[Ninux-Wireless] NodogSplash e Traffic Control

[Michele Salerno]

Il 15 settembre 2016 16:26, Elena ``of Valhalla''
<valhalla-l a trueelena.org> ha scritto:
> On 2016-09-14 at 19:16:43 +0200, Michele Salerno wrote:
>> > Un altro caso è bloccare il traffico verso la propria rete privata.
>> > Oppure il traffico che proviene dalla propria rete privata.
>> >
>> Non condivido il pensiero, la mia LAN di Ninux è la LAN che uso in
>> casa, non ho altre LAN separate.
>> Se sul mio pc di casa metto in shared una cartella, tu sull'altro nodo
>> la vedi, se mi fai una scansione con nmap vedi tutti i miei device.
>> A me sta bene così in quanto come me altri nunuxer non credo abbiano
>> spasmi di cracker.
>
> questo mi pare un po' pericoloso: anche io credo che gli altri membri
> della comunità ninux non abbiano intenti malevoli, ma le antenne della
> rete ninux sono comunque aperte a chiunque senza nessuna autenticazione
> (vedi picopeering agreement) e quindi ci si potrebbe collegare chiunque,
> anche non membro della comunità e con intenti malevoli.
>
> Del resto chiunque potrebbe, anche per errore, installare qualcosa che
> disturba, mi viene in mente come esempio assolutamente casuale¹ un
> secondo DHCP, magari che fornisce dati sbagliati. Già quello mi pare un
> buon motivo per tenere separate le due reti.
>
Sarei curioso di capire come usate la rete Ninux se la tenete separata
dalla Vs. LAN.
Viene tenuta in una DMZ?
Nel mio caso ho la BackBone su 172.27.0.x/16
La mia LAN 10.27.0.0/24
L'interfaccia di hotspot su 192.168.20.0/24 alla quale è negato
l'accesso sua sulla LAN che sulla Backbone.
Sul mio PC winzoz un minimo di antivirus c'è e cmq spesso controlli i
processi etc...
L'interfaccia del router è quasi sempre aperta sul mio pc, anche
perchè tra 1000 prove...la devo tenere per forza aperta.
Forse nella mia realtà dove siamo ancora in pochi...se non
pochissimi....non mi sono posto il problema di tenere a bada 200 nodi,
forse mi sarei messo un paio di firewall in cascata!

> ¹ tipo mi è successo stamattina sulla rete di casa :)
>
??


>> > Filtrare il traffico è BRUTTO, per il semplice motovo che vi prendete la
>> > responsabilità dei pacchetti che passano sul voltro nodo.
>> >
>> Sto concetto non mi è chiaro:
>> Se metto una Ubiquiti Bullet M2 con una antenna omnidirezionale da 150
>> cm sul mio tetto senza password, io sono SEMPRE responsabile di ogni
>> pacchetto che transita dal mio router verso Internet. [...]
>
> questo vale qualunque sia la fonte di quel traffico, sia che arrivi da
> un hotspot sul tuo tetto che dalla rete ninux, ed è un rischio che ci si
> prende nel momento in cui si decide di condividere la propria
> connessione ad internet casalinga.
>
> Poi è probabile che il tribunale dichiari innocenti del reato commesso
> (ma a seconda di come si son svegliati negli ultimi mesi i legislatori
> potrebbe essere tornato illecito fornire accesso ad internet senza
> identificare gli utenti), ma in ogni caso nel frattempo la polizia è
> arrivata e l'indagine è partita dal titolare del contratto.
>
> Per questo i filtri non servono a molto: ci sono tantissimi reati che è
> possibile commettere senza essere bloccati dalle solite blacklist.
>
> Che io sappia, l'unico vero modo per non correre questo rischio è che a
> condividere la connessione non sia un privato, ma un'entità legale che
> goda delle opportune protezioni di legge ad esempio perché considerabile
> ISP.
>
>> > Oltretutto filtrare è oneroso in termini di risorse.
>> > Esistono delle librerie (opencv). che trovano facce in un immagine, o targe
>> > di auto, oppure GATTINI, [...]
>> > Per filtrare i pacchetti in maniera efficente il vostro nodo deve girare su
>> > di un vero computer con prestazioni adeguate.
>> E' un discorso un po' eccessivo!
>
> beh, filtrare con una manciatina di blacklist non occupa molte risorse,
> ma è anche estremamente inefficace e lascia passare numerosi contenuti
> che si vorrebbero fermare.
>
> filtrare con sistemi più sofisticati come quelli citati qui sopra occupa
> molte più risorse, è più efficace nel senso che blocca molte più cose,
> ma di solito causa anche molti più falsi positivi, censurando anche
> contenuti particolarmente sensibili ed importanti (vedi l'approccio
> facebook).
>
>> > Filtrare è oneroso in termini legali. [...]
>> Qualsiasi cosa che transita sulla linea ADSL l'unico responsabile
>> SEMPRE è chi ha sottoscritto l'abbonamento ADSL.
>
> in teoria la responsabilità dei reati è personale (poi come tutto ciò
> che è correlato coi diritti umani ultimamente si tende un po' a trovare
> eccezioni).
>
> Chi ha sottoscritto l'abbonamento ADSL è di sicuro il primo punto da cui
> partono eventuali indagini, e probabilmente è legalmente tenuto a fare
> il possibile per aiutarle ed aiutare ad identificare il responsabile.
>
> Fino a dove questa responsabilità arrivi non è chiarissimo, e non è
> assurdo pensare che a chi fornisce un accesso pesantemente filtrato e
> censurato possa essere chiesto di fare di più in tale senso.
>
>> [...]

Non fa una piega il tuo discorso...

>> Le AP non hanno un DHCP attivo sulla BackBone e chi si collega tra
>> virgolette lo conosco in quanto un altro ninuxer.
>
> beh, ma l'assenza di un DHCP non è un vero ostacolo per collegarsi ad
> una rete: un'occhiata in giro (magari anche al traffico) e le
> impostazioni si trovano.
>
> soprattutto se si hanno già intenzioni illegali, e quindi pochi
> scrupoli.
>
>> [...]
>
Vero, ma uno ci deve venire con l'intenzione malvagia, non un
crackerino che si trova di passaggio...


>> Mr. XX (Bean lo conosco) seduto sulla panchina vede un sid aperto
>> "hotpost ninux", si collega....si apre il browser con una splashpage
>> che spiega in breve cosa è Ninux, dice che la navigazione è limitata
>> solo ed esclusivamente per la Posta e Web tradizionale (wikipedia,
>> facebook, google, etc...). Quando clicca su ACCETTA viene indirizzato
>> sul sito http://basilicata.ninux.org/
>
> e con questo ha a disposizione le risorse per commettere tutta una serie
> di reati, dall'inviare mail truffaldine (a singole persone, non
> necessariamente l'invio iniziale di massa) ad harrasment / stalking ecc.
>
> in compenso, visto che hai intenzione di effettuare anche censura di
> attività che sarebbero legali (porno), a seconda delle blacklist usate
> potrebbero non avere accesso a numerosi contenuti correlati alla salute.
>
> Non sei fornitore di accesso, e quindi hai tutto il diritto di censurare
> quello che vuoi, ma secondo me non è un metodo efficace per i tuoi
> obiettivi e per contro ti pone in una posizione moralmente opinabile.
>
>> Dopo 30 min di inattività vieni disconnesso, dopo 2 ore di attività
>> idem...non devi "lavorare" con la mia ADSL...per modo di dire!
>
> Dopodiché uno cambia mac address e si ricollega, giusto?
>
>> [...]
>

A sto punto invece di mettere una blacklist si fa una witeliste...hai
accesso solo su
*.ninux.org
*repubblica.it
*gmail.com
*google.com
*ansa.it
etc...

>> Lo scopo è solo quello della promozione di Ninux dando un semplice,
>> banale accesso ad internet ma prevenire e tutelare chi mette il
>> servizio a disposizione di sconosciuti, negando al 100% l'accesso alla
>> rete Ninux perchè deve essere tutelata anche quella da sconosciuti.
>
> ma la rete ninux per sua natura è già aperta verso sconosciuti
>
Per me voi della ML, della chat di telegram, amici che hanno messo e
stanno mettendo nodi....non siete sconosciuti, anche se non ci
conosciamo personalmente.

L'idea di hotspot mio è solo pubblicitario e non di fare WISP ne
accesso con voucher ne altro..
In modo preventivo bloccare porte tipo torrent, ssh, telenet, etc...
bloccare alcuni siti, ho citato il porno...il ragazzino segaiolo se lo
deve vedere a casa sua...
Limitare la banda per non saturare e non limitare le proprie risorse...

Nel pub ci si va con amici a bere una birra, a mangiare un
panino...non si va a fare cracking
Per cui tutto questo pericolo non lo vedo.
Inviare una mail, ricevere una mail...un messaggio su whatsapp, fare
il check-in su fb e cazzatine del genere ci stanno!
E' normale che dove c'è un numero elevato di client etc...l'hotspot
non lo fai con il routerino usato per Ninux ma ci metti almeno un
pfsense, proxy etc...ma diventa una struttura più complessa da
studiare a tavolino.
Ma dove la copertura wifi arriva al vicino di casa, al cliente seduto
al tavolo etc...non la vedo una cosa da alto rischio, chiaramente non
dando accesso alla rete interna.

Michele