2009/3/8 Kinkie: > 2009/3/3 Marco Ermini: [...] > Il client 802.1x di Juniper (Odyssey Access Client) fa queste cose > molto bene da quello che so.
Interessante, controllerò (anche se non usiamo Juniper per adesso) [...] >> Dipende da come è configurata la tua VPN. Se lato >> client non verifichi tramite certificato l'autenticità del server (e >> quasi nessuno lo fa, quasi tutti si connettono ad un certo indirizzo >> IP e gli forniscono il token RSA o qualcosa di simile...) è molto >> semplice realizzare un "man-in-the-middle" quando sei attaccato ad una >> rete WiFi in un aereoporto o in un hotel. Questo per esempio è lo >> standard degli hotel in Cina :-) ci sono testimonianze di gente che >> _credeva_ di essersi connessa via VPN alla rete aziendale, ha spedito >> email, e queste email sono arrivate correttamente al destinatario, con >> soltanto qualche header "Received:" in più (geolocato in Cina...). >> Insomma, si fanno una bella copia giusto in caso... > > Ci sono protezioni possibili anche per questo, ma sono d'accordo che > lo scenario e` plausibile. Come suggerivo velatamente, verificare anche lato client l'autenticità del server, aiuta (molti client VPN, incluso il Cisco, lo consentono) >> Se accedi ad un APN dedicato, questo tipo di attacco è praticamente >> impossibile, invece. A meno che il tuo gestore telefonico non sia un >> caprone (purtroppo ce ne sono!...), viaggi su una rete packed con un >> protocollo non ancora violato da alcuno, finchè non accedi all'unico >> IP visibile da cui tutto deve passare - il tuo default gw è il tuo APN >> e non vedi nient'altro. > > Come sempre ci sono molti livelli su cui si puo` intervenire, > l'importante e` non pensare che intervenire su uno solo sia > sufficiente. Non capisco il commento, forse è un po' criptico - potresti essere più esplicito? > Potendo fare altrimenti, tendo comunque a non fidarmi del > tutto di una soluzione di comunicazione riservata dove almeno uno dei > livelli di protezione non dipenda da fornitori esterni ma sia > completamente gestito "in-house". [...] Nessuno impedisce che il traffico ricevuto da un certo APN venga inoltrato ad un qualsiasi altro sito remoto, dove effettuare altre misure di autenticazione - come nessuno ti impedisce di bloccare qualsiasi traffico che non sia quello VPN, per esempio. Un fornitore di servizio, incluso chi ti fornisce un APN, non fa altro che implementare quello che gli chiedi e per cui lo paghi :-) È (anche) per questo che mi piacciono i BlackBerry. Oltre ad essere pratici ed esenti dai gadgets presenti sui vari iPhone, Nokia e compagnia bella, tendono ad utilizzare un APN dedicato per l'email. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
