Spoofing e sicurezza della rete ospite

1

Conosco un po 'di sicurezza della rete, ma è sufficiente sapere che c'è molto che non so. Il mio requisito è quello di aggiungere un secondo wifi alla mia attuale configurazione (1 wifi emesso da un router OpenWRT 1-physical-wifi-radio e un mucchio di computer collegati al wifi) e di impedire agli utenti del 2 ° wifi di accedere al mio router pagina di configurazione e tutti i servizi in esecuzione su uno qualsiasi dei miei dispositivi (ad esempio, condivisioni e server di file non visibili su Internet).

Le mie attuali misure di sicurezza sono le regole di iptables che impediscono l'accesso di 2nd-wifi-user alla mia rete originale basata su IP di origine o interfacce di origine. La mia paura è che questi potrebbero non essere sufficienti.

(option 1: ip-based filtering)
iptables -I FORWARD -s $GUEST_SUBNET -d $HOME_SUBNET -j REJECT

(option 2: interface-based filtering)
iptables -I FORWARD -i $GUEST_INTERFACE -d $HOME_SUBNET -j REJECT

Non so molto di spoofing, ma mi sembra che se un utente 2nd-wifi ha "certificato" le sue richieste alla pagina di configurazione del router (che si trova all'interno di $ HOME_SUBNET) come proveniente da un IP sorgente all'interno di $ HOME_SUBNET , ha potuto accedere e interagire con la pagina di configurazione poiché sarebbe stato in grado di annusare tutto il traffico verso l'indirizzo IP di origine falso e costruire risposte sensate. Destra?

  1. Se ho torto, e le mie regole di iptables sono effettivamente sufficienti, qualcuno potrebbe spiegare perché una parodia non è possibile date le mie regole e il mio ragionamento.

  2. Altrimenti, la crittografia sul mio wifi domestico ha un ruolo in questo? Ad esempio, se la mia rete domestica fosse WEP / WPA2 / 802.1x-criptata, la risposta al falso $ HOME_SUBNET sorgente IP sarebbe anch'essa crittografata e quindi illeggibile ai miei ospiti (proteggendo quindi in modo efficace la mia rete domestica dai miei ospiti) ? Sembra ragionevole ...

Grazie!

PS: questa domanda segue una recente domanda della mia e le risposte che ho ricevuto per questo.

EDIT: Per essere chiari, il wifi della mia casa e il wifi degli ospiti vengono emessi dallo stesso router.

    
posta rmanna 18.01.2014 - 09:16
fonte

1 risposta

1

Questo non è possibile. L'interfaccia di configurazione di un router sta eseguendo HTTP, che usa TCP al livello 4. Affinché la connessione TCP abbia successo per iniziare a parlare di HTTP al livello 7, è necessario avere l'handshake seguente:

Il problema con lo spoofing IP in relazione a TCP è che questo non è possibile. Con il solo filtraggio IP sarai in grado di inviare il primo SYN oltre il firewall, ma il tuo router risponderà alla persona che ha l'IP effettivo con SYN-ACK, il che significa che non sarai mai in grado di inviare ACK. Ciò significa che non è possibile stringere la mano e che quindi non sarà possibile comunicare con HTTP al router.

    
risposta data 18.01.2014 - 09:28
fonte

Leggi altre domande sui tag