Contromisure contro lo sniffing del traffico all'interno di una LAN

4

Ecco la problematica con cui sono bloccato, nei prossimi mesi mi trasferirò in una piccola casa in Francia. Per la connettività di rete il proprietario della casa decide di acquistare una singola connessione internet. Quindi in pratica la finestra dell'ISP è condivisa con 2 altre persone ma si trova in casa mia , quindi se decido di scollegarla, interrompo la connessione per gli altri ma comunque.

La prima cosa che mi viene in mente è che se posso annusare sulla rete anche l'altro può, ho risolto il problema per altri possibili attacchi come l'avvelenamento della cache ARP, ecc ...

Quindi vengo con un'idea, ma non ne sono sicuro, ecco perché inserisco qui.

Qui, un diagramma di rete di base (PC 1 e PC 2 hanno solo accesso WIFI poiché la scatola è a casa mia)

Vediamoilsecondodiagramma:

Questa è la soluzione in cui vengo, tranne se riesco a rilevare che un PC è in modalità promiscua (con nmap per esempio), non posso davvero impedire che il traffico sniffing all'interno della mia rete.

In teoria secondo il secondo diagramma, il mio PC ha inviato dati non crittografati al router, il router li crittografa con IPSec o con il tunnel OpenVPN quindi li indirizza al mio ISP Box, quindi se PC 1 o PC 2 annusano sul ISP Box non possono leggere i dati poiché sono crittografati tramite il router, è corretto ?

Sentiti libero di condividere con me altre soluzioni che potrebbero fare la cosa e correggere il mio inglese:)

    
posta CrƟwn 18.11.2016 - 14:34
fonte

2 risposte

2

Invece di configurare un endpoint VPN sul router, perché non impostarlo su da qualche parte in Internet ? Ottieni una macchina virtuale cheapo da qualche parte e usala per eseguire qualcosa che è più o meno pronto all'uso con un endpoint VPN.

Ma: direi (e questo è molto raro) che se il tuo router è configurato correttamente, non hai nemmeno un problema:

I pacchetti provenienti dal tuo PC vanno al tuo router attraverso un cavo, e i pacchetti per il tuo PC passano attraverso lo stesso cavo, nella direzione opposta, se comprendo correttamente il tuo sistema. Il router non ha motivo di inviare alcuno dei pacchetti IP per il Wi-Fi, quindi gli altri non riescono nemmeno a vedere quei pacchetti.

Se condividi un Wifi con loro (ad esempio, il tuo PC si connette tramite Wi-Fi, come PC1 e PC2) e hai un'azienda WPA, otterrai una chiave di crittografia sicura per sessione e macchina specifica, e i pacchetti annusati nell'aria non saranno decifrabili dagli altri membri del tuo Wifi. (Questo non si applica a WEP, che è assolutamente obsoleto, in ogni caso, e non proprio a WPA-PSK, per cui è possibile per qualsiasi utente autorizzato del tuo Wifi derivare la tua chiave di trasmissione wifi segreto osservando un paio dei tuoi pacchetti)

    
risposta data 18.11.2016 - 17:49
fonte
2

Sembra che tu stia cercando l'isolamento LAN. Fondamentalmente isolare una porta LAN da un'altra è quello che fa.

La tua ISP Box può avere questa opzione.

Se non si dispone di "LAN Isolation", si potrebbe avere "VLAN", ma una volta che si dispone di VLAN, si avrà "Network Policy" in cui è possibile proteggere le VLAN. Quando si usano le VLAN, ogni client si trova su una Virtual LAN dedicata (propria sottorete), quindi i vari attacchi non funzioneranno. Solo la VLAN non è sufficiente, è necessario applicare alcuni criteri per prevenire tutti i possibili attacchi. Se non c'è VLAN, ci dovrebbe essere "Isolamento LAN" che è la versione semplificata a un pulsante.

La crittografia del traffico dal router di casa al router (come nel diagramma) funzionerebbe, ma è piuttosto complessa e potrebbe non funzionare come previsto, specialmente se vengono utilizzati vari modelli di router.

    
risposta data 18.11.2016 - 15:06
fonte

Leggi altre domande sui tag