[Ninux-Wireless] Coniglio
Ciao raga, come va? ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. Ho realizzato un piccolo script che passatogli un file che contiene istruzioni uci le applica. Una sorta di meccanismo per automatizzare la configurazione di alcuni nodi tramite wget ad un url. Il tutto funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente per mantenere un minimo di sicurezza. Più che altro vorrei sapere se quando faccio una wget passando il mac del dispositivo in post ad una pagina ssl è possibile vedere appunto il mac che ho inviato? Cioè non vorrei che qualche pirla con wireshark legga il mac e riesca a risalire alla configurazione del nodo. Scusate per la domanda sciocca e se avete suggerimenti su come rendere la cose robusta ma allo stesso tempo semplice o se sto sbagliando qualcosa. Ciao e grazi -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: > Ciao raga, come va? > ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. > Ho realizzato un piccolo script che passatogli un file che contiene > istruzioni uci le applica. Una sorta di meccanismo per automatizzare > la configurazione di alcuni nodi tramite wget ad un url. Il tutto > funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente > per mantenere un minimo di sicurezza. Più che altro vorrei sapere se > quando faccio una wget passando il mac del dispositivo in post ad una > pagina ssl è possibile vedere appunto il mac che ho inviato? Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente il certificato SSL del server sui vari nodi, un eventuale attaccante che vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non riuscirebbe nel suo intento. p.s. sia wget che curl hanno opzioni per passare le variabili in post! ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Grazie Antonio, sei stato chiarissimo e se ho capito bene tu consigli inoltre di mettere il certificato del server su ogni nodo in modo da rendere il più ermetico possibile il tutto. E' corretto? Ciao Il 26 agosto 2011 00:10, Antonio Quartulli ha scritto: > On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: >> Ciao raga, come va? >> ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in >> merito. >> Ho realizzato un piccolo script che passatogli un file che contiene >> istruzioni uci le applica. Una sorta di meccanismo per automatizzare >> la configurazione di alcuni nodi tramite wget ad un url. Il tutto >> funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente >> per mantenere un minimo di sicurezza. Più che altro vorrei sapere se >> quando faccio una wget passando il mac del dispositivo in post ad una >> pagina ssl è possibile vedere appunto il mac che ho inviato? > > Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il > contenuto che invece viene criptato. Per questo motivo potresti passare il MAC > in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. > > Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente il > certificato SSL del server sui vari nodi, un eventuale attaccante che > vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non > riuscirebbe nel suo intento. > > > p.s. sia wget che curl hanno opzioni per passare le variabili in post! > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Ciao, non sono esperto in configurazioni ma so per certo che le informazioni scambiate in SSL sono cifrate quindi anche se riesce ad intercettare qualcosa non può riuscire a decifrare... in tempi utili :-). Il 26/08/2011 0.03, Filippo Sallemi ha scritto: > Ciao raga, come va? > ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. > Ho realizzato un piccolo script che passatogli un file che contiene > istruzioni uci le applica. Una sorta di meccanismo per automatizzare > la configurazione di alcuni nodi tramite wget ad un url. Il tutto > funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente > per mantenere un minimo di sicurezza. Più che altro vorrei sapere se > quando faccio una wget passando il mac del dispositivo in post ad una > pagina ssl è possibile vedere appunto il mac che ho inviato? > Cioè non vorrei che qualche pirla con wireshark legga il mac e riesca > a risalire alla configurazione del nodo. > > Scusate per la domanda sciocca e se avete suggerimenti su come rendere > la cose robusta ma allo stesso tempo semplice o se sto sbagliando > qualcosa. > > Ciao e grazi > ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
On Fri, Aug 26, 2011 at 12:13:19AM +0200, Filippo Sallemi wrote: > Grazie Antonio, > sei stato chiarissimo e se ho capito bene tu consigli inoltre di > mettere il certificato del server su ogni nodo in modo da rendere il > più ermetico possibile il tutto. E' corretto? esatto e poi dovresti dire a wget/curl di "fallire" in caso di mismatching del certificato. In questo modo se qualcuno si finge server (per esempio facendo un po' di dns/arp poisoning), il tuo nodo si rifiuterebbe si scaricare i dati perchè il controllo sul certificato andrebbe a fallire! Ciau > > Ciao > > Il 26 agosto 2011 00:10, Antonio Quartulli ha scritto: > > On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: > >> Ciao raga, come va? > >> ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in > >> merito. > >> Ho realizzato un piccolo script che passatogli un file che contiene > >> istruzioni uci le applica. Una sorta di meccanismo per automatizzare > >> la configurazione di alcuni nodi tramite wget ad un url. Il tutto > >> funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente > >> per mantenere un minimo di sicurezza. Più che altro vorrei sapere se > >> quando faccio una wget passando il mac del dispositivo in post ad una > >> pagina ssl è possibile vedere appunto il mac che ho inviato? > > > > Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo > > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è > > il > > contenuto che invece viene criptato. Per questo motivo potresti passare il > > MAC > > in POST invece che in GET. A questo punto SSL renderà invisibile tale > > valore. > > > > Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente > > il > > certificato SSL del server sui vari nodi, un eventuale attaccante che > > vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non > > riuscirebbe nel suo intento. > > > > > > p.s. sia wget che curl hanno opzioni per passare le variabili in post! > > ___ > > Wireless mailing list > > Wireless@ml.ninux.org > > http://ml.ninux.org/mailman/listinfo/wireless > > > > > > -- > Filippo Sallemi > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
ok sei stato chiarissimo ma adesso mii viene da chiedere un'altra cosa. Al momento sto usando wget-matrixssl in quanto riesco a non occupare troppo spazio sul device. Sinceramente parlando non mi dispiacerebbe usare cURL al posto di wget ma mi resta il problema che in alcuni device (es. tl-wr741nd con 4MB di flash) userei uno spazio spropositato per una semplice richiesta wget/curl in ssl. Ecco perchè avevo pensato di usare mcrypt tra php e il nodo e di avere una password comune ma anche questa soluzione non è che mi piaccia molto. Ho visto che ci sono altre implementazioni di ssl per dispositivi embedded e mi chiedevo se ci fosse qualche versione di curl/wget ufficiale che usi queste lib oppure un buon motivo per utilizzare le libopenssl a prescindere. Grazie Ciao Il 26 agosto 2011 00:18, Antonio Quartulli ha scritto: > On Fri, Aug 26, 2011 at 12:13:19AM +0200, Filippo Sallemi wrote: >> Grazie Antonio, >> sei stato chiarissimo e se ho capito bene tu consigli inoltre di >> mettere il certificato del server su ogni nodo in modo da rendere il >> più ermetico possibile il tutto. E' corretto? > > esatto e poi dovresti dire a wget/curl di "fallire" in caso di mismatching del > certificato. In questo modo se qualcuno si finge server (per esempio facendo > un po' di > dns/arp poisoning), il tuo nodo si rifiuterebbe si scaricare i dati perchè il > controllo sul certificato andrebbe a fallire! > > Ciau > >> >> Ciao >> >> Il 26 agosto 2011 00:10, Antonio Quartulli ha scritto: >> > On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: >> >> Ciao raga, come va? >> >> ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in >> >> merito. >> >> Ho realizzato un piccolo script che passatogli un file che contiene >> >> istruzioni uci le applica. Una sorta di meccanismo per automatizzare >> >> la configurazione di alcuni nodi tramite wget ad un url. Il tutto >> >> funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente >> >> per mantenere un minimo di sicurezza. Più che altro vorrei sapere se >> >> quando faccio una wget passando il mac del dispositivo in post ad una >> >> pagina ssl è possibile vedere appunto il mac che ho inviato? >> > >> > Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. >> > Questo >> > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è >> > il >> > contenuto che invece viene criptato. Per questo motivo potresti passare il >> > MAC >> > in POST invece che in GET. A questo punto SSL renderà invisibile tale >> > valore. >> > >> > Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente >> > il >> > certificato SSL del server sui vari nodi, un eventuale attaccante che >> > vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non >> > riuscirebbe nel suo intento. >> > >> > >> > p.s. sia wget che curl hanno opzioni per passare le variabili in post! >> > ___ >> > Wireless mailing list >> > Wireless@ml.ninux.org >> > http://ml.ninux.org/mailman/listinfo/wireless >> > >> >> >> >> -- >> Filippo Sallemi >> ___ >> Wireless mailing list >> Wireless@ml.ninux.org >> http://ml.ninux.org/mailman/listinfo/wireless > ___ > Wireless mailing list > Wireless@ml.ninux.org > http://ml.ninux.org/mailman/listinfo/wireless > -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
> Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo > perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il > contenuto che invece viene criptato. Per questo motivo potresti passare il MAC > in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. il MAC di livello due è visibile, ma è il mac in riferimento al pezzetto di livello due dove l'attaccante sniffa. Ma se parliamo di scrivere il MAC del dispositivo nel payload della GET HTTP allora quello non è visibile. anche il fatto che l'URL è visibile NON E' VERO stiamo parlando di HTTPS, quindi in socket SSL. Tutto il payload di TCP viene cifrato. Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless