none
IPSec, cosa combina? RRS feed

  • Discussione generale

  • Buonasera, pongo qui questa questione perché credo che in nessun altro forum possano darmi una risposta soddisfacente.
    Sto facendo alcune prove a scopo didattico, premetto che comunque posso risolvere il problema perché prima di effettuare le prove ho creato un punto di ripristino. Solo mi interessa capire cosa è successo.
    Ho allestito un LAN minimale con due PC, entrambi W7U. I PC comunicano tra loro in modalità wireless. Uno dei PC è collegato a Internet ed configurato come access point (funge da gateway per l'altro), ora sul gateway, ho configurato una regola IPSec (con filtro) e quindi ho riavviato la macchina. Al riavvio non c'è stato verso di attivare la scheda che fa da gateway, cioè il PC non funziona più come access point.
    Andando sulle "connessioni di rete", la scheda viene visualizzata, ma risulta non connessa, mentre spulciando fra i comandi di netsh, in particolare wlan -> show drivers, mi ritorna: "Nessuna interfaccia wireless nel sistema".
    Capisco che non si tratta di un problema banale, ma se qualcuno di voi ne capisce qualcosa, gli sarò grato se vorrà illuminarmi. Potrebbe essere un "bug" di Windows? Qual'è il vs. parere?
    Ribadisco che non mi interessa tanto risolvere il problema, ma solo capire cosa può essere successo.
    Grazie per l'attenzione.
    mercoledì 7 marzo 2018 17:47

Tutte le risposte

  • ciao Luciano. questo è un forum per professionisti IT, nessuno di noi è di MS ed il tempo che dedichiamo è totalmente gratuito, capirai che ci dedichiamo a risolvere problemi reali di macchine in produzione, se dovessimo perdere tempo anche a formare gli utenti quando fanno i loro test a scopo accademico non lavoreremmo più. quello che posso dirti è prima di tutto che un sistema client con la doppia scheda di rete lavora sempre male checchè ne dicano gli amanti del routing, oltre questo, non si usa mai il wireless tra l’altro ma di solito 2 lan. aggiungo che non ho capito cosa c’entra ipsec nel tuo caso: ipsec è per le vpn, sulle reti locali non deve essere usato, non ha senso. Qui però mi fermo, perchè un router wifi da 20€ della TPLink risolve tutti i tuoi problemi, quindi anche solo perderci 1h ha già superato abbondantemente la regola tempo di risoluzione= costo tecnico, se è maggiore di una soluzione alternativa non  ci si imbarca nemmeno nella ricerca della soluzione.

    sono sicuro che hai capito cosa intendo.

    grazie,

    A.

    mercoledì 7 marzo 2018 21:24
  • Dalle mia parti si dice: "Domandare è lecito, rispondere è cortesia". Non era mia intenzione "rubare" del tempo a nessuno di voi e tu non eri obbligato non solo a rispondere, ma finanche a leggere il mio intervento.
    Quando si verifica un fatto, un fenomeno, quale che sia; chi ha una mentalità, diciamo aperta o forse solo "curiosa", cerca di capire come e perchè il tale fatto si è verificato, se da solo non ne viene a capo, magari ne parla con qualcun'altro che ha interessi affini.
    Chi invece pensa solo al profitto, non può non avere un atteggiamento superficiale nei confronti del mondo che lo circonda e delle cose in cui quotidianamente si imbatte. A mio parere queste persone sono i nemici del progresso.
    Vorrei anche rispettosamente farti notare, che parli come se il forum fosse una tua proprietà personale, ma anche ammettendo che sia così, non credo che tu possa impedire agli altri utenti di partecipare al dibattito. Se così fosse infatti, vorrebbe dire che questo forum è formato da "integralisti" (non dico "islamici", diciamo "informatici"?).
    Comunque, sono un professionista IT anch'io.

    Saluti

    giovedì 8 marzo 2018 13:05
  • 

    Se ho capito bene, stai usando "netsh wlan start hostednetwork", corretto?
    Descrivi meglio la tua infrastruttura di rete, il pc si collega via wifi a internet?
    Potresti spiegare cosa vorresti fare e quale tipo di filtro ipsec hai usato?

    Devo aggiungere, che sono anche abbastanza arrugginito su ipsec, le ultime volte che lo ho utilizzato, non per vpn, facevo del packet filtering su lan con windows 2000 e 2003 ( bisognava supplire alla carenza di un firewall decente in windows server, introdotto solo da win 2008 in poi, quindi si usavano delle ipsec policy sul traffico in uscita), se spieghi meglio cosa vuoi ottenere si potrebbe trovare una strada altenativa... (dubito di poter risolvere, ma siam qui e ci proviamo)

    Aggiungo anche un link a beneficio dei di coloro che vorranno diventare dei professionisti, troveranno informazioni di come, dove e quando utilizzare ipsec  What Is IPSec?

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    giovedì 8 marzo 2018 23:15
  • Ma io non impedisco nulla a nessuno, ci mancherebbe, dico solo che se non hai un problema reale dovresti postare direttamente in OFF TOPIC, li è il "pur parler" queste le regole del forum, poi se qualcuno ti risponde ben venga, ma non faccio io le regole, le faccio solo rispettare.

    Gas poi non vede l'ora di intervenire dove ci sono io, quindi ti guiderà sicuramente nel lungo processo di identificare il colpevole dalla tua problematica, lui c'è e ci prova.

    IPSEC da 10 anni a questa parte (ed anche prima) si usa soprattutto e quasi in maniera esclusiva per le VPN site to site o per le vpn client to site non per sicurare traffico locale, perchè, udite udite i Firewall sono diventati decenti da un bel po. 

    Buon Proseguimento. 


    A.

    venerdì 9 marzo 2018 07:08
  • Ok! Grazie per il chiarimento. Rispondo a entrambi, ma prima ad Alessandro perché c'era già un discorso sospeso. Purtroppo non condivido l'opinione di Alessandro, in quanto sto facendo degli esperimenti
    per cercare di capire se riesco a buttare definitivamente nel secchio il firewall, credo, ma è solo una mia opinione, che sia il prodotto forse più odioso da usare per il sistemista o per chi si occupa dei sistemi in genere (a parte forse il "vi" di Unix)
    Il firewall è stato inventato contemporaneamente a Internet (grosso modo) circa 45 - 50 anni fa, quando le minacce informatiche (leggi tentativi di intrusione) erano inconsistenti, credo che come tecnologia abbia ormai fatto il suo tempo.
    Inoltre, il firewall agisce prevalentemente al livello 4 dello stack ISO/OSI, bloccando le porte, mentre una protezione più affidabile si ottiene intervenendo ad un livello più basso dello stack (livelli 2 e 3).
    In altre parole, sto cercando di configurare il computer, stabilendo una protezione a monte (cioè prima che il pacchetto sia transitato), piuttosto che a valle (cioè con il pacchetto già in transito e prossimo a raggiungere la destinazione).
    Infine aggiungo, che il prodotto (sia software che in appliance) è abbastanza inutile, visto che per "bucarlo" mi bastano due programmini che insieme non superano i 200KB: un rootkit e un driver redirector, che nessun software riesce ad individuare. A eccezione del caso in cui vengono chiuse tutte le porte, che però equivale a disabilitare la scheda di rete.
    E' vero come dice Alessandro, che IPSec può essere usato per creare una VPN, in questo caso, dovrà essere usata la modalità tunnel (ad es per collegare due uffici remoti), però nel mio caso, intendo usare IPSec, in modalità senza tunnel, solo per cifrare il traffico interno alla LAN. Lo scopo è quello di prevenire intrusioni non autorizzate (ad es con uno sniffer), piuttosto che cercare di bloccarle a valle.
    Il problema che io ho posto sul forum, in definitiva è anche un problema pratico, ma è soprattutto teorico. Quello che io non capisco (e le reti le conosco piuttosto bene) è come sia possibile che la modifica di una impostazione del livello 3 (cioè la sostituzione del protocollo IP con IPSec che appartengono entrambi allo stesso livello) possa avere un effetto determinante sul livello 1, ossia il fatto che la scheda condivisa non starta.
    Mi rendo conto che la discussione è puramente accademica e sicuramente esce dall'ambito del forum, il fatto è che non ho provato nemmeno a postarla su un altro forum, perché a livello del vostro, almeno in Italia, non ne ho trovato nessuno. Mi scuso per questo. Non lo farò più.
    Per Gastone: Si è esatto, si tratta della rete ospitata. Il filtro IPSec è "Blocca se non autenticato" in modalità priva di tunnel. Per le altre questioni ho già risposto sopra.
    Quello che io cerco è la risposta alla domanda, è sarò più specifico: come è possibile che impostando un protocollo al posto di un  altro la scheda di rete non risulta più visibile, attenzione non che non comunica (sarebbe pure normale), è che non viene proprio vista. Già mi avete detto che qui rispondete solo a problemi pratici, prego pertanto di ignorare la questione. Più che scusarmi non mi è possibile fare.
    Comunque vi ringrazio e apprezzo in ogni caso il vs. intervento.
    Saluti.



    venerdì 9 marzo 2018 10:36
  • Condivido alcune osservazioni. Non riguardo al firewall. Per me i firewall di oggi sono dei veri e propri gioielli che incamerano security a tutti i livelli. Sono apparati complessi senza cui il sistemista odierno dovrebbe mettere in campo centro altre soluzione alternative = spreco di tempo = mangiare di meno. Non tramuto tutto in costo = benefici, ma quasi. Io sono un titolare d'azienda, non un dipendente, il tempo per le prove è sempre poco e semmai viene indirizzato verso la formazione e l'approfondimento. Oltre questo devi adottare uno standard riconosciuto se lavori su N aziende, non puoi certo metterti a provare N soluzioni diverse, sempre per un fattore tempo. Siccome per campare faccio anche test di penetrazione, il sicurare tutto il traffico interno di una lan non è una soluzione agli "accessi indesiderati" perchè banalmente se so che gira traffico criptato invece di andare a cercare di decriptarlo vado ad  impossessarmi di un endpoint e l'analisi la faccio di li, ci metterò più tempo, ma il tempo che perderei a cercare altre strade lo concentro facendo phising sulle mail per cercare di inserire un qualche tipo di demone sui pc più vulnerabili, che ne so, della reception? delle segretarie? di quelli che si mandano le newslettere natalizie coi gattini? lasciando una chiave USB all'entrata dell'azienda? ci sono tanti modi. Sicuramente una sicurezza in più ma non definitiva...anzi. Puoi postare qui finchè vuoi, come vedi, qualcuno può essere che si prodighi, solo magari tieni i forum ufficiali delle piattaforme per i problemi reali e quello offtopic per le prove o le curiosità. 

    ciao. Grazie.

    A.

    venerdì 9 marzo 2018 13:53
  • All right!
    venerdì 9 marzo 2018 18:11
  • Ciao Luciano,

    ho ragionato un po' sul tuo problema e temo che ci sia un incompatibilità dovuta all'implementazione della "rete ospitata" che sfrutta l'hardware della scheda fisica.

    Cerco di spiegare, da una parte ci si collega ad internet senza usare ipsec, wlan fisica, dall'altra si ha una comunicazione criptata ipsec su "virtual" wifi, purtroppo, anche se ipsec è al livello 3,  i layer sottostanti non sono esattamente standard  es. la scheda fisica e quella virtuale, condividono lo stesso mac address... header hanno parte dell'intestazione uguale... insomma non c'è vera trasparenza tra il livello tre e quelli sotto e per il pc che ospita, non c'è una vera separazione fra le wlan... a quel punto il driver ndis e  quello ipsec vanno in confusione.

    Leggendo la documentazione microsoft, delle limitazioni ci sono About the Wireless Hosted Network

    Farei una prova semplificata, non usare la rete ospitata, che deve funzionare.


    ciao Gas

    Allego un interessante aticolo di come utilizzare ipsec sulle reti locali

    https://blogs.technet.microsoft.com/askpfeplat/2017/07/24/securing-rdp-with-ipsec/


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    venerdì 9 marzo 2018 20:27
  • Bravissimo Gastone, mi fa veramente piacere che qualcuno si appassioni alle cose un po' curiose e inconsuete.
    Alle stesse conclusioni sono giunto anch'io, credo che sia proprio il driver della scheda virtuale che non vada d'accordo con IPSec, come disse quel tale, scartando tutto ciò che è impossibile, quello che rimane deve essere la verità. Quindi anche se non si tratta proprio di un "bug" di Windows,
    comunque una mancanza c'è. Farò altre prove con le schede fisiche, sempre che i driver di queste ultime siano scritti bene. In fondo non c'è alcun obbligo di condividere necessariamente la scheda virtuale.
    Grazie per l'articolo, ho dato un'occhiata e ho visto che riporta esattamente la procedura che ho seguito io, più precisamente, solo una parte. Prima di tutto infatti bisogna creare il criterio IPSec, e lo si può fare tramite la consolle di configurazione IPSec (forse anche con netsh), solo che dopo aver creato il criterio, non ci fai nulla, per applicarlo bisogna usare Windows Firewall con sicurezza avanzata.
    Perdonami ma devo solo corregerti una inesattezza, non è possibile che esistano due schede di rete con lo stesso indirizzo MAC, né all'interno dello stesso computer, né all'interno della stessa LAN, né infine sul pianeta Terra(!). Infatti il mio computer assegna alla scheda virtuale lo stesso indirizzo della scheda fisica associata con l'ultima cifra incrementata di uno. Di questo puoi rendertene conto facilmente dando il comando getmac (anche arp va bene però solo se è stato assegnato anche un indirizzo IP).
    .
    Forse come dice Alessandro con queste prove non vado da nessuna parte, ma ormai il soggetto mi intriga e voglio capire fino a che punto possono contribuire alla sicurezza (tutto sommato gli esperti della sicurezza sono ben retribuiti. Beh! qualche volta anch'io penso al profitto :-)).
    Ciao
    venerdì 9 marzo 2018 22:11
  • [cut]
    Perdonami ma devo solo corregerti una inesattezza, non è possibile che esistano due schede di rete con lo stesso indirizzo MAC, né all'interno dello stesso computer, né all'interno della stessa LAN, né infine sul pianeta Terra(!). Infatti il mio computer assegna alla scheda virtuale lo stesso indirizzo della scheda fisica associata con l'ultima cifra incrementata di uno.
    [cut]

    Sono assolutamente d'accordo con te, mi sono spiegato male, attraversando la pila iso/osi all fine sia arriva al mac condiviso (quello fisico) e non so come venga gestita la cosa, lo stesso hostednetwok, deve essere implementato nel driver perchè funzioni e come sicuramente saprai per fare della packet injection nei penetration testing, bisogna avere la scheda wireless giusta.

    Ritornando indietro nel tempo, mi sono ricordato di aver seguito microsoft research, quando aveva rilasciato i primi driver con multiple ssid, memore della genesi, ecco il da dove era partito il tutto https://www.microsoft.com/en-us/research/project/virtualwifi/  sicuramente c'è qualcosa di utile

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    venerdì 9 marzo 2018 23:15