....spero!
Questa è la sfumatura sulla quale
faccio la questione di principio: cara
mclink, fornisci pure un servizio per dare
ip fisso portabile e pubblicizzalo ma non
dire che è utile per dare identificazione
certa o utile per la sicurezza perchè sennò
sei bugiarda!!e qui non siamo daccordo.....non da identificazione certa ok...ma rimane cmq utile per la sicurezza perchè è un impiù che non guasta mai....questa è la mia sfumatura!!!!

Il tuo sarà anche un esempio ma anche il
mio

riportato sopra è un esempio soltanto che
il

mio è molto ma molto più fattibile del tuo
e

non dirmi che non è vero!!!

NON E' VERO!!! scherzo! :D è vero è vero.
Cioè: è vero che è molto più fattibile
exploitare un bug di qualsiasi software di
sicurezza che non usare impunemente l'ip
fisso portabile di un altro, ma ahimè non è
altrettanto vero che tu OVUNQUE vada possa
avere la certezza assoluta di poter accedere
alla vpn di mclink. Anche se sicuramente ci saranno dei limiti aspettiamo che escano i detttagli sul servizio e poi ne riparliamo!!!!

Re: Ma ci avete lavorato con le VPN...
*** Parte 2 di 8

Tu invece

pignoleggi solo per il gusto di farlo =

polemica gratuita

a sbeffeggiare la gente
dando dell'incompetente alle persone ai
cominciato tu mio caroGuarda, a questo punto l'unica risposta sensata che ti posso dare è dirti come è stato il flusso da parte mia. Tutto è andato regolare (mi sembra) fino a questo posthttp://punto-informatico.it/forum/pol.asp?mid=468816dove improvvisamente te ne esci con un "ma tu che sei tarato". Da li io ho cambiato il mio atteggiamento ed ho cominciato a scrivere con stile.... sarcastico, dandoti anche il "warning" finale ("tarato lo dici a tuo fratello"). Dì pure che sono permaloso, però.... via.... "te che sei tarato"..... non è un bel modo di interloquire con gli sconosciuti non trovi? senza polemica eh! sono d'accordo con te nel volerla buttare alle spalle. Dico solo per spiegare. Se ci fai caso OGNI mio post successivo è sempre iniziato con tono normale, per poi diventare sempre più "sarcastico" via via che scrivevo il messaggio. Questo perchè ogni volta trovavo provocazioni tipo "te non capisci.... te non ci arrivi...." ed inoltre non mi rispondi (e te lo dico chiaramente anche nei post) oppure mi rispondi con le stesse obiezioni della volta precedente, alle quali io posso solo ri-rispondere con le mie provocazioni e le mie stesse obiezioni della volta precedente. Poi arriviamo a quando tu posti il mex "hai ragione tu..... sei troppo bravo per me.....", al quale rispondo spiegandoti schiettamente, quasi da.... "amico", il mio punto di vista (o quanto meno quella era la mia intenzione che mi pare ben rispecchiata dalle parole scritte). Tu allora rispondi di nuovo, con tono che mi era parso normale e con finalmente molte info in più sul topic (scrivi addirittura 3 post, anche se uno era sul discorso lan). Io apprezzo e te lo faccio presente in quel mio mex fatto solo per affrontare gli argomenti non tecnici, per i quali avevo tempo a sufficienza per risponderti. E semplicemente colgo l'occasione per anticiparti anche che, a causa di motivi di lavoro, ti avrei risposto su tutto il resto entro il giorno successivo poichè per scriverti tutte le cose (sia sulle lan che sulle vpn) con massimo dettaglio avevo bisogno di molto più tempo che in quel momento non avevo. E la notte stessa (invece che il giorno successivo) mi metto a scriverti, finisco il primo post, mi collego un attimo perchè volevo ricopiare il tuo secondo mex (scrivo sempre off-line) e trovo una tua risposta al mio mex "veloce" dove accusi attacchi insinui di tutto e di più, e dove addirittura, invece di riconoscere la mia onestà nell'ammettere una svista (i 150 euro all'anno invece che al mese) ci fai leva per tornare polemico come prima più di prima!!!! e poi anche le insinuazioni sul cosa dovevo fare davvero quel giorno, se dovevo prendere tempo ecc...!! e io ero li alle 4 di notte (comunque non avevo sonno) come un imbecille da 2 ore a scriverti (scrivi, taglia, spiega meglio, entra nei 7000 caratteri, allora ritaglia e riformula, riscrivi.....) proprio quel sacco di cose che mi avevi chiesto e sul quale insinuavi di tutto e di più!!!! ti giuro che non credevo ai miei occhiali. Ero convinto che il mio video ad alta presistenza mi stesse facendo vedere un tuo messaggio offensivo di qualche giorno prima. Da li a scrivere i due messaggi icsati, credimi, è stato un attimo. Da quel momento non me ne è fregato assolutamente un cazzo di niente.... non avevo (e non ho) certo tempo da perdere in stupide sfide personali. Mi interessava solo che i concetti che avevo espresso fino a li fossero ben chiari a chiunque (= pubblico profano) e non storpiabili da nessuno in nessun modo. Ecco come è andata per me. Con questa breve descrizione credo di aver risposto in toto a tutti i tuoi "commenti" relativi a questa storia. Se ci vuoi credere, bene, sennò non ha importanza. Basta che non mi fai perdere tempo. Voglio pensare che anche tu, come dici, non abbia tempo da perdere in stronzate infantili. Se poi vuoi rispondere anche su questo argomento, non c'è problema

No! non "punto", semmai "virgola" :D :
"...

crea un dominio di collisione VIRGOLA a

patto che quel segmento di rete in layer-1

non sia a sua volta uno switch,

Ed allora non è più layer 1 mi spieghi come
uno switch può diventare di
livello1Niente da dire: volevo fare una puntualizzazione solo per fare polemica. Peccato che è venuta malissimo e li per li non me ne sono accorto minimamente :( Comunque questa frase specifica voleva dire che ci sono due porte di uno switch (una per ogni switch) che unite dal cavo formano un (piccolo) segmento di layer-1. Si, in effetti non mi sono espresso un granchè bene :(
Dimmi tecnicamente cosa vuole dire:" un
dominio di BROADCASTdi layer-2".... ... da qui fino alla fine del discorso poi, altro che ?non mi sono espresso un granchè bene?: ho scritto proprio un troiaio senza capo nè coda. So che avevo in mente proprio le vlan ma non so come mai il pensiero non si è tradotto in caratteri digitati sulla tastiera. Che ci vuoi fare: quando provo a essere volutamente cattivo inciampo sempre da solo....

Per me "sniff" non è un superinsieme di

MITM, per te si. Io distinguo nettamente
le

due cose, tu no.

Ma come..... ho precisato che sniffare vuol
dire solo catturare pacchetti e che MITM è
una tecnoica per farlo e dici che io non
distinguo scusaRiformulo: tu dici che MITM è uno dei modi per fare sniffing. Io invece dico che sia MITM che sniffing sono due modi di fare "traffic capture". Cioè mentre io dico che MITM e sniffing sono "fratelli" (ieri ho usato il termine OOP "sibling") di uno stesso "padre" (traffic capture), tu invece dici che MITM è "figlio" di sniffing. Non è un'analogia adatta ma non riesco a trovarne altre per spiegarmi meglio. L'unica sarebbe parlarti in gergo OOP (programmazione a oggetti) ma mi hai detto che non è il tuo campo..... mi spiace ma non riesco proprio a spiegartelo meglio :( Potrei dire che mentre per te MITM sta a sniffing come TCP sta a layer-4, per me invece MITM sta a sniffing come TCP sta UDP. Ecco, forse così ho trovato il modo giusto per spiegarmiE quindi mentre tu dici "sniffare" sia quando usi tcpdump sia quando usi ettercap per l'avvelenamento arp, io invece dico "sniffare" solo quando uso tcpdump e dico "MITM" quando uso ettercap (vabè, ancora quello non l'ho usato, ma insomma, per farmi capire....) e a parer mio la differenza è sostanziale, e di parecchio.... e per questo uso due termini distintiDa questo credo tu possa capire la mia ?famosa? frase ?con un solo host collegato ad ogni porta di uno switch non si sniffa un cazzo? nonchè la frase ?finchè egli (tu) mi parlava di mitm in switched lan non avevo nulla da eccepire ma quando mi parla di sniffare a destra e a manca le cose cambiano....?

Re: Ma ci avete lavorato con le VPN...
**************************************************** Parte 4 di 5***************************************************

mi sbaglierò ma io dico di no. Comunque

ovviamente lascio a voi la decisione

Ecco infatti decidete voi che è meglio!!!Perfetto! almeno su questo siamo d'accordo 8)

Niente paura, avete un qualificato

docente di reti pronto a darvi tutte le

spiegazioni che volete

Ovvio te come docente saresti una frana!!!!Può darsi benissimo, difatti non è il mio lavoro, nè una mia aspirazione. Ma anche te con il tuo italiano.... per favore! mi auguro che le tue lezioni siano esclusivamente orali!
indirizzi network-layer passano ma gli indirizzi link-layer non
si possono sentire indirizzi fisici oppure MAC adress puntoe virgola! t'ho già ripreso su questo discorso
cmq prima mi è sembrato di capire che per link layer
intendessi livello 3 forse ho capito male quando hai detto:"
si era soffermato sui possibili man-in-the-middle a livello
link-layer,non ho avuto proprio niente da eccepire, anzi"
Qui credo parlassi di livello 3 livello "Network" o no?Evidentemente ti sfugge la differenza tra mitm di layer-2 e mitm di layer-3. "La soluzione a questo problema è talmente banale che viene lasciato come compito a casa" :D Domani te lo correggo!
In due parole lo sniffing non è altro che la cattura del traffico
puntoE a-ri-virgola. Te che ti piace l'inglese dovresti essere capace di trovare l'espressione giusta per "cattura del traffico" o (per come viene detto da una famosa libreria in C atta a fare ciò) "cattura dei pacchetti". Dài dài, t'ho già aiutato troppo! Conosci la programmazione a oggetti? ecco, l'espressione "cattura di pacchetti" è la superclasse mentre "sniffing" e "mitm" sono due sottoclassi sibling di quella superclasse

E con

un solo host collegato ad ogni porta di uno

switch, ciò non è possibile.

Ma come!!! sopra dici che l'hai fatto e ora non è possibile
qualcosa non quadra!!!Si, il tuo italiano non quadra. Ma so bene che hai capito, così come hanno capito i profani ai quali era diretta quella spiegazione, percui è inutile che io stia a rispiegare l'evidenza

si era soffermato

sui possibili man-in-the-middle a livello

link-layer

Link-Layer ma cosa continui a blaterare nel modello OSI si
dice livello "network"Vedi sopra

Sono esageratamente pignolo?

Forse. Ma visto che il nostro docente

"gioca" sul gergo tecnico inventandosi

interpretazioni lascive dei termini

Interpretazioni cosa? ma se non ne hai preso uno di
interpretazione e di termine ma sei patetico!!!Pfui! polemica spicciola
Anche se volevi spiegare a chi non ha le competenze non ci
sei proprio riuscito ti inventi anche i terminiSi si come no

Orbene, ancora una volta il nostro docente

parla in teoria, dimenticandosi della

realtà

La realtà la conosco molto bene spostandomi ed avendo a
che fare con tantissime realtàForse realtà scolastiche, non certo aziendali, ma tu non lo ammetterai scommetto
e cmq ricorda, la media si sta
alzando, ormai nelle scuole gli alunni ne sanno più dei
professoriPiù di "certi" professori non ne dubito :D (suvvia, non mi fare questi assist, che io poi non resisto a concludere a rete!! :D )

nella realtà un MITM a livello

link in una switched LAN presuppone che

l'autore dell'attacco sappia già quali siano

gli host interessanti e per che cosa (cioè

per quale traffico) lo siano

Perchè nelle tue lan il server di file sharingFile-sharing? cioè il P2P? nelle LAN aziendali? o bella! :o penso che tu intendessi dire il comune "file-server" (Samba)
oppure il tuo gateway lo tieni così ben nascostoCerto! basta che lo conosca il server DHCP! (ah già, ma tu lo "avveleni" con ettercap. Aspetta aspetta che arrivo anche li....)
ipconfig oppure ifconfig per sapere ip e gateway è troppo
complessoEh, certo, come no. Winipcfg con tutti i suoi numerini sparsi qua e la e suddivisi per "PPP Adapter #1", "PPP Adapter #2", "NIC card", "ecc...." è comprensibilissimo al solito impiegatuccio con le solite MINIME conoscenze informatiche... Ipconfig poi, che non è nemmeno grafico.... Per non parlare di ifconfig!! qualunque impiegato con conoscenze MINIME è capacissimo di distinguere i numeri giusti tra tutti i "TX, RX, carrier, dropped, ....". E già che ci siamo perchè non "ip -s addr" allora? che sei razzista?
Non ho ben capito ma nelle tue lan ogni host comunica solo
con se stesso oppure la lan ha uno scopo un pò più
corposo!!!!!!E certo!!! che ancora non l'hai capito? io sono un pezzo avanti! ogni mia lan è un solo host, così non ho più problemi di nessun genere, tsè :D
Comunicare con un host e poi fare arp -a o -e non è poi cosi
complesso per saper un ip ho detto un minimo non un
imbranato!!!aahhhh passiamo dritti dritti niente popò di meno che ad arp -a o -e!!!!! e ribadisci che hai detto "minimo" e non "imbranato"!!!! ma siiiiii!!! me lo vedo l'impiegato che va al # e scrive "arp -a" volendolo scrivere e capendone l'output!!!! Infatti egli sa benissimo che nascosto da qualche parte su ogni scheda o sotto ad ogni router c'è scritto il MAC address che può confrontare con l'out di arp -a per sapere qual'è l'ip e quindi catturarne il traffico (ops! tu dici "sniffarlo"! pardon!). Cerrrrto, un "impiegato" non un "tecnico", e con conoscenze "minime" non un "imbranato", cerrrrto

Certo, si può decidere di

"avvelenare" (come si dice in gergo)

Qui l'inglese fa più scena "Poisoning"Ah! la nostra beneamata lingua! tradita! per così poco! :'(
Le possibili contro misure che tu sicuramente, visto il tuo
alto tasso tecnico conosci sono.......

Arpwatch lo riconosce ma non lo può evitare
Ettercap lo riconosce ma non lo può evitareE come farebbero? probabilmente con il metodo che descrivo fra poco. Non certo semplicemente notando tanti ip associati ad un solo mac address, primo perchè potrebbe essere un legittimissimo proxy-arp, secondo perchè un programma "avvelenatore" potrebbe prendersi la premura di iniettare sempre un source mac diverso e quindi ogni IP sarebbe comunque associato a mac differenti pur essendo avvelenati. L'unico vero modo è cercare di fare qualche euristica analizzando il traffico oppure confrontare la cache di tutti gli host per vedere se ci siano 2 ip associati allo stesso mac, ma anche questo verrebbe invalidato da un avvelenatore che modificasse ogni volta il source mac address. In breve: Arpwatch e Ettercap non solo non lo possono evitare ma neanche lo possono riconoscere
IDS lo rilevano ma non lo evitanoIDS non credo proprio. NIDS su altri host se li programmi forse....

Re: Ma ci avete lavorato con le VPN...
*********************************************************** Parte 3 di 5*********************************************************
dimostra come alla fine scappi dal vero
confronto tecnico e il continuare a dire su
diversi punti "io avrei fatto
diversamente...secondo me si poteva fare ecc
ecc" ma poi non dire nulla è veramente
deprimente lasciatelo direAllora predichi bene e razzoli piùissimo malissimo!! quando eri tu a fare così sulle vpn andava bene eh? comunque, eccoti accontentato
io avrò fatto
anche il super pignolo e preciso su molti
punti ma ti vorrei ricordare come in
precedenti msg mie affermazioni che erano
cmq comprensibili venivano continuamente
riprese da te e puntualizateriprese e puntualizzate perchè volevo ulteriori dettagli, che non hai mai (tuttora) dato, non certo per polemizzare gratuitamente. Volevo capire quali fossero questi utilizzi pratici ai quali io potevo non aver pensato. Volevo darti la possibilità di convincermi. Ma tu hai sempre fatto il finto tonto, esasperandomi. Si, si, ora dirai che tu l'hai detto, che se io non li vedo, boh che devi fare... La solita zuppa.... Già te lo dissi : le tue argomentazioni sono state inconsistenti e non mi hai convinto per niente. Sculo
col tono del
saccente che ha la verita in tascasolo perchè hai cominciato a farlo TU!! hai la memoria corta amico mio: chi ha cominciato a dare del "tarato" all'altro? Eh si che già 2 volte ho cercato di riportarti a più miti consigli ed a regolarizzare il nostro colloquio, e mi avevi pure dato l'impressione che tu l'avessi capito, poi sei esploso all'improvviso. Che, forse eri frustrato dal mio continuo incalzarti su un argomento sul quale non sei.... "serrato"?
a quel
punto mi hai costrettto a calarmi nel ruolo
che cmq evito sempre in questi contestie fai bene a evitarlo! si trovano certi cialtroni in giro pronti solo a farti perdere tanto di quel tempo.... :p Per questo (ammettendo e non concedendo che tu NON sia uno di quelli) dovresti usare il nick (che dici di avere) : perchè così almeno impari a riconoscere eventuali altri nickkati con i quali sai di poterti confrontare civilmente e costruttivamente. Il che non vuol dire dimostrare che "io sono più bravo di te", vuol dire solo sfruttare in maniera intelligente "quella straordinaria risorsa che possono essere i forum di discussione" (già dissi questa frase)
quello più tecnico dove per altro tu mi hai
portatoEh no bello mio! questo argomento sulle LAN lo hai tirato fuori TE dal NULLA. Rileggi, rileggi i post dall'inizio
e proprio qui si è potuto notare la
differenza...Già, come no! secondo il tuo contorto metro di giudizio io dovrei dire di te che "Sei troppo LAN oriented", dato che sulle vpn hai lasciato un sacco di punti interrogativi. Tra l'altro, anche se fosse, non ci sarebbe proprio nulla di male, ma tu dicesti a me "sei troppo VPN oriented" con lo stesso fare dispregiativo che tu adduci a me
cmq non ti arrabbiareCi mancherebbe
c'è sempre tempo per imparare... per TUTTI, nessuno escluso 8)

** Amici lettori ...

Questa tua precisazione cosa centra con
quello che ti ho detto!!!Per conoscenza ai profani e per via di te che puntualizzavi gratuitamente a destra e a manca ho preferito prevenirti onde evitare di dover scrivere yet-another-more-detailed-explanation-message
Tu parlavi di sniffare sullo stesso filo ed
io ti ho precisato che è più corretto dire
segmento di rete.Spero che, come ti ho accennato poc'anzi, tu sappia bene che l'espressione "segmento di rete" di per sè è generico e può essere suddiviso in "segmento di rete di layer-1" (dominio di collisione), "segmento di rete di layer-2" (dominio di broadcast)
Cmq ti ricordo che anche un Hub o un
Repeater lavorano a livello 1 potevi
metterceli...Anche un' Access Point, se per questo (anche questo lo dico in conformità alle tue puntualizzazioni insignificanti 8) Per la serie "non capisco perchè lo fai, ma mi adeguo senza problemi")

==================================

Modificato dall'autore il 06/11/2003
20.04.39

??????????Ho aggiunto la nota con gli asterischi (avrai notato che gli asterischi erano accanto alla parola "filo")Ma veniamo al dunque
Stiamo parlando dll'impiegato malizioso con un pò di
esperienza che tutte queste info sicuramente già le saAncora insisti su questo! un impiegato con un MINIMO di conoscenze? tu hai una visione distorta. L'impiegato con un MINIMO di conoscenze sa distinguere outlook da explorer, sa distinguere tra web e posta elettronica, sa usare google, al massimo si premura coscienziosamente contro virus e trojan, sa riconoscere i pop-up pubblicitari ingannevoli, in casi del tutto eccezionali sa usare Office appieno, sa cosa è un nome di dominio, ma NON sa nemmeno cosa è e a cosa serve il DNS, figurati se sa cosa è un gateway, un ip address, l'smtp e il pop3. Comunque: tu sei convinto del contrario? vabbene, rimani della tua convinzione, sai che me ne....
perchè parli quando le cose e i tool che le fanno non li hai
mai usati?Insinuazione da 4 soldi. Non merita risposta. Evidentemente secondo te solo chi usa ettercap è un ganzo. Ma chi sei? uno degli autori?
Usali e poi ne riparliamoNon leggi. L'ho già spiegato. Non c'entra un cazzo la facilità d'uso di questo o quel tool. Il tuo ettercap può fare anche tutto da solo senza nemmeno bisogno di essere lanciato, ma poi PER ESSERE UTILE, ci deve essere un essere umano che legge l'output. Per quanto scremato da informazioni superflue possa essere, ci deve essere un cristiano che legge questo ipotetico output banalissimo:10.0.0.1 ha usato username "pippo" password "pluto" per pop310.0.0.2 ha usato user "paperino" password "minni" per ssh110.0.0.3 ha usato user "clarabella" password "orazio" per Risorse di Rete di Windows........più semplice di così qualsiasi ettercap non può essere. E secondo te l'impiegato con conoscenze MINIME sa chi è 10.0.0.1-2-3 e sa cos'è pop3 ssh (passi per le Risorse di Rete di Windows, ammesso che dica così invece di CIFS o SMB) ?? non dire cazzate: l'impiegato con conoscenze MINIME quando legge ciò dice: "prima di tutto la maiala di sò mà, e poi mi informo su 'password' e se m'ha offeso gli fo un culo così... e poi come si permette di dirmi di stare zitto!!" (ssh). Sto caricaturando.... ma neanche poi tanto

cosa ve ne fate di una

gragnuola di username e password se non

sapete in quali contesti vengono usati?

Contesti? usati? se ho l'ip user e la psswd della posta del
capo che altro mi serve scusa non ti capisco!!!Si, ma TU non sei un utente con conoscenze MINIME (spero!). Sai benissimo a cosa mi riferisco. Continui solo a fare il finto tonto per polemizzare

E davvero

tutto ciò può essere fatto da un "impiegato

con un MINIMO di conoscenze