mercoledì 11 giugno 2008

Utilizzo di wireless non protette

10 giorni fa circa ero in montagna per un weekend di relax e aria pulita. Domenica sera accendo il portatile per guardarmi un film, e già che ci sono lancio un

> iwlist wlan0 s

Con ben poche pretese, visto che ero in un paese a 1200 m slm praticamente deserto visto il periodo.. Eppure vedo due reti wireless, entrambe sprotette.

Mi attacco a quella col segnale più potente, DHCP abilitato. Non avendo nessuna intenzione di fare cose losche, ma solo di accedere ad internet, non modifico mac address nè prendo altre precauzioni (non ho firewall ma non partono in automatico servizi importanti) e non cerco nè di sniffare traffico nè di studiare la sotto rete nè di capire che access point è.

Dubito che ci sia qualcuno in ascolto, vista la situazione, ma essere paranoici a volte è anche divertente. E visto che non tutte le webmail che uso sono in https, decido che è comunque consigliabile affrontare questo problema.

ora: sul portatile ho una vpn (OpenVPN) per attaccarmi ai server in farm a Milano. Il gateway della lan virtuale effettua il nat delle connessioni che arrivano dall'interno, ed io, con la vpn, raggiungo direttamente l'interno della lan.
Il fatto che effettui il nat anche delle connessioni dalla vpn è un prerequisito fondamentale.

Quindi:
> /etc/init.d/openvpn start

Ora ho l'interfaccia tun0 che mi fa accedere direttamente ai server.

> route
La tabella di routing ha come default gateway 192.168.1.1 (l'access point), il che non mi sta bene, se voglio includere tutto il traffico nella vpn ed uscire su internet passando dalla farm. Quindi:

Elimino la rotta di default
> route del default

gli aggiungo la rotta per il server vpn (questo passo sembra non essere obbligatorio se si ha già tirato su la vpn, ma a me sembra più chiaro e "rigoroso" metterlo), dicendogli di passare dall'access point
> route add -host ip_pubblico_server_vpn gw 192.168.1.1

ed ora incapsulo tutto il traffico nell'interfaccia tun0:
> route add default tun0

Ora basta andare su una pagina che mostra l'ip da cui si arriva per notare che l'ip pubblico è ip_pubblico_server_vpn. Ora tutto il traffico generato dal mio portatile viene incapsulato nella vpn, passa quindi crittato a livello 4 iso/osi per la wireless e per il percorso dall'access point al mio server vpn per poi uscire in chiaro solo a partire dalla farm.

In realtà non è nulla di complesso o di innovativo, anzi, ma può tornare utile..
Pubblicato da alle
Etichette: , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)