[Ninux-Calabria] Sicurezza tra le antenne - chennepensate??
Stefano De Carlo
stefanauss a gmail.com
Ven 16 Gen 2015 12:01:26 CET
Il 16/01/2015 11:38, Danilo Larizza ha scritto:
>
> Basta cercare un po su google...e si trova...IP antenna e IP rete casalinga...
>
... e si installa OLSR... ed è dentro Ninux...
> Non pensate sia un po "insicura" la situazione?
>
> Io...come leggete dall'altra mail ... separerò il tutto con qualche regoletta...ma comunque il lato ninux e' esposto.
>
*Deve* essere esposto! È l'intero punto della questione.
*Devi* chiederti, cosa ti interessa proteggere?
> Opinioni? Soluzioni? Indicazioni?
> Wpa? lock su mac address?
>
> dite dite :)
Wpa e lock su mac address sono la morte di Ninux se fatte per "sicurezza". Anche se non lo sono da un punto di vista tecnico (non è che non puoi mesharci), lo sono da un punto di vista sociale e simbolica perché costituiscono una barriera d'ingresso supplementare, *non necessaria*. Sono una soluzione tecnica che punta in direzione opposta al messaggio che dai.
E, semplicemente, è falsa sicurezza. Non stai sicuro perché metti WPA e Lock MAC Address. Dunque nessuna reale sicurezza (anzi, peggio: falsa sensazione di sicurezza) e costo psicologico per chi vuole entrare nella community attraverso te.
Tralasciando questo discorso e tornando alla domanda di cui sopra.
Tu mi sembra vuoi proteggere
- Le pagine LuCI
- La tua LAN interna
Per la prima, imposta il webserver uhttp per accettare connessioni solo dalla tua LAN interna, piuttosto che da qualsiasi IP, su qualsiasi interfaccia.
http://wiki.openwrt.org/doc/uci/uhttpd#securing_uhttpd
Nota che questa è sicurezza "reale", perché non conta che la strada sia libera a livello di networking, è il software a non essere proprio programmato per rispondere ad un attaccante.
Altra cosa che puoi fare è cambiare la porta di default di LuCI, per sfuggire ad eventuali scan automatici e alla politica sei-dentro-di-default.
Per la seconda, visto che mi pare che tu separi la tua lan ninux dalla tua lan privata-casalinga, semplicemente imposti una policy di blocco completo di default e poi selettivamente apri le comunicazion che ti occorrono.
E lo stesso vale qualora tu renda la tua lan ninux la tua lan casalinga (come la maggior parte sceglie di fare). Blocchi tutto per default e poi selettivamente consenti.
Stefanauss.
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome: signature.asc
Tipo: application/pgp-signature
Dimensione: 819 bytes
Descrizione: OpenPGP digital signature
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20150116/358bdbe7/attachment-0001.sig>
Maggiori informazioni sulla lista
Calabria