Sicurezza delle VPN

[LS1987]

Buonasera, vorrei avere qualche informazione sulla sicurezza delle VPN. So che le VPN sono delle sottoreti logiche che servono per "segregare" parte del traffico, vorrei sapere se resistono agli attacchi contro la disponibilità delle risorse (es: denial of service) più di una rete "piatta" e se garantiscono per davvero maggiore sicurezza, in modo che un utente locale che non fa parte della VPN non possa accedere (so che esiste ad esempio il MAC Spoofing che potrebbe permettere un acceso non autorizzato alla VPN).
Possono aumentare anche la sicurezza nei confronti degli attacchi esterni?

[xcdegasp]

dovrebbero fare qualcosa di più del mac spoofing visto che le vpn solitamente sono criptate da scambio di chiavi
vpn la vpn se ben configurata (secure vpn) permette lo stesso grado di sicurezza di una rete dedicata.

[LS1987]

Quote:

Originariamente inviato da xcdegasp

dovrebbero fare qualcosa di più del mac spoofing visto che le vpn solitamente sono criptate da scambio di chiavi
vpn la vpn se ben configurata (secure vpn) permette lo stesso grado di sicurezza di una rete dedicata.

Il MAC spoofing potrebbe essere effettuato prima dello scambio delle chiavi.

[xcdegasp]

ok ma rimane da effettuare lo scambio di chiavi in ogni caso e devi possedere la chiave privata altrimenti ciccia, il mac spoofing è un attacco comunque bloccabile dalla nat o firewall sia del router che firewall software lato server/workstation/pc

cosa ti da certezza che un semplice attacco di mac spoofing ti faccia entrare in una vpn?
sei sicuro di parlare di vpn e non di una semplice connessione wi-fi protetta?

[LS1987]

Quote:

Originariamente inviato da xcdegasp

ok ma rimane da effettuare lo scambio di chiavi in ogni caso e devi possedere la chiave privata altrimenti ciccia, il mac spoofing è un attacco comunque bloccabile dalla nat o firewall sia del router che firewall software lato server/workstation/pc

cosa ti da certezza che un semplice attacco di mac spoofing ti faccia entrare in una vpn?
sei sicuro di parlare di vpn e non di una semplice connessione wi-fi protetta?

Al massimo posso confondermi con l'ARP spoofing, che serve per poter ricevere pacchetti che vengono inviati ad altri, effettuando un MAC spoofing, ma sto pensando ad una sottorete protetta (VPN), accessibile solo dai PC della rete che hanno un certo MAC (anche se mi viene un dubbio su come fare in caso di rottura della scheda di rete (sempre con il MAC spoofing?), ma lo tralasciamo).
Bisogna possedere la chiave privata per decifrare i messaggi inviati dagli altri. Supponendo che ci siano dei messaggi inviati in broadcast sulla VPN, se lo scambio delle chiavi viene effettuato male (invio della chiave del nodo coordinatore in chiaro), sarebbe comunque possibile leggere i messaggi inviati dal nodo coordinatore (so che in una VPN può anche non esistere un nodo coordinatore, però ne parlo perché ci sono alcune reti in cui alcuni pacchetti vengono inviati in broadcast, per dare informazioni (eventualmente riservate) agli utenti. A seconda dell'algoritmo di cifratura, potrebbe essere possibile craccare la chiave mediante forza bruta.

E' invece possibile effettuare un attacco di tipo denial of service ad una VPN? Anche da remoto?

[xcdegasp]

edit doppio post

[xcdegasp]

quello è semmai un altro attacco ma la vpn è a se stante, non useresti la arp interna alla tua lan

per me non stai parlando di vpn bensì di reti isolate in dmz alle quali accedi semplicemente con socks.

per accedere alla vpn tu contatti un server che eroga quel servizio specifico, se fai un denial of service a quel server, se non ci fossero contromisure, potresti interrompere l'erogazione di tale servizio, ama la rete alla quale si riferisce la vpn non verrebbe minimamente interessata dal problema.

il server che eroga il server-vpn di norma è in un altra rete rispetto al client ma non è necessario, può essere in un altro stato come può essere una microrete della propria lan.
l'attacco sarà per forza da remoto a meno che tu non alavori sul medesimo server che ero il servizio vpn, dove per remoto intendo il significato letterale cioè da altra macchina

[LS1987]

Quote:

Originariamente inviato da xcdegasp

quello è semmai un altro attacco ma la vpn è a se stante, non useresti la arp interna alla tua lan

per me non stai parlando di vpn bensì di reti isolate in dmz alle quali accedi semplicemente con socks.

per accedere alla vpn tu contatti un server che eroga quel servizio specifico, se fai un denial of service a quel server, se non ci fossero contromisure, potresti interrompere l'erogazione di tale servizio, ama la rete alla quale si riferisce la vpn non verrebbe minimamente interessata dal problema.

il server che eroga il server-vpn di norma è in un altra rete rispetto al client ma non è necessario, può essere in un altro stato come può essere una microrete della propria lan.
l'attacco sarà per forza da remoto a meno che tu non alavori sul medesimo server che ero il servizio vpn, dove per remoto intendo il significato letterale cioè da altra macchina

Remoto intendo attacco da un'altra rete (magari attacco da Internet). Se però viene effettuato un denial of service prima del collegamento degli altri client, la VPN non può essere utilizzata (rimane vuota).

Ho usato il termine VPN, perché non sono certo che fisicamente i PC si trovino nella stessa rete (altrimenti si potrebbe fare una DMZ crittata).

[xcdegasp]

ma tra vpn e dmz criptata c'è un abisso..

vpn è un tunneling tra una rete X e un altra rete Y che ti consente di operare nell'altra rete come se tu fisicamente fossi in Y.
la rete in cui cadi non per forza deve essere virtuale può benissimo essere una rete fisica e popolata da macchine fisiche che risiedono al suo interno, in questo caso un dos non la svuoterebbe tutt'al più la rende irragiungibile se l'attacco va a buon fine.

questa rete non sarebbe comunque una dmz semmai è solo segregata e raggiungibile solo da quel punto di accesso costituito dal server vpn.

tu probabilmente per vpn prendi come esempio hamachi che crea questa interconnessione tra pc differenti instaurando una lan privata e criptata. sì è vero è una vpn, un attacco ai server himachi la renderebbe inusabile "cancellando" la partizione virtuale assegnata alla vpn che avete generato.
puoi fare l'attacco dos da internet perchè da internet è accessibile la vpn.

ma la vpn è nata per scopi aziendali come accesso remoto per i dipendenti che lavorano dal proprio domicilio e in questo caso la vpn li catapulta all'interno della reale rete aziendale, un attacco dos al server vpn può rendere questo punto d'accesso non disponibile.
il resto delle rete rimane perfettamente funzionante.
ovviamente un mac spoofing o arp spoofing eseguito nella lan del domicilio o su internet vero il router del dipendente non porterebbe a violare la vpn.
nemmeno possedere il certificato per accedere alla vpn ti darebbe il lascia passare perchè in genere serve solo per instaurare un primo collegamento poi c'è l'autenticazione con il profilo di dominio

una vpn può essere anche realizzata all'interno della stessa rete aziendale per collegare una vlan segregata che non deve essere disponibile e visibile, quindi per gestire le macchine al suo interno le solu zioni sono solo due:
a) accesso tramite vpn (può essere anche solo accessibile solo dalla lan)
b) accedere fisicamente al locale che ospita quelle macchine


la dmz ha degli scopi differenti.

[LS1987]

Quote:

Originariamente inviato da xcdegasp

ma tra vpn e dmz criptata c'è un abisso..

vpn è un tunneling tra una rete X e un altra rete Y che ti consente di operare nell'altra rete come se tu fisicamente fossi in Y.
la rete in cui cadi non per forza deve essere virtuale può benissimo essere una rete fisica e popolata da macchine fisiche che risiedono al suo interno, in questo caso un dos non la svuoterebbe tutt'al più la rende irragiungibile se l'attacco va a buon fine.

questa rete non sarebbe comunque una dmz semmai è solo segregata e raggiungibile solo da quel punto di accesso costituito dal server vpn.

tu probabilmente per vpn prendi come esempio hamachi che crea questa interconnessione tra pc differenti instaurando una lan privata e criptata. sì è vero è una vpn, un attacco ai server himachi la renderebbe inusabile "cancellando" la partizione virtuale assegnata alla vpn che avete generato.
puoi fare l'attacco dos da internet perchè da internet è accessibile la vpn.

ma la vpn è nata per scopi aziendali come accesso remoto per i dipendenti che lavorano dal proprio domicilio e in questo caso la vpn li catapulta all'interno della reale rete aziendale, un attacco dos al server vpn può rendere questo punto d'accesso non disponibile.
il resto delle rete rimane perfettamente funzionante.
ovviamente un mac spoofing o arp spoofing eseguito nella lan del domicilio o su internet vero il router del dipendente non porterebbe a violare la vpn.
nemmeno possedere il certificato per accedere alla vpn ti darebbe il lascia passare perchè in genere serve solo per instaurare un primo collegamento poi c'è l'autenticazione con il profilo di dominio

una vpn può essere anche realizzata all'interno della stessa rete aziendale per collegare una vlan segregata che non deve essere disponibile e visibile, quindi per gestire le macchine al suo interno le solu zioni sono solo due:
a) accesso tramite vpn (può essere anche solo accessibile solo dalla lan)
b) accedere fisicamente al locale che ospita quelle macchine


la dmz ha degli scopi differenti.

Se la VPN diventa irraggiungibile i nodi iniziano a comunicare in chiaro? In caso di risposta affermativa le comunicazioni dei nodi potrebbero essere intercettate.

Se la VPN è solo locale, teoricamente si potrebbe accedere prima alla VLAN segregata e poi alla VPN.
Un attacco di forza bruta sulle chiavi è possibile, avendo 20 Teraflops a disposizione? (Spero di no)

[xcdegasp]

se la vpn smettesse di funzionare la comunicazione del clint e il server si interromperebbe istantaneamente e le informazioni inviate a vuoto sarebbero comunque criptate inquanto incapsulate precedentemente dal client

cosa intendi per vpn locale? intendi l'esempio di vpn interna alla lan? la vlan segregata è irragiungibile per sua natura fuori dalla vpn inquanto proprio una rete a sè.
se fosse una vlan di desaster recovery questa sarebbe stata concepita per essere messa operativa all'interno della lan qualora si verificasse un evento tragico, ovviamente comporta un certo numero di oerazione tra cui spegimento degli attuali domain controller attivi, cambiamento di switch, partenza dei domain controller specifichi e via dicendo ..

per me una vlan segregata non è una dmz ma proprio un ambiente stagno dove l'unico collegamento è questo "canale di scolo" cioè la vpn.

l'unica maniera che avresti è entrare nella lan e fare un attacco di forza bruta sul server vpn che però non possiede la chiave privata del client, quindi ricaveresti solo metà delle informazioni necessarie.
ma in ogni caso per essere operativo all'interno della lan dovresti avere un utenza di dominio cosa che ti manca, e non un utenza di dominio qualsiasi ma un utenza abilitata all'accesso alla vpn inoltre devi conoscere quale client può avere accesso a quella vpn perchè sarà anche quello che possiede la chiave privata necessaria.
la potenza è nulla senza controllo e l'attacco di forza bruta è facilmente bloccabile quindi la strada non è corretta

sì potresti pensare di agire fisicamente all'interno della lan segregata ma a questo punto non credo perderesti tempo a provare a uscire attraverso la vpn perchè presumibilmente il servizio sarà in ascolto solo verso la lan aziendale e non dentro la vlan segregata