Re: [Ninux-Wireless] Servizi in rete

2015-01-05 Per discussione impythefruit

Il 03/01/2015 16:09, Clauz ha scritto:

On 12/28/2014 03:59 PM, Stefano De Carlo wrote:

Il 27/12/2014 21:13, impythefr...@gmail.com ha scritto:


Approposito di sicurezza, qualcuno ha mai testato oslr/batman ad attacchi? A 
logica è possibile che un nodo inietti pacchetti che facciono girare il routing 
a suo piacimento... (credo sia possibile un dos evitando che un nodo venga 
raggiunto)



Certo, se ne sono anche scoperti di nuovi in Ninux.

OLSR plugin's oversized HTTP headers - Fix by Nolith (Ninux Firenze)

http://ml.ninux.org/pipermail/wireless/2014-May/014019.html

OLSR fake HNA announcement originator DoS - Analisi by Zio Proto (Ninux Roma)

http://ml.ninux.org/pipermail/wireless/2014-May/014269.html
http://ml.ninux.org/pipermail/wireless/2014-May/014301.html


Un po' di teoria:
http://perso.crans.org/~raffo/papers/attacks-olsr-dkm.pdf

Clauz




Grazie mille, ottimi link.

___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2015-01-04 Per discussione Clauz
On 12/28/2014 03:59 PM, Stefano De Carlo wrote:
 Il 27/12/2014 21:13, impythefr...@gmail.com ha scritto:

 Approposito di sicurezza, qualcuno ha mai testato oslr/batman ad attacchi? A 
 logica è possibile che un nodo inietti pacchetti che facciono girare il 
 routing a suo piacimento... (credo sia possibile un dos evitando che un nodo 
 venga raggiunto)

 
 Certo, se ne sono anche scoperti di nuovi in Ninux.
 
 OLSR plugin's oversized HTTP headers - Fix by Nolith (Ninux Firenze)
 
 http://ml.ninux.org/pipermail/wireless/2014-May/014019.html
 
 OLSR fake HNA announcement originator DoS - Analisi by Zio Proto (Ninux Roma)
 
 http://ml.ninux.org/pipermail/wireless/2014-May/014269.html
 http://ml.ninux.org/pipermail/wireless/2014-May/014301.html

Un po' di teoria:
http://perso.crans.org/~raffo/papers/attacks-olsr-dkm.pdf

Clauz


___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Massimiliano CARNEMOLLA
Se preoccupazioni si possono chiamare potrebbero essere solo  gli 
scrocconi della connessione ad internet che transita all'interno della 
rete ma che viene condivisa solo ad alcuni.


O qualche lamer idiota che non ha di meglio da fare che creare 
disservizi all'interno della stessa.

___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Michele Salerno
Nel mio caso e non penso di essere l'unico. Ho un hotspot libero al fine di
far conoscere ninux.org, infatti la slashpage è quella di ninux.
Chi accede arriva anche sui servizi della mia rete (jabber, cloud
etc...)un iptables lo metto sulle macchine!


Il giorno 28 dicembre 2014 12:24, Massimiliano CARNEMOLLA 
massimili...@null.net ha scritto:

 Se preoccupazioni si possono chiamare potrebbero essere solo  gli
 scrocconi della connessione ad internet che transita all'interno della rete
 ma che viene condivisa solo ad alcuni.

 O qualche lamer idiota che non ha di meglio da fare che creare disservizi
 all'interno della stessa.


___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Massimiliano CARNEMOLLA

On 28/12/2014 12.32, Michele Salerno wrote:


Nel mio caso e non penso di essere l'unico. Ho un hotspot libero al fine
di far conoscere ninux.org http://ninux.org, infatti la slashpage è
quella di ninux.


Io ho riscontrato il problema che se non c'e' connessione NoDogSplash 
non funziona.




Chi accede arriva anche sui servizi della mia rete (jabber, cloud
etc...)un iptables lo metto sulle macchine!


Io ho pensato la rete in questo modo :

Oltre le indicazionio Ninux

172 per la parte wireless

10 per la parte groung routing e servizi


Una LAN privata per gli host domestici (es. su 192)
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Giuseppe De Marco
Il 28 dicembre 2014 12:24, Massimiliano CARNEMOLLA
massimili...@null.net ha scritto:
 Se preoccupazioni si possono chiamare potrebbero essere solo  gli scrocconi
 della connessione ad internet che transita all'interno della rete ma che
 viene condivisa solo ad alcuni.

Non annunciare un default gw a livello di rete, fai internet tramite
tunnel così navigano solo le persone che attivamente partecipano in
qualcosa che serve a navigare. Per tutto il resto c'è ninux as is.

 O qualche lamer idiota che non ha di meglio da fare che creare disservizi
 all'interno della stessa.

Abusi su olsrd, ip collision, HNA collision, DoS.
Mai visto niente di simile da noi ma a furia di ripetermelo me la sto
chiamando :)
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Simone Magrin
Send by Nexus 5
Il 28/dic/2014 12:33 Michele Salerno mikysa...@gmail.com ha scritto:

 Nel mio caso e non penso di essere l'unico. Ho un hotspot libero al fine
di far conoscere ninux.org, infatti la slashpage è quella di ninux.
 Chi accede arriva anche sui servizi della mia rete (jabber, cloud
etc...)un iptables lo metto sulle macchine!

Quanti accessi hai avuto fin'ora? Quanti servizi usati?
S.



 Il giorno 28 dicembre 2014 12:24, Massimiliano CARNEMOLLA 
massimili...@null.net ha scritto:

 Se preoccupazioni si possono chiamare potrebbero essere solo  gli
scrocconi della connessione ad internet che transita all'interno della rete
ma che viene condivisa solo ad alcuni.

 O qualche lamer idiota che non ha di meglio da fare che creare
disservizi all'interno della stessa.


 ___
 Wireless mailing list
 Wireless@ml.ninux.org
 http://ml.ninux.org/mailman/listinfo/wireless

___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Massimiliano CARNEMOLLA

On 28/12/2014 12.49, Giuseppe De Marco wrote:


Non annunciare un default gw a livello di rete, fai internet tramite
tunnel così navigano solo le persone che attivamente partecipano in
qualcosa che serve a navigare. Per tutto il resto c'è ninux as is.


Sapevo di questa cosa, (l'avete adottata voi in Calabria) ma non avevo 
pensato al fatto che utilizzando una VPN non sarebbe possibile che un 
problema del genere possa verificarsi.



Abusi su olsrd, ip collision, HNA collision, DoS.
Mai visto niente di simile da noi ma a furia di ripetermelo me la sto
chiamando :)



Fa parte della paranoia quindi e' meglio non tenerne conto.


O sei uno economicamente facoltoso (altrimenti non potresti 
permettertele certe cose) oppure fai parte di una cerchia che ritiene 
(che la cosa sia vera o no) che quello cha facciamo noi va contro i loro 
interessi privati e allora li' si che dovrai tutelarti.



La conoscenza rende liberi.
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Michele Salerno
Ho usato il mio pfsense che ha 4 schede eth, ma ne uso 3.
WAN - router alice
LAN - casa 192.168.200.0/24
VLAN - Ninux - Gesione, antenne etc...
La mia lan 10.27.0.0/24 l'ho divisa in 2 /25
 Il primo segmento lo tengo nella gesione (servizi)
 il secondo segmento lo tengo per l'hotspot (connessione libera a
2,4 GHz)
La Backbone è sulla NS M5 configurato come AP, i primi di gennaio mi
arrivano altre 2 antenne.

Ho dato una regola di firewalling, dai miei pc di casa accedo alla rete
ninux, non il contrario.


Il giorno 28 dicembre 2014 12:43, Massimiliano CARNEMOLLA 
massimili...@null.net ha scritto:

 On 28/12/2014 12.32, Michele Salerno wrote:

  Nel mio caso e non penso di essere l'unico. Ho un hotspot libero al fine
 di far conoscere ninux.org http://ninux.org, infatti la slashpage è
 quella di ninux.


 Io ho riscontrato il problema che se non c'e' connessione NoDogSplash non
 funziona.


  Chi accede arriva anche sui servizi della mia rete (jabber, cloud
 etc...)un iptables lo metto sulle macchine!


 Io ho pensato la rete in questo modo :

 Oltre le indicazionio Ninux

 172 per la parte wireless

 10 per la parte groung routing e servizi


 Una LAN privata per gli host domestici (es. su 192)

 ___
 Wireless mailing list
 Wireless@ml.ninux.org
 http://ml.ninux.org/mailman/listinfo/wireless




-- 
Informativa Privacy - Ai sensi del D. Lgs n. 196/2003 (Codice Privacy) si
precisa che le informazioni contenute in questo messaggio sono riservate e
ad uso esclusivo del destinatario. Qualora il messaggio in parola Le fosse
pervenuto per errore, La preghiamo di eliminarlo senza copiarlo e di non
inoltrarlo a terzi, dandocene gentilmente comunicazione. Grazie.

Privacy Information - This message, for the D. Lgs n. 196/2003 (Privacy
Code), may contain confidential and/or privileged information. If you are
not the addressee or authorized to receive this for the addressee, you must
not use, copy, disclose or take any action based on this message or any
information herein. If you have received this message in error, please
advise the sender immediately by reply e-mail and delete this message.
Thank you for your cooperation.
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Giuseppe De Marco
Il 28 dicembre 2014 13:03, Massimiliano CARNEMOLLA
massimili...@null.net ha scritto:
 On 28/12/2014 12.49, Giuseppe De Marco wrote:

 Non annunciare un default gw a livello di rete, fai internet tramite
 tunnel così navigano solo le persone che attivamente partecipano in
 qualcosa che serve a navigare. Per tutto il resto c'è ninux as is.


 Sapevo di questa cosa, (l'avete adottata voi in Calabria) ma non avevo
 pensato al fatto che utilizzando una VPN non sarebbe possibile che un
 problema del genere possa verificarsi.

Guarda Massimiliano noi in Calabria stiamo vivendo una realtà che
immagino sia condivisa in tutta la penisola, la chimera dell' internet
gratis.

Quando ho e abbiamo iniziato con Ninux si parlava del captive portal e
di stupire l'utente ordinario con le opportunità che la tecnologia
può offrirci quando riusciamo ad usare questa con dedizione e
coscienza. Ben presto ci siamo resi conto che il concetto di uso di
internet si sostituiva completamente alla cultura di utilizzo che
vorremmo proporre per mezzo di ninux, ovvero quella di approcciarsi
alla rete per espanderla e aumentarne il potenziale e non consumarla
as-is e magari lamentarci se non ci soddisfa. Quest'ultima cosa finora
non è mai accaduta grazie anche a queste precauzioni, sappiamo bene
che l'utente ignorante fà presto a confondere l'efficienza della
nostra rete con le prestazioni del caricamento delle proprie foto sul
profilo facebook (!), e non di certo, a distanza di un anno, possiamo
correre il rischio di infangare il nome di ninux perchè lo sconosciuto
di turno non scarica bene con jdownloader. Purtroppo sono rischi
reali, si pensi al populismo con il quale impervia la disinformazione
nel nostro paese.

La questione Internet la stiamo gestendo nella seguente maniera:

LA rete ha un grande potenziale, Ninux è una rete, Internet è una
rete, Ninux è un pezzo di internet. Se vuoi puoi arrivare a Internet
per mezzo di Ninux. Ninux è una rete fatta di persone, se vuoi
conoscere il potenziale di Ninux devi conoscere le persone e
collaborare al progetto. Tutto il resto viene in aggiunta e non ci
sono limiti se non quelli strettamente materiali (morfologia del
territorio, hardware, soldi).

La questione del consumo di internet è ormai incapsulato nel concetto
di fiducia reciproca, appartenenza, unione di intenti, metodo,
regole e civiltà. Abbiamo totalmente abolito come prerogativa
Internet automatico, ovvero butti una antenna dalla finestra con lo
scotch e usi internet a scrocco senza sapere nemmeno attraverso chi.
Spesso la splash page è una piccola brochure, di quelle che si danno
all'ingresso, poi ognuno va dove desidera mentre per noi è importante
sapere dove stiamo andando e deciderlo insieme, chi siamo e quali sono
le nostre prossime prerogative.

La nostra rete è fatta di persone, non di turisti. Quando ci sono
turisti li riceviamo e li guidiamo sul nostro percorso, c'è chi torna
con i buoni intenti mentre c'è chi va a comprare sul mercato quello di
cui necessita. Forse Ninux non sarà mai un fenomeno di massa perchè
non a tutti interessano gli ingredienti di quello che mangiano e non
di certo possiamo fargliene una colpa. Il nostro esempio è un metodo
che spesso stimola e produce buoni esempi sul territorio, questo ci
basta.

Ti confesso che anche noi abbiamo nodi ingoranti che sono cmq
sbarcati su Ninux con un grosso aiuto da parte della nostra comunità
locale per alcuni motivi specifici, ad esempio il nodo subvallone che
vessava in una condizione di digital-divide, altri sono entrati per
aver manifestato interessi e capacità complementari alla rete e alla
sua espazione, capacità comunicative e promulgative, idealismo
pratico, consumo critico. Tutti questi, seppur totalmente inadeguati
dal punto di vista tecnico, hanno ricevuto supporto e solidarietà solo
quando hanno saputo esprimerci di sentirsi parte della nostra comunità
per forma mentis e non per know-how, hanno indubbiamente manifestato
ogni intenzione ad espandere e condividere infrastruttura e principi.


 La conoscenza rende liberi.

Solo se produce buona coscienza, altrimenti, come tutti i processi
chimici e fisici del nostro cervello, ricade nelle regole della
materia, soggetta al tempo e a tutte le relazioni prossime al suo
raggio di azione.

ho veramente esagerato :)
G
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Massimiliano CARNEMOLLA

On 28/12/2014 14.36, Giuseppe De Marco wrote:


ho veramente esagerato :)


No :-)
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione BornAgain


 Il giorno 28/dic/2014, alle ore 13:15, Michele Salerno mikysa...@gmail.com 
 ha scritto:
 
 Ho usato il mio pfsense che ha 4 schede eth, ma ne uso 3.
 WAN - router alice
 LAN - casa 192.168.200.0/24 http://192.168.200.0/24
 VLAN - Ninux - Gesione, antenne etc...
 La mia lan 10.27.0.0/24 http://10.27.0.0/24 l'ho divisa in 2 /25
  Il primo segmento lo tengo nella gesione (servizi)
  il secondo segmento lo tengo per l'hotspot (connessione libera a 2,4 
 GHz)
 La Backbone è sulla NS M5 configurato come AP, i primi di gennaio mi 
 arrivano altre 2 antenne.
 
 Ho dato una regola di firewalling, dai miei pc di casa accedo alla rete 
 “ninux, non il contrario.

Ciao 
che ne diresti di fare una paginetta semplice sul wiki? 



BornAgain

bornag...@autoproduzioni.net 

Nodi su rete wireless comunitaria Ninux.org 
http://map.ninux.org/select/reggiocalbornagain/
http://map.ninux.org/select/romapandora/
ed altri ..___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Michele Salerno
Nel mio mini piccolo ci sto mettendo l'anima.
Come ho scritto nel blog condivido pienamente la filosofia di ninux.
Non ho bisogno di ninux per connessione:
- ho la fibra che passa sotto i piedi!
- lavoro in banca da 3 anni e fortunatamente non mi manca la possibilità di
un abbonamento a internet ( ho una a 20 mega)
- in passato ho lavorato nel mondo informatico a 360° per 15 anni
(Macromedia Director, PHP, Serer Microsoft/Linux, firewalling
endian/pfsense/checkpoint, streaming audio/video
Nel wireless sono un po' a terra e chiedo a voi spesso anche per cose
banali OLSR non so come funziona a livello stretto.
Oltre a metterlo in piedi perchè la configurazione è quella voglio
capire cosa fa e perchè lo fa!

Ho preso una agenda vecchia dove sto appuntando tutti i passaggi, il mio
percorso con ninux e farò una mini-guida pratica per chi ha intenzione di
mettere su un nodo.
Nella mia rete ho messo un portale basilicata.nnx dove ci voglio mettere
tutto ciò che riguarda lo sviluppo di ninux nella mia regione.
Essendo solo non chiedo di avere un sub-dominio basilicata.ninux.orgmi
limito ad una cosa interna anche se è limitata.
E' il problema dello start-upfar conoscere e reclutare persone
interessate.

Oggi sono solo come link attivo, purtroppo alcuni LAB mi hanno risposto che
devono mettere soldi da parte per comprare una NanoStation M5...sono
interessati, ma devo fare beneficenza? ...no!
Un NO per per principio, se un associazione di volontariato mi chiedesse
una antenna staccherei la mia senza pensarci 2 volte!


Il giorno 28 dicembre 2014 14:36, Giuseppe De Marco demarco...@gmail.com
ha scritto:

 Il 28 dicembre 2014 13:03, Massimiliano CARNEMOLLA
 massimili...@null.net ha scritto:
  On 28/12/2014 12.49, Giuseppe De Marco wrote:
 
  Non annunciare un default gw a livello di rete, fai internet tramite
  tunnel così navigano solo le persone che attivamente partecipano in
  qualcosa che serve a navigare. Per tutto il resto c'è ninux as is.
 
 
  Sapevo di questa cosa, (l'avete adottata voi in Calabria) ma non avevo
  pensato al fatto che utilizzando una VPN non sarebbe possibile che un
  problema del genere possa verificarsi.

 Guarda Massimiliano noi in Calabria stiamo vivendo una realtà che
 immagino sia condivisa in tutta la penisola, la chimera dell' internet
 gratis.

 Quando ho e abbiamo iniziato con Ninux si parlava del captive portal e
 di stupire l'utente ordinario con le opportunità che la tecnologia
 può offrirci quando riusciamo ad usare questa con dedizione e
 coscienza. Ben presto ci siamo resi conto che il concetto di uso di
 internet si sostituiva completamente alla cultura di utilizzo che
 vorremmo proporre per mezzo di ninux, ovvero quella di approcciarsi
 alla rete per espanderla e aumentarne il potenziale e non consumarla
 as-is e magari lamentarci se non ci soddisfa. Quest'ultima cosa finora
 non è mai accaduta grazie anche a queste precauzioni, sappiamo bene
 che l'utente ignorante fà presto a confondere l'efficienza della
 nostra rete con le prestazioni del caricamento delle proprie foto sul
 profilo facebook (!), e non di certo, a distanza di un anno, possiamo
 correre il rischio di infangare il nome di ninux perchè lo sconosciuto
 di turno non scarica bene con jdownloader. Purtroppo sono rischi
 reali, si pensi al populismo con il quale impervia la disinformazione
 nel nostro paese.

 La questione Internet la stiamo gestendo nella seguente maniera:

 LA rete ha un grande potenziale, Ninux è una rete, Internet è una
 rete, Ninux è un pezzo di internet. Se vuoi puoi arrivare a Internet
 per mezzo di Ninux. Ninux è una rete fatta di persone, se vuoi
 conoscere il potenziale di Ninux devi conoscere le persone e
 collaborare al progetto. Tutto il resto viene in aggiunta e non ci
 sono limiti se non quelli strettamente materiali (morfologia del
 territorio, hardware, soldi).

 La questione del consumo di internet è ormai incapsulato nel concetto
 di fiducia reciproca, appartenenza, unione di intenti, metodo,
 regole e civiltà. Abbiamo totalmente abolito come prerogativa
 Internet automatico, ovvero butti una antenna dalla finestra con lo
 scotch e usi internet a scrocco senza sapere nemmeno attraverso chi.
 Spesso la splash page è una piccola brochure, di quelle che si danno
 all'ingresso, poi ognuno va dove desidera mentre per noi è importante
 sapere dove stiamo andando e deciderlo insieme, chi siamo e quali sono
 le nostre prossime prerogative.

 La nostra rete è fatta di persone, non di turisti. Quando ci sono
 turisti li riceviamo e li guidiamo sul nostro percorso, c'è chi torna
 con i buoni intenti mentre c'è chi va a comprare sul mercato quello di
 cui necessita. Forse Ninux non sarà mai un fenomeno di massa perchè
 non a tutti interessano gli ingredienti di quello che mangiano e non
 di certo possiamo fargliene una colpa. Il nostro esempio è un metodo
 che spesso stimola e produce buoni esempi sul territorio, questo ci
 basta.

 Ti confesso che anche noi abbiamo nodi 

Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Michele Salerno
Ho una agenda da mettere riscrivere in digitale, è mia intenzione fare una
guida passo passo sulla mia soluzione.
Ma voglio terminare il mio nodo.
OLSR sul pfsense mi da ancora una X rossa nella dashboard ma il processo è
attivo.
Ancora non sono riuscito a mettere la 0.0.0.0/0.0.0.0 per annunciare che ho
internet
Se non sistemo queste piccole cose cosa scrivo?

Il giorno 28 dicembre 2014 14:59, BornAgain bornag...@autoproduzioni.net
ha scritto:



 Ciao
 che ne diresti di fare una paginetta semplice sul wiki?


___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Stefano De Carlo
Il 27/12/2014 20:25, Michele Salerno ha scritto:
 Voi come vi comportate sulle macchine server?
 Le mettere in sicurezza con firewall  C. o le lasciate libere essendo in 
 rete locale e non su internet?


Tutto chiuso by default, progressivamente si apre solo quel che serve, a chi 
serve.
In generale non hanno senso le distinzioni in approccio tra Ninux e Internet, 
in termini di messa in sicurezza.

Stefanauss.



signature.asc
Description: OpenPGP digital signature
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-28 Per discussione Stefano De Carlo
Il 27/12/2014 21:13, impythefr...@gmail.com ha scritto:

 Approposito di sicurezza, qualcuno ha mai testato oslr/batman ad attacchi? A 
 logica è possibile che un nodo inietti pacchetti che facciono girare il 
 routing a suo piacimento... (credo sia possibile un dos evitando che un nodo 
 venga raggiunto)


Certo, se ne sono anche scoperti di nuovi in Ninux.

OLSR plugin's oversized HTTP headers - Fix by Nolith (Ninux Firenze)

http://ml.ninux.org/pipermail/wireless/2014-May/014019.html

OLSR fake HNA announcement originator DoS - Analisi by Zio Proto (Ninux Roma)

http://ml.ninux.org/pipermail/wireless/2014-May/014269.html
http://ml.ninux.org/pipermail/wireless/2014-May/014301.html

Stefanauss.



signature.asc
Description: OpenPGP digital signature
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-27 Per discussione impythefruit

Il 27/12/2014 20:25, Michele Salerno ha scritto:

Ciao ragazzi, sto implementando diversi servizi per la mia rete da
condividere con la rete basilicata.

Voi come vi comportate sulle macchine server?
Le mettere in sicurezza con firewall  C. o le lasciate libere essendo in
rete locale e non su internet?

In previsione di espansione ho preferito mettere una macchina dedicata (HP
dc7100u) solo al servizio DNS.
Ci butto anche un iptables ed un fail2ban o non è necessario? ...non penso
che abbiamo cracker tra noi!

Cmq per quanto riguarda l'esterno ho snort attivo sulla WAN.



___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless



Tecnicamente... chiunque può collegarsi in qualunque momento...
Senza svenarsi per la sicurezza, un poco secondo me non guasta.

Approposito di sicurezza, qualcuno ha mai testato oslr/batman ad 
attacchi? A logica è possibile che un nodo inietti pacchetti che 
facciono girare il routing a suo piacimento... (credo sia possibile un 
dos evitando che un nodo venga raggiunto)

___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-27 Per discussione Michele Salerno
Ok, un iptables lo butto su.
cmq essendo una rete wireless aperta è come la porta di case aperta.
Sono i sisetemi interni a doversi proteggere...ok, mi sono risposto da
solo...Iptables a tavoletta e immediata!
Un fake-ninuxiano non avrebbe problemi ad entrare trovando il cancello di
casa aperto!


Il giorno 27 dicembre 2014 21:13, impythefr...@gmail.com ha scritto:

 Il 27/12/2014 20:25, Michele Salerno ha scritto:

 Ciao ragazzi, sto implementando diversi servizi per la mia rete da
 condividere con la rete basilicata.

 Approposito di sicurezza, qualcuno ha mai testato oslr/batman ad attacchi?
 A logica è possibile che un nodo inietti pacchetti che facciono girare il
 routing a suo piacimento... (credo sia possibile un dos evitando che un
 nodo venga raggiunto)

___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-27 Per discussione Michele Salerno
Snort lo abilito anche sul hotspot a 2.4 ghz

Il giorno 27 dicembre 2014 21:36, Michele Salerno mikysa...@gmail.com ha
scritto:

 Ok, un iptables lo butto su.
 cmq essendo una rete wireless aperta è come la porta di case aperta.
 Sono i sisetemi interni a doversi proteggere...ok, mi sono risposto da
 solo...Iptables a tavoletta e immediata!
 Un fake-ninuxiano non avrebbe problemi ad entrare trovando il cancello di
 casa aperto!

___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-27 Per discussione Giuseppe De Marco
Il 27 dicembre 2014 21:13,  impythefr...@gmail.com ha scritto:
 Il 27/12/2014 20:25, Michele Salerno ha scritto:

 Ciao ragazzi, sto implementando diversi servizi per la mia rete da
 condividere con la rete basilicata.

 Voi come vi comportate sulle macchine server?
 Le mettere in sicurezza con firewall  C. o le lasciate libere essendo in
 rete locale e non su internet?

 In previsione di espansione ho preferito mettere una macchina dedicata (HP
 dc7100u) solo al servizio DNS.
 Ci butto anche un iptables ed un fail2ban o non è necessario? ...non penso
 che abbiamo cracker tra noi!

 Cmq per quanto riguarda l'esterno ho snort attivo sulla WAN.



 ___
 Wireless mailing list
 Wireless@ml.ninux.org
 http://ml.ninux.org/mailman/listinfo/wireless


 Tecnicamente... chiunque può collegarsi in qualunque momento...
 Senza svenarsi per la sicurezza, un poco secondo me non guasta.

 Approposito di sicurezza, qualcuno ha mai testato oslr/batman ad attacchi? A
 logica è possibile che un nodo inietti pacchetti che facciono girare il
 routing a suo piacimento... (credo sia possibile un dos evitando che un nodo
 venga raggiunto)


Ci sono plugin che implementano una shared key per olsr - o batcave
per batman (che non uso) - ma finora nella nostra isola non ne abbiamo
avuto bisogno, se qualcuno inietta HNA per dirottare abbiamo una
visione trasparente della fonte e per mezzo dei supernodi riusciamo a
capire da dove si collega.

Se dovessi pensare a questo genere di cose penserei ad una
autenticazione 802.1X così da dare un nome ed un cognome al
rompiscatole di turno.

Speriamo di non averne mai bisogno,
la rete è sotto costante controllo da parte dei suoi utilizzatori,
diciamo che attualmente, gli unici dispositivi di sicurezza, ricadono
più nella sfera sociale che in quella informatica.
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless


Re: [Ninux-Wireless] Servizi in rete

2014-12-27 Per discussione Giuseppe De Marco
Il 27 dicembre 2014 21:37, Michele Salerno mikysa...@gmail.com ha scritto:
 Snort lo abilito anche sul hotspot a 2.4 ghz

Io ho scoperto che la QoS aiuta parecchio contro gli attacchi,
semplicemente possiamo limitare l'uso di banda in base alla tipologia
di protocollo/sessione.

De facto un DoS non funziona se i dispositivi attraverso i quali
viaggia diventano dei colli di bottiglia, si pensi ad un syn flood, ad
un icmp flood o altro. Lo stesso ARP poison può essere benissimo
limitato e di conseguenza neutralizzato con una bella regola QoS.

Per una questione di correttezza preferiamo non agire a layer 7 per
evitare di compromettere la privacy dei nodi e speriamo di non averne
mai bisogno.

Per quanto riguarda, nuovamente, sugli abusi a layer2 possiamo dire
che la Client Isolation sui supernodi evita tutte le rogne relative al
mintm (a layer2) lasciando le preoccupazioni su eventuali abusi a
layer3 per quanto riguarda olsrd, ma ripeto, finora tutto tranquillo
sul fronte occidentale.
___
Wireless mailing list
Wireless@ml.ninux.org
http://ml.ninux.org/mailman/listinfo/wireless