Re: [linux_var] OFF TOPIC Network ML

To: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Subject: Re: [linux_var] OFF TOPIC Network ML

From: Giovanni Orlandi <orlangio@gmail.com>

Date: Mon, 29 Sep 2014 18:06:45 +0200

Authentication-results: linuxvar.it; dkim=pass reason="2048-bit key; insecure key" header.d=gmail.com header.i=@gmail.com header.b=VmMIt97A; dkim-adsp=pass; dkim-atps=neutral

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ml.linuxvar.it; s=mail; t=1412006764; bh=EGwug2HGd41v0gmkTXIHFWrdLXXcVE56Z8kb8DMlrcY=; h=In-Reply-To:References:Date:From:To:Subject:Reply-To:List-Id: List-Unsubscribe:List-Archive:List-Post:List-Help:List-Subscribe; z=In-Reply-To:=20<BF04A335-7AFC-47BE-8B1C-3513DFE31285@lesinigo.it> |References:=20<CAGod1SAUwxjffNaTDqgyGRGkZGu0RwXu9UZ5-pNdKzxpccq69 A@mail.gmail.com>=0D=0A=20<BF04A335-7AFC-47BE-8B1C-3513DFE31285@le sinigo.it>|Date:=20Mon,=2029=20Sep=202014=2018:06:45=20+0200|From: =20Giovanni=20Orlandi=20<orlangio@gmail.com>|To:=20linux_var=20-=2 0LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=20<talking@ml. linuxvar.it>|Subject:=20Re:=20[linux_var]=20OFF=20TOPIC=20Network= 20ML|Reply-To:=20linux_var=20-=20LUG=20di=20Varese=20e=20Provincia =20Mailing=20List=0D=0A=20<talking@ml.linuxvar.it>|List-Id:=20linu x_var=20-=20LUG=20di=20Varese=20e=20Provincia=20Mailing=20List=0D= 0A=20<talking.ml.linuxvar.it>|List-Unsubscribe:=20<http://ml.linux var.it/cgi-bin/mailman/options/talking>,=0D=0A=20<mailto:talking-r equest@ml.linuxvar.it?subject=3Dunsubscribe>|List-Archive:=20<http ://ml.linuxvar.it/pipermail/talking/>|List-Post:=20<mailto:talking @ml.linuxvar.it>|List-Help:=20<mailto:talking-request@ml.linuxvar. it?subject=3Dhelp>|List-Subscribe:=20<http://ml.linuxvar.it/cgi-bi n/mailman/listinfo/talking>,=0D=0A=20<mailto:talking-request@ml.li nuxvar.it?subject=3Dsubscribe>; b=BbhwMbOkilgABKKR3g4VyIHJsEudYOjhX+zkoyMHyhDQPMBAhk7wlz6wH95b0xnwj MCwdMX1CMUtNqZdvjHs7ghJWZ3SmmNfEMZGqFh/wOZPYu6mTaPPSEdzwx0jP6P/dfC lQ/eavbHQlzRJGUYOMI/oTyN8+wD7uE2hBnecVUI=

Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type; bh=fYqL9GHhmh9Z3aTUvZhv+WJlc4BZu712iNMjtpHIing=; b=VmMIt97AgpPi7O8mesic4CL8O2jD/2uR30GxxLaVr3SLmLVUJdqs7TACEH4T/nDNtl yOlh+8g86tk/QpJ48kWY5YWi4Gq6fQrJowYe5hYvWMKOx7CH190dOIl9oJunaV8j0Get xRVWOtf64O/s9Ns8jUywM/IWt9HIlHTlTLBFX3Q9on3yd4fBIoSp/rWNmfES9ow1ED8r xGh7BPwabF4FGDc+cj8jJNtu1ooWCy2j+A1OQaxAld15nxDGBxY+gFzXGd7Z94up9AFp Ej0wn3xs+F/ujRKoKKs/lWVCeUO9lDRpzMtOTJS3dsqfu+NHKVSBvuKdQ54GjYTLEylb 3QgA==

In-reply-to: <BF04A335-7AFC-47BE-8B1C-3513DFE31285@lesinigo.it>

List-archive: <http://ml.linuxvar.it/pipermail/talking/>

List-help: <mailto:talking-request@ml.linuxvar.it?subject=help>

List-id: linux_var - LUG di Varese e Provincia Mailing List <talking.ml.linuxvar.it>

List-post: <mailto:talking@ml.linuxvar.it>

List-subscribe: <http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking>, <mailto:talking-request@ml.linuxvar.it?subject=subscribe>

List-unsubscribe: <http://ml.linuxvar.it/cgi-bin/mailman/options/talking>, <mailto:talking-request@ml.linuxvar.it?subject=unsubscribe>

References: <CAGod1SAUwxjffNaTDqgyGRGkZGu0RwXu9UZ5-pNdKzxpccq69A@mail.gmail.com> <BF04A335-7AFC-47BE-8B1C-3513DFE31285@lesinigo.it>

Reply-to: linux_var - LUG di Varese e Provincia Mailing List <talking@ml.linuxvar.it>

Sender: "Talking" <talking-bounces@ml.linuxvar.it>

infatti mi ponevo lo stesso dubbio, se qualcuno sgamato mette un hub tra cavo di arrivo e switch
poi si inserisce nella VLAN che vuole a meno che lo switch non faccia criptazione dei pacchetti...

i cavi arrivano nei singoli appartamenti, quindi non puoi garantire " la sicurezza fisica dell'impianto"...

puoi solo sperare che chi abita nell'appartmento non faccia hackering della connessione,
so che non è il top della sicurezza dire spero/sono convinto che nessuno farà hackering...

è un po' un concetto di sicurezza microsoft-style
(es. io faccio eseguire in automatico il contenuto del floppy o della chiavetta e spero che nessuno ci metta un software malevolo)

Eppure credo che almeno i cisco siano paranoici e riescano ad identificare se ad esempio c'è un hub stupido nel mezzo...

Comunque adesso chiedo...

Gio

Il giorno 29 settembre 2014 16:56, Luca Lesinigo <luca@lesinigo.it> ha scritto:

Il giorno 29/set/2014, alle ore 10:40, Giovanni Orlandi <orlangio@gmail.com> ha scritto:
> Ciao, sapete se esiste qualche Mailing List sul Networking un po' avanzato ?
Non ne conosco, ma in genere ho sempre avuto buoni risultati dal mondo StackExchange, in particolare nel tuo caso il sito giusto sarebbe ServerFault.com.
Per "buoni risultati" intendo ovviamente buone risposte (a domande che vai a porre tu od a domande simili già poste da altri in passato) ma anche, meno ovviamente, che il dover scrivere bene la domanda spesso aiuta a trovare la soluzione da solo senza bisogno di postare nulla.

> Devo fare delle configurazioni di rete in un ambiente distribuito dove sono presenti in vari appartamenti delle connessioni cablate agli switch con varie VLAN.
> Quello che dovrei fare è impedire che qualcuno possa scollegare lo switch e accedere alle varie VLAN.
> Quindi dovrei creare una sorta di autenticazione tra le porte degli switch, che mi escludesse questa possibilità.
802.1x, e qualsiasi forma di autenticazione, sono la risposta sbagliata al tuo problema. L'autenticazione di per sé è "one-time" ed una volta aperta la porta da un dispositivo legittimo basta "inserirsi" sul cavo e ti trovi la porta già bella ed aperta. Forzare un'autenticazione periodica mitiga, ma non risolve, la questione.

Se non puoi porre come requisito la sicurezza fisica dell'impianto, la tua unica possibilità rimane crittografare il traffico tra i due endpoint, quindi ti servono oggetti più evoluti che semplici switch. Paradossalmente un link WiFi off the shelf è più sicuro, da questo punto di vista, perché gli standard comunemente implementati in tutti i dispositivi (eg. WPA2) proteggono i singoli pacchetti e non la semplice apertura del link.

--
Luca Lesinigo

_______________________________________________
Talking mailing list
Talking@ml.linuxvar.it
http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

--
-----------------------------------------------------------------------------------------
Luca 18,5 : "Poiché questa vedova è così molesta le farò giustizia, perché non venga continuamente a importunarmi".
Neemia 8,10 : "...questo giorno è consacrato al nostro Signore; non siate tristi; perché la gioia del Signore è la vostra forza".
GSM 345.6050488 / 327.0547392 / 392.0698126 - Fax 06.62204735

_______________________________________________ Talking mailing list Talking@ml.linuxvar.it http://ml.linuxvar.it/cgi-bin/mailman/listinfo/talking

Follow-Ups:

Re: [linux_var] OFF TOPIC Network ML
- From: Luca Lesinigo <luca@lesinigo.it>

References:

[linux_var] OFF TOPIC Network ML
- From: Giovanni Orlandi <orlangio@gmail.com>
Re: [linux_var] OFF TOPIC Network ML
- From: Luca Lesinigo <luca@lesinigo.it>