[Ninux-Wireless] Risultati smanettamento di ieri al Giovedì Nerd a Roma
nemesis
nemesis a ninux.org
Mar 24 Set 2013 15:12:14 CEST
On Tue, 24 Sep 2013 14:43:42 +0200, leonardo <mail a leonardo.ma> wrote:
> On 09/20/2013 07:13 PM, Nemesis wrote:
>>
>> Mi sembra alquanto limitante per un software che mira ad essere
>> flessibilee configurabile ed utilizzato da molte realtà. Io ad
>> esempio
>> lo sto già utilizzando a lavoro per alcune coseche non c'entrano
>> nulla
>> con ninux e questo mi da la possibilità di lavorarci di più.
>
> Se sviluppi cercando di mantere un occhio di riguardo per la
> sicurezza,
> ti devi sempre immaginare gli scenari problematici. Ad esempio, se te
> salvi le credenziali in chiaro e qualcuno entra nel tuo server (o
> trova
> una vulnerabilità nella tua applicazione) ha in mano tutte le
> password
> di tutti gli utenti che l'hanno salvata. Considerando che spesso la
> gente ri-usa le password, rischi di essere un single point of failure
> che può portare molti danni e molti utenti incazzati.
>
>> * poter disabilitare lo storage delle credenziali da
>> configurazione
>> * cifrare le pwd con un algoritmo asimmetrico e rendere
>> impossibile la
>> decrittazione via interfaccia web
>
> Se chi ti attacca ha accesso al server non serve, la chiave privata
> deve
> stare sul server, altrimenti non la puoi utilizzare. L'attaccante si
> prende la chiave e decifra le password. Se salvi le password altrove
> devi comunque avere un modo per richiederle quando servono, e lo può
> fare anche l'attaccante.
>
> Quindi, qualsiasi cosa tu voglia fare, è insicuro salvare le password
> in chiaro, o cifrate. Al limite hashate (con salt), ma cosi' non le
> puoi
> utilizzare come vuoi te.
>
>> * inseriresolo credenziali readonly
>> * usare SNMP, MUNIN, oppure un API HTTP readonly
>> * far salvare la chiave SSH del server dentro al device, così come
>> fa
>> AirControl ad esempio
>
> Io non vedo una soluzione pulita che non coinvolga un po' di
> configurazione sui nodi. Se puoi fare qualche assunzione su cosa è
> installato sui nodi, è tutto più facile (a partire da quelle
> soluzioni
> che hai citato).
C'è una lista di classi "puller" disponibili che si possono scegliere,
bisogna scrivere delle classi AdHoc per ogni metodo/firmware che si
vuole adottare es: (SNMP per AirOS, SSH per OpenWRT, Munin per OpenWRT
ecc).
Soluzioni facili non ce ne sono, però con un pò di iterazioni e lavoro
si può arrivare a qualcosa di usabile e soddisfacente. Sicuramente
meglio che inserire tutto a mano, che comunque sarà possibile per chi lo
vorrà!
Ti vengono in mente altre idee?
Federico
Maggiori informazioni sulla lista
Wireless