# Software > Ασφάλεια >  Ασφάλεια δεδομένων

## alxnik

Ενα πράγμα το οποίο με προβληματίζει και για το οποίο δεν βλέπω πολύ μεγάλη κινητικότητα στο awmn είναι η ασφάλεια δεδομένων κατα την μεταφορά. Λόγω της φύσης του δικτύου, η υποκλοπή δεδομένων είναι γελοία σε επίπεδο δυσκολίας και απόλυτα μη εντοπίσημη. Οπότε χωρίς πολλά πολλά, με ένα kismet σε monitor mode, μια δυνατή omni και λίγη υπομονή, κάποιος μπορει να sniffαρει αρκετούς κωδικούς από ανασφαλή πρωτόκολλα (το πιο κοινό και επικίνδυνο που μου έρχεται αυτή τη στιγμή στο μυαλό είναι κάποιος να κάνει telnet/http σε router μέσω ασύρματου). Από εκεί και πέρα μπορεί κάποιος να διαβάσει email / instant messaging / irc κλπ κλπ κλπ με χαρακτηριστική ευκολία.

Και ας υποθέσουμε οτι αυτό δεν φτάνει, to wireless packet injection είναι επίσης πολύ εύκολο (http://sourceforge.net/projects/airpwn), οπότε κάποιος μπορεί σχεδόν το ίδιο εύκολα να αλλάξει την ροή των δεδομένων.
(είναι ανατριχιαστικό το τι μπορεί να κάνει κάποιος που να βρίσκεται κοντά στο link ενός irc server και από πλευράς υποκλοπής, και από πλευράς αλλοίωσης δεδομένων)

Η πιο απλή λύση τουλάχιστον κατα ένα μέρος θα ήταν η κρυπτογράφηση των backbones (WPA μήπως; ). Ούτως η άλλως δεν χρησημεύουν για να συνδέονται clients πάνω οπότε θα απέτρεπε και την σύνδεση ατόμων που δεν θα έπρεπε να συνδέονται. Τωρα η χρήση WPA στα ΑP μάλλον θα δημιουργούσε περισσότερα προβλήματα από όσα έλυνε...

Ποιές οι σκέψεις σας επί του θέματος; Ποιοί οι λόγοι που δεν έχει γίνει τίποτα επί του θέματος; Προφανώς δεν είμαι ο μόνος που έχει σκεφτεί αυτό το πράγμα αλλά και πάλι δεν έχω δει να γίνεται τίποτα...

----------


## elkos

φυσικά θα υπάρχουν και https και ssh λύσεις σωστά???

----------


## bedazzled

.

----------


## alxnik

το ssh είναι secure shell όπως λέει το όνομα του, που σημαίνει οτι χρησιμεύει στην περίπτωση του router που ανέφερα για αποστολή εντολών. Το θέμα είναι όμως, πόσοι αυτόνομοι routers (δηλαδή όχι ταρατσοpc) χρησιμοποιούν ssh? Τουλάχιστον το wap54g που έχω εδώ δίπλα μου, δεν δέχεται ssh ούτε για πλάκα. Τωρα για το https, δεν έχω εμπειρία από πάρα πολλά μηχανήματα, αλλά τουλάχιστον στα AP, routers που έχω δουλέψει εγώ, δεν είχαν https (από την άλλη έχω δουλέψει μόνο με φτηνιάρικα μηχανήματα). Και ας πούμε οτι το αφήνουμε το θέμα των routers, και οτι σε γενικές γραμμές όλοι χρησιμοποιούν ssh/https. Με τα εξ΄ορισμού μη ασφαλή πρωτόκολλα τι γίνεται; (smtp;;; )

Το wpa θα μπορούσε να χρησιμοποιηθεί καθαρά και μόνο για τα bb. Αν τα ap είχαν κρυπτογράφηση, θα έπρεπε όλοι οι εμπεκόμενοι να ξέρουν το κλειδί για να συνδεθούν οπότε πάει και πάλι η ασφάλεια σε προσωπικό επίπεδο. Η κρυπτογράφηση στο application layer μάλλον δεν είναι και πολύ χρηστική αφού σε γενικές γραμμές έχει περιορισμένη εφαρμογή. Τώρα αυτό που περνά εμένα από το μυαλό είναι το IPsec αλλά να πώ την αλήθεια, δεν έχω ασχοληθεί καθόλου με το αντικείμενο, δεν ξέρω κατά πόσο κάνει για την συγκεκριμένη εφαρμογή, αν είναι εφικτό από πλευράς διαχείρησης ή κατανάλωσης επεξεργαστικής ισχύος

----------


## bedazzled

.

----------


## alxnik

Δεν ξέρω ποιά προγράμματα είναι σχεδιασμένα να δουλέψουν με ssl οπότε και δεν το ανέφερα σαν γενική λύση. Ως προς το google, αστους αυτούς, οτι πρόγραμμα server έχουν ανάγκη το γράφουν μόνοι τους (google http header -> Server: GWS/2.1)

Aλλά το θέμα δεν είναι η μέθοδος η οποία μπορεί να χρησιμοποιηθεί για την ασφάλεια άλλωστε υπάρχουν διάφορες μέθοδοι σε διάφορα επίπεδα του OSI. Το αρχικό ερώτημα μου μένει. Γιατί κανένας δεν ασχολείται με το γεγονός οτι σχεδόν τα πάντα περνάνε cleartext;

Εμένα πάντως με ανατριχιάζει λίγο το γεγονός οτι όσα γράφω εκπέμπονται από μια κεραία σε όλη την γειτονιά

----------


## bedazzled

.

----------


## acoul

Η ιδέα είναι keep it simple στο φορέα και η ασφάλεια σαν add-on feature. Το παράδειγμα που δουλεύει στη πράξη εδώ και καιρό από τον μεγάλο αδερφό: Internet. Οι ανάγκες συνήθως στην πορεία καθοδηγούν και τις όποιες επιλογές υλοποίησης ... !! Τρόποι υπάρχουν αλλά simplicity is a good thing  ::

----------


## alxnik

το internet ειναι wired ως προς το μεγαλύτερο μέρος του και ως προς το sniffing, η μόνη πρακτικά δυνατή περίπτωση είναι μέσω arp poisoning (man in the middle attack, βλέπε ettercap/linux) και αυτό μόνο σε lan. Από εκεί και πέρα ποίος θα ασχοληθεί να κάνει sniffing σε έναν isp? Σε γενικές γραμμές δεν έχουν κίνητρο και είναι δύσκολο αν υπολογίσεις το traffic ενός isp. Για τους backbone routers του internet ούτε λόγος. Από εκεί και πέρα δεν λέω οτι είναι αδύνατο, αλλά πολύ πιο δύσκολο. Αν το awmn έφτανε το επίπεδο ασφάλειας του internet ως πρός τις υποκλοπές, εγώ θα ήμουν χαρούμενος.

----------


## xrg

Εγώ το βλέπω το θέμα από μία άλλη σκοπιά, θετική:
Ωριμάζουμε, και από εκεί που μας ενδιέφερε μόνο να 'βγάλουμε' ένα ping, τώρα κοιτάμε και άλλες παραμέτρους ενός μεγάλου δικτύου. Η πρότασή μου, όπως και με τα άλλα θέματα, είναι να σχηματιστεί μία ομάδα που θα κάνει 'εργασία' στο θέμα της ασφάλειας: θα εξετάσει τα δεδομένα, θα ψάξει λύσεις, θα δοκιμάσει (πείραμα με μερικούς κόμβους) και μετά θα παραδώσει μία πρόταση στο σύνολο.

----------


## socrates

> Εγώ το βλέπω το θέμα από μία άλλη σκοπιά, θετική:
> Ωριμάζουμε, και από εκεί που μας ενδιέφερε μόνο να 'βγάλουμε' ένα ping, τώρα κοιτάμε και άλλες παραμέτρους ενός μεγάλου δικτύου. Η πρότασή μου, όπως και με τα άλλα θέματα, είναι να σχηματιστεί μία ομάδα που θα κάνει 'εργασία' στο θέμα της ασφάλειας: θα εξετάσει τα δεδομένα, θα ψάξει λύσεις, θα δοκιμάσει (πείραμα με μερικούς κόμβους) και μετά θα παραδώσει μία πρόταση στο σύνολο.


Θα συμφωνήσω μαζί σου όσον αφορά την ωρίμανση! Η αλήθεια είναι ότι έχουν γίνει αρκετές προσπάθειες οι οποίες όμως είναι αποσπασματικές. Στο μυαλό μου έρχεται ο Radius server που στήνεται από τον spirosco και θα βοηθήσει αρκετα στο authentication.

Βασικά θα πρέπει να φτιαχτεί ένας απλός οδηγός "best practice" για προστασία των κομβούχων.

----------


## alxnik

Όπως και ένας σχετικά αρχάριος προγραμματιστής δεν θα ασχοληθεί να φτιάξει την δομή και την ροή του προγράμματος αλλά με το που θα του έρθει μια ιδέα θα αρχίσει να γράφει κώδικα. Αυτό όμως είναι καταστροφικό γιατί όταν βρεί ένα λάθος στην σχεδίαση, θα χάσει πολύ χρόνο για να ξαναγράψει πολύ κώδικα πάλι από την αρχή (έχω και προσωπική εμπειρία επί του θέματος).

Τα pings βγήκαν και με μεγάλη επιτυχία μάλιστα. Από την δική μου σκοπία θα πρέπει να γίνει ανάπτυξη και από πλευράς ασφαλείας γιατί μπορεί μετά να είναι αδύνατο να αλλάξει όλη η σχεδίαση του δικτύου (όχι πως τώρα είναι λίγη η δουλεία που εμπλέκεται).

Πάντως όπως είναι τώρα, ένας άνθρωπος με κακές προθέσεις (και αρκετή εμπειρία) μπορεί να γονατίσει το δίκτυο σε μια νύχτα.

----------


## Acinonyx

> Πάντως όπως είναι τώρα, ένας άνθρωπος με κακές προθέσεις (και αρκετή εμπειρία) μπορεί να γονατίσει το δίκτυο σε μια νύχτα.


Ξαναπές το αυτό..  :: 

Το κακό είναι ότι οι λιγότερο ασφαλείς κόμβοι στο AWMN είναι αυτοί που συγκεντρώνουν τις περισσότερες υπηρεσίες και τα περισσότερα links συνήθως.

Θα ήταν ενδιαφέρον να οργανωθεί μία "Ημερα Ασφαλείας του AWMN" οπου θα προσπαθούσαμε να προκαλέσουμε την κατάρρευση των κόμβων και υπηρεσίων του δικτύου χωρίς να χρησιμοποιησουμε την έτοιμη πρόσβαση στο BGP.

----------


## elkos

παραθέτω ένα λινκ με μια μελέτη της Panda Software σχετικά με την ασφάλεια των Wifi δικτύων που δημοσιέυτηκε στις 16 Μαρτίου 2006
http://www.pandasoftware.com/about_pand ... ection.htm

από την άλλη πιστέυω ότι η διαμορφωσή διαφορετικού επιπέδου ασφαλείας μεταξύ ap<--->client από την μια και bb<--->bb από την άλλη θα μπορούσε να δώσει ακόμη ένα κίνητρο για την μετάπτωση clents σε bb.

----------


## xrg

Κατ' αρχήν είμαι εντελώς προκατηλείμμένος εναντίων της Panda. Το μόνο που κάνουν εταιρίες του είδους της είναι να τρομοκρατούν τον κόσμο (με τα Windoze) μέχρι να πουλήσουν το 80% ασφαλές προϊόν τους (έχει πάντα μια -λέω 20%- ανασφάλεια, για να διαιωνίζεται το πρόβλημα..).

Τεσπα, το awmn έχει μια διαφορά: εγώ π.χ. δεν θα απαγορέψω στον περαστικό (π.χ. cirrus), που θα συνδεθεί με το αυτοκίνητό του κάτω από το σπίτι μου, να μπεί στο δίκτυο. Άρα δεν μιλάμε για προστασία ενός κλειστού δικτύου, αλλά για ένα ανοικτό.
Τώρα, τι διαφορά κάνει αν ο cirrus μπορεί να διαβάζει τα πακέτα του AP μου (επειδή δεν έχω wpa) ή αν εγώ (ο κόμβος) μπορώ να διαβάζω τα πακέτα που περνάνε από τους clients μου; 
Θα έχουμε το κεφάλι μας ήσυχο μόνο αν παραδεχτούμε οτι *πάντα* θα υπάρχει κάποιος μέσα στο δίκτυο, που θα θέλει να κάνει κακό. Έτσι, θα χρησιμοποιούμε π.χ. ssh ή vpn's ώστε να μην μας νοιάζει από πού περνάει η σύνδεση.
Το άλλο θέμα είναι η ασφάλεια για τα DoS, δηλ. να μην μπορεί κάποιος να στείλει προβληματικά routes στο BGP, ή να μην μπορεί να floodάρει. Θα ήταν ενδιαφέρον (και έχω ξαναγράψει οτι τις επικροτώ) αν κάποιος έκανε επιθέσεις white hacking για να δοκιμάζει τις αντοχές του δικτύου.
Άρα:
1. Αφήστε το δίκτυο ανοιχτό! Να μπαίνουν οι clients, να βγάζουν συνδέσεις για οποιονδήποτε κόμβο θέλουν κλπ.
2. Ασφαλίστε τα μηχανήματα. Αν υπάρχει πόρτα που θα 'ρίξει' το μηχάνημα, φταίει αυτός που την άφησε ανοιχτή. 
3. Ασφαλίστε τις συνδέσεις (TCP). Όταν μπαίνουμε σε κάποιο shell, θα πρέπει να είναι secure, όταν μεταφέρουμε αρχεία, επίσης κλπ. 
3. Κάντε έρευνα, πειράματα *. Γι' αυτό το έχουμε το awmn.
4. (παρόλο που θα έλεγα 'στα @@ρια μου, καλά να πάθουν..' ) Αν ξέρουμε οτι έχει βγεί το Win32.X worm που χτυπάει από την πόρτα 1234, να έχουμε έναν μηχανισμό (= "σχέδιο άμεσης αντίδρασης") ώστε να κλείσουμε την πόρτα και να μήν το αφήσουμε να διαδοθεί.
5. Καλό θα ήταν να κάνουμε και μια μελέτη για την ασφάλεια του DNS, routing κλπ. Τι θα γίνει π.χ αν εγώ (ο κακός) στήσω ένα κόμβο (δίπλα στον cirrus, έτσι για σπάσιμο) και του 'κλέψω' το ip range, το dns κλπ;

* μακρινό μου όνειρο, ξαναλέω, είναι να κάνουμε το awmn εργαστήριο για ipv6 πειράματα. Εκεί θα δούμε και το security του.

----------


## alxnik

θα πρέπει να συμφωνήσω απόλυτα...
Αν και δεν ξέρω την συγκεκριμένη εταιρία, το whitepaper δεν μπορώ να πώ οτι έχει ερευνητικό χαρακτήρα αλλά κυρίως συγκεντρώνει όλες τις ήδη γνωστές επιθέσεις που μπορούν να γίνουν σε ένα ασύρματο δίκτυο. Επίσης θα συμφωνήσω οτι στο awmn δεν είναι η σκοπιά του δικτύου να είναι κλειστό και αυτό το κάνει ακόμα πιο δύσκολο στο να ασφαλιστεί.

Πιστεύω οτι το awmn δεν πάσχει από privilege escalation attacks, δηλαδή να καταφέρει κάποιος να μπεί σε έναν υπολογιστή μέσω worms/virus/exploitation. Το δίκτυο αποτελείται κυρίως από άτομα τα οποία έχουν μια βασική αίσθηση της ασφάλειας (όπως το να κανουν update συνέχεια στις εκδόσεις των server, windows update κλπ) ή τουλάχιστον θέλω να πιστεύω  ::  . Τα σήμεία που πάσχει είναι στην υποκλοπή/αλλίωση δεδομένων και ως συνέπεια σε denial of service (dns poisoning, routing table poisoning, connection reseting/hijacking κλπ κλπ)

ΑΑΑΑ, και ως προς τα win32 worms...
-"Ναι γειά σας νομίζω οτι κόλλησα virus"
-"Eίχατε ανοιχτό το windows update?"
-"Οχι ο μπαντζανάκης μου, μου είπε οτι μου τρώει τζάμπα ταχύτητα από το internet"
-"Eίχατε ανοιχτό το windows firewall?"
-"Όχι γιατί ένας ξάδερφος μου είπε έτσι δεν παίζει το bittorrent"

-"......."

----------


## sotiris

Εγώ δεν έχω τις δικές σας γνώσεις για να μπορέσω να πω κάτι σημαντικό στη κουβέντα αυτή, αλλά θέλω να ρωτήσω κάτι.

Πως είναι δυνατόν από την μια να προστατεύουμε το μηχάνημά μας, κλείνοντας το ένα κλείνοντας το άλλο, και από την άλλη να μπορούμε να δίνουμε υπηρεσίες που πρέπει να είναι ανοικτό το ένα και ανοικτό το άλλο.Δεν είναι αντιφατικό αυτό?

Ακόμη και τα βασικά να αφήσεις ανοικτά, δεν υπάρχει κάτι που να μπορεί να επιτεθεί και να κάνει ζημιά μέσω αυτών?

Οι πιο απλοί ΒΒ κόμβοι έχουν μια απλή web σελίδα, έχουν dns, έχουν ενα mrtg ή κατι παρόμοιο. 
Καποιοι πιο προχωρημένοι έχουν και δικό τους φόρουμ, έχουν στήσει και mail server, έχουν στήσει dc hub, torrent tracker, shoutcast/icecast server, file server, ftp server,games server, υπηρεσίες άμεσης επικοινωνίας, κλπ.
Υπάρχει τρόπος προστασίας για κάποιον που θέλει να σηκώνει υπηρεσίες, αλλά ταυτόχρονα δεν θέλει/μπορεί να είναι συνεχώς αρκετές ώρες πάνω από τον server του για να του περνάει συνεχώς τα νέα patch που κλείνουν τρύπες στα προγράμματα που χρησιμοποιεί?

Τα ΑΡ τώρα τελευταία, σιγα σιγά, καταλαβαίνουν ότι πρέπει να υπάρχει ενα υποτυπώδες mac filter και ότι πρέπει να σταματήσει το dhcp να παίζει με τον τρόπο που έπαιζε μέχρι τώρα.

----------


## alxnik

Ως προς τα patch, δεν είναι οτι βγαίνουν και κάθε μισή ώρα. Τα windows τουλάχιστον έχουν συγκεκριμένο release schedule στο windows update (αν και δεν θυμάμαι κάθε πότε είναι). Στο linux δεν έχει συγκεκριμένο αλλά και πάλι μπορείς να αυτοματοποιήσεις την διαδικασία, δεν χρειάζεται να είσαι από πάνω όλη την ώρα. Αν κάποιος θέλει να χτυπήσει το δίκτυο θα διαλέξει άλλη μέθοδο, όχι vulnerability exploitation.

Εγώ από μόνος μου δεν μπορώ να προτείνω μεθόδους ασφάλειας, αφενός γιατί δεν έχω μεγάλη γνώση ως προς την τοπολογία του δικτύου, αφετέρου γιατί δεν είμαι άμεσα εμπλεκόμενος (δεν έχω κόμβο, ούτε services, αν και κάποια στιγμή πιστεύω θα αλλάξει αυτό). Πιστεύω όμως οτι θα πρέπει τουλάχιστον να υπάρχουν κάποια γενικά guidelines για τους επιμέρους κόμβους και μια γενικότερη μελέτη των βασικών λειτουργιών του δικτύου (DNS/routing απαραίτητα)

----------

