Ultimo miglio con reti wifi... CRITICA

[Wizard]

Perchè la vpn non la vedresti bene come soluzione?

Le latenze aumenterebbero direi...
Cmq si, una bella chiave WPA-WPA2 avrebbe già risolto

[masterx81]

Avessero usato apparecchi decenti con antenne con un guadagno decente ed implementato la vpn, penso che si avrebbe avuto una situazione indubbiamente migliore di adesso, sia a livello di latenze che di sicurezza.
Attualmente montano una singola antenna da 3/4 db (questo un installatore in particolare, nella stessa zona - lo stesso che lascia le pass di default...), e l'access point è a circa 100mt in linea d'aria...
Gia' non so come il segnale fa ad arrivare, infatti gia' ti sposti all'interno dell'edificio (una porta finestra) ed il segnale sparisce.
Cmq gia' una wpa con una pass impestata non sarebbe stato male, ma per una sicurezza 'totale'...

[masterx81]

Per pura curiosita' ho fatto un paio di test per quello che riguarda la lentezza e latenza di una vpn...
Questi sono i risultati di 50 ping (per avere un valore medio decente) tra 2 cisco 857w (non delle schegge) con dimensione del pacchetto standard. Tra i 2 router c'e' un canale vpn ipsec :

Codice: Seleziona tutto

ping a maya.ngi.it
Success rate is 100 percent (50/50), round-trip min/avg/max = 12/16/28 ms

ping su canale vpn
Success rate is 100 percent (50/50), round-trip min/avg/max = 32/41/72 ms

ping su ip pubblico
Success rate is 100 percent (50/50), round-trip min/avg/max = 32/39/80 ms

Questi invece sono gli stessi ping con dimensione del pacchetto di 1000byte:

Codice: Seleziona tutto

ping a maya.ngi.it
Success rate is 100 percent (50/50), round-trip min/avg/max = 28/31/36 ms

ping su canale vpn
Success rate is 100 percent (50/50), round-trip min/avg/max = 60/66/80 ms


ping su ip pubblico
Success rate is 100 percent (50/50), round-trip min/avg/max = 60/64/80 ms

Non mi sembra che ci siano apprezzabili rallentamenti. Sicuramente quando c'e' piu' traffico la cosa cambia di molto, spingendo anche i dispositivi al loro limite. Al momento del test il canale era completamente scarico. Non nego che una vpn rallenti, ma lo fa in maniera QUASI trascurabile (facendo le dovute eccezioni), ma la sicurezza che essa aggiunge, credo che copra ampiamente gli svantaggi portati...

Ho trascurato qualcosa nella considerazione?

Ps: Mhuauauau, il mio amico mi ha chiesto propio ora se posso sostituirgli il router messo dai fenomeni perchè sono giorni che va da schifo e riesce a malapena a navigare! Fantastico... Il gli cambio router e gli metto una yagi, almeno c'e' un po di sicurezza intrinseca, il segnale viaggia solo verso l'access point...

[Wizard]

Non nego che una vpn rallenti, ma lo fa in maniera QUASI trascurabile (facendo le dovute eccezioni), ma la sicurezza che essa aggiunge, credo che copra ampiamente gli svantaggi portati...

Certo, ne vale sicuramente la pena!

[zot]

Parliamo di teoria......in una rete Wireless completamente aperta,far passare una VPN non è il massimo.....un attacante potrebbe leggere tranquillamente tutto quello che accade a livello 2 e,se la memoria non mi inganna,una VPN si preoccupa solo del livello 3......ciò comporterebbe attacchi di tipo "man in the middle" potenzialmente molto pericolosi.
Dal mio piccolo punto di vista,ritengo che sia conveniente gestire un criptaggio Wirelless "tosto" e lasciare le VPN a fare quello per cui sono nate : far transitare dati privati su canali condivisi....ma questa,ribadisco,è una mia opinione.
Per quelli che vogliono approfondire sul criptaggio del flusso dati Wireless ,consiglio questa lettura : http://www.gpaterno.com/pubblicazioni/s ... eless-lan/ .

[masterx81]

Parliamo di teoria......in una rete Wireless completamente aperta,far passare una VPN non è il massimo.....un attacante potrebbe leggere tranquillamente tutto quello che accade a livello 2 e,se la memoria non mi inganna,una VPN si preoccupa solo del livello 3......ciò comporterebbe attacchi di tipo "man in the middle" potenzialmente molto pericolosi.
Dal mio piccolo punto di vista,ritengo che sia conveniente gestire un criptaggio Wirelless "tosto" e lasciare le VPN a fare quello per cui sono nate : far transitare dati privati su canali condivisi....ma questa,ribadisco,è una mia opinione.
Per quelli che vogliono approfondire sul criptaggio del flusso dati Wireless ,consiglio questa lettura : http://www.gpaterno.com/pubblicazioni/s ... eless-lan/ .

D'accordo che la vpn si occupa di livello 3, ma cio' che viaggia è criptato (quindi l'eventuale 'man-in-the-middle deve conoscere la crittografia), in piu' se non ricordo male l'ipsec si occupa anche di garantire che il mittente ed il destinatario siano sempre gli stessi. Vabbe' che utilizzera' l'ip ed il mac per riconoscere mittente e destinatario, ma gia' fregare la crittografia penso che sia un lavoro non da poco... Molto piu' complicato che bucare una rete wifi...
Tra l'altro leggevo che recentemente hanno scoperto delle vulnerabilita' sia dell'MD5 che dell'SHA-1... Preoccupante...

[andrewp]

D'accordo che la vpn si occupa di livello 3, ma cio' che viaggia è criptato (quindi l'eventuale 'man-in-the-middle deve conoscere la crittografia), in piu' se non ricordo male l'ipsec si occupa anche di garantire che il mittente ed il destinatario siano sempre gli stessi.

Già, corretto.

Vabbe' che utilizzera' l'ip ed il mac per riconoscere mittente e destinatario, ma gia' fregare la crittografia penso che sia un lavoro non da poco... Molto piu' complicato che bucare una rete wifi...

Non solo, l'IPsec ad esempio si occupa di garantire lo scambio, per leggere:
http://en.wikipedia.org/wiki/IPsec#Auth ... r_.28AH.29

Tra l'altro leggevo che recentemente hanno scoperto delle vulnerabilita' sia dell'MD5 che dell'SHA-1... Preoccupante...

Non è tecnicamente corretto..non è una vulnerabilità ma, visto che sempre di algoritmo si tratta c'è il rischio provando milioni e milioni di combinazioni che una password originale diversa dia lo stesso hash MD5 e quindi si venga autenticati.

http://en.wikipedia.org/wiki/MD5#Vulnerability

Per SHA-1 è molto più difficile quindi è considerato ragionevolmente sicuro.

http://www.schneier.com/blog/archives/2 ... roken.html

[zot]

........in una rete Wireless completamente aperta,far passare una VPN non è il massimo...........

Una rete Wireless è paragonabile a una rete dove ci sia uno shitch hub : tutti vedono tutti i dati di tutti.....In quest'ottica un attacante associato alla WLAN può facilmente scoprire la struttura di rete ed intercettare l'IKE(fate una ricerca con "ike vulnerability")..è qui il problema cioè prima di MD5 o SHA e di 3DES o AES che siano.
L'IPSEC è progettato per connesioni punto-punto non per reti "broadcast" com'è una WLAN.

Quindi ritorno al mio pensiero:è comunque vantaggioso in termini di scalabilità e semplicità implementare una crittografia progettata per WLAN (come WPA con passphrase degne di questo nome)abbinandoci ,eventualmente, autenticazioni di tipo 802.1x ,piuttosto che mettere su una VPN IPSEC con gli intresechi problemi di NAT,roaming su AP con subnet diverse,traffico multicast,VoIp,videoconferenza.........

[andrewp]

L'IPSEC è progettato per connesioni punto-punto non per reti "broadcast" com'è una WLAN.

Ah si? Come la famosa rete punto-punto "internet"?!

[zot]

Quando vuoi sai essere mooolto pungente........

Vogliamo discutere del significato di "punto-punto" al variare del suo contesto o preferiamo parlare dei vantaggi/svantaggi di una VPN IPSEC in una comunicazione Wireless??!!!

Scusa, poi ci incontriamo spesso sul forum,ti risulta che non sappia la differenza tra punto-punto,punto-multipunto,dialup............e che cavolo!

[andrewp]

Quando vuoi sai essere mooolto pungente........

Vogliamo discutere del significato di "punto-punto" al variare del suo contesto o preferiamo parlare dei vantaggi/svantaggi di una VPN IPSEC in una comunicazione Wireless??!!!

Scusa, poi ci incontriamo spesso sul forum,ti risulta che non sappia la differenza tra punto-punto,punto-multipunto,dialup............e che cavolo!

Dai, volevo solo essere un pò sarcastico

[zot]

[Wizard]

Ma voi avete mai visto una rete wi-fi aperta protetta da vpn?!
Io no...!
E' molto + semplice e sicuro una bella chiave wpa2!

[zot]

Ma voi avete mai visto una rete wi-fi aperta protetta da vpn?!

Io si!!!!!!ed anche in realtà piuttosto "importanti".......
Il discorso della VPN nel Wireless è una cosa che ho visto agli "albori" di questa tecnologia,quando una cifratura WEP data la sua intrinseca insicurezza e inscalabilità (distribuzione delle chiavi)veniva sostituita da canali VPN......ma,poi ,incominciaro ad uscire exploit sullo scambio IKE e via dicendo...e nel frattempo nacque WPA,che,allo stato attuale,è da ritenersi sicuro.
A questo punto non vedo proprio perchè adottare un canale VPN all'interno di una cifratura Wirless sicura......vabbè la paranoia ma c'è un limite.....