Il modem/router degli operatori. Perche' interessa tanto?

Braccoz · 2024-08-24T10:08:18+00:00

e' una cosa che non ho mai capito. dividiamo gli utenti in 2 categorie: quelli non tecnici, a cui non interessa nulla di networking, e i "power user", o sma...

Mrtt

Braccoz
per bypassare il doppio NAT in teoria gli basterebbe fare un inject di codice javascript in una pagina http che richiedi, tanto tutto il tuo traffico passa da lui
o più in generale un attacco del tipo "man in the middle"

Braccoz

Mrtt non e' mica semplice come roba da fare... prima di tutto hai a che fare con https ovunque ormai, e gia' li' avresti problemi... poi il javascript dovrebbe sfruttare vulnerabilita' del browser e anche del sistema operativo per poter usare il pc come gateway verso la lan...

estremamente complesso, e richiede appunto un lavoro ad hoc per riuscirci

gandalf2016

Bast
WPA2 non usa SAE in handshaking, cosa ben diversa da dire che la passphrase è in chiaro.

Sarebbe inutile il protocollo se si passasse in chiaro su un canale in aria la passphrase!

Elimina la possibilità di un attacco offline WPA3, comunque.

In sintesi: WPA2 con una buona password è ragionevolmente sicuro.

Bast

gandalf2016 WPA2 non usa SAE in handshaking, cosa ben diversa da dire che la passphrase è in chiaro

Hai ragione, mi sono espresso in maniera superficiale.

gandalf2016 In sintesi: WPA2 con una buona password è ragionevolmente sicuro

Ed è qui che comunciano le domande...
Quanto è attento alla sicurezza l'eventuale bersaglio e quanto ne sa sull'argomento?
Quanto è interessante la LAN dell'attaccato per giustificare un certo impiego di tempo e risorse?
E per tornare all'argomento principale del thread, in tutto ciò, quanto protegge un router a monte di un secondo?
Perché di fatto l'op è convinto che il router in cascata innalzi il livello di sicurezza della LAN. E io non ci credo.

Bast

Braccoz Ma quindi 'sto router in cascata a quello dell'operatore alla fine a che ti serve?
Non sarebbe meglio se in cascata al tuo modem/router - ma eventualmente al modem/router dell'ISP - ci mettessi un firewall? Se non ti fidi del firewall del tuo router, intendo.

Mrtt

Braccoz prima di tutto hai a che fare con https ovunque ormai, e gia' li' avresti problemi

no, solo se entrambi gli host sono certificati un MITM non può avere successo, lato client dove la certificazione non c'è l'attaccante sostituisce le PKI e l'attacco riesce lo stesso anche su HTTPS

Braccoz

Bast Ma quindi 'sto router in cascata a quello dell'operatore alla fine a che ti serve?

chiariamo quello che forse e' stato un equivoco dal principio:

il router il cascata te lo metti se proprio proprio vuoi tenere quello dell'operatore (per esempio per l'assistenza, o gli altri motivi indicati a inizio thread) ma non ha le feature che vuoi, o perche' preferisci averne uno tuo.
In questo modo hai il "best of both worlds" anche se non e' elegante come soluzione.

se non sei determinato ad avere quello dell'operatore ti metti il tuo router e niente doppio nat.

Bast Non sarebbe meglio se in cascata al tuo modem/router - ma eventualmente al modem/router dell'ISP - ci mettessi un firewall? Se non ti fidi del firewall del tuo router, intendo.

forse non sono stato chiaro ma davo per scontato che il router in cascata facesse da firewall. mettere un router in cascata per fare solo un doppio nat senza firewall e' una boiata colossale

Bast

Braccoz Ah ok, ora mi è tutto più chiaro.

simonebortolin

Braccoz

letteralmente, qui.

Letteralmente, qui. CIT.

gandalf2016

E ripeto avere router a cascata serve solo a questo. Non alla sicurezza.

Braccoz innanzitutto e' un'ipotesi. che comunque richiede operazioni extra, quindi gia' non e' automatico che l'attaccante si trovi nella lan ed e' cosa buona e giusta.

No.

Braccoz secondo, per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.

Basta mettere l'SSID senza password non lo vedo difficile, un device su 2 ha questa falla che si collega alla rete senza password se ha il nome di una salvata.

Braccoz per fare quello che dici devi craccare la passphrase WPA2, cosa che non e' per niente facile. e se e' impostata con un minimo di criterio praticamente impossibile.

Beh oddio la falla di 2-3 anni fa dice il contrario, e metà router non sono stati corretti, sopratutto quelli personali presi a 50€ dalla conad.

Braccoz quindi in sostanza hai solo avvalorato la mia tesi

La tua tesi è la fenice di harry potter? perché se sì ok, altrimenti te la ho proprio distrutta...

handymenny

Braccoz non oso neanche immaginare l'obrobrio che si debba fare per avere un doppio nat aggirabile cambiando una netmask

Scusa se non l'ho palesato, ma voleva essere un'esagerazione, non intendevo precisamente cambiare una subnet mask. Comunque a memoria qualche firewall di router che si faceva ingannare dall'IP sorgente ricordo di averlo beccato.

E era un discorso generale, sicuramente il tuo setup sarà inespugnabile per via di filtri vlan, firewall perimetrali e quant'altro, ma arrivare a dire che il NAT da solo isoli la rete LAN mi sembra un po' too much.

Per farti capire dove voglio andare a parare, un'altra cosa carina che posso fare avendo il pieno controllo del router a monte è mettermi a modificare tutto il traffico DNS o NTP.
Tu sicuramente mi dirai che il tuo firewall non fa uscire traffico NTP o DNS in chiaro o che nessun tuo dispositivo ha un client NTP vulnerabile o è soggetto a attacchi di tipo https downgrade, ma lo vedi che il tuo modello di sicurezza va ben oltre il "NAT mi protegge"?

Braccoz

handymenny ma lo vedi che il tuo modello di sicurezza va ben oltre il "NAT mi protegge"?

ovviamente, ma infatti non e' mai quello che ho inteso. quello che intendevo e' che se usi un router ciofeca dell'operatore, con il tuo in cascata la sicurezza e' maggiore, per via del tuo router, non per via intrinseca del nat.

mi pareva scontato, probabilmente non lo e'

simonebortolin

Braccoz non per via intrinseca del nat.

mi pareva scontato, probabilmente non lo e'

Ma se prima hai detto il contrario.

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile