Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Zeroshell vs Internet Of Things

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
xavier



Registrato: 23/02/14 22:19
Messaggi: 103

MessaggioInviato: Sab Gen 30, 2016 11:03 pm    Oggetto: Zeroshell vs Internet Of Things Rispondi citando

Ora che l' "Internet delle Cose" si fa sempre più diffusa, sorge un problema di fondo con ZeroShell.

La scuola di pensiero "classica" consiglia di creare reti separate per i dispositivi cablati e per quelli wireless.

A questi ultimi si antepone un captive portal, con le opportune regole di firewall si blocca l'accesso alla rete cablata e tutti siamo felici e contenti.

Purtroppo il diffondersi di interfacce *solo* *wifi* costringe un po' a rivedere questa filosofia.

La stampante con supporto ai tablet piuttosto che la Chromecast che controlla il videoproiettore della scuola vengono registrati fra i Free Authorized e così si rimanda il problema, ma la domanda principale è: siamo ragionevolmente sicuri che le sole regole di Free Authorized siano sufficienti oppure c'è il rischio che un client che si logga attraverso il captive portal possa in qualche modo interagire con essi ?

Questa domanda me l'ha posta ieri un docente ed il dubbio mi resta...
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Dom Gen 31, 2016 12:28 pm    Oggetto: Rispondi citando

Credo ci siano altre considerazioni da fare.... Il CP, permette, dopo l'autenticazione, di andare 'oltre' ZS, ma per quanto riguarda il 'prima'....
Con il wifi, una volta che un device/user è autenticato (WPA2, PSK o Enterprise), tale device 'entra'in un dominio di broadcast, ed anche senza autenticarsi sul CP, con qualche tool, tipo IP scanner, o direttamente con nmap, può vedere tutti dispositivi facenti parte di tale dominio (spesso basta anche un ping di broadcast, e dopo i primi 2 timeout, andarsi a vedere le voci arp nel pc, arp -a).
Conviene usare APs che supportino i multi SSIDs con vlan tagging e client isolation, si crea un SSID per chi deve solo navigare (mappato su una vlan specifica, e sulla quale può essere in ascolto il CP) piu' altri SSID, su altre vlans, per differenti usi......
ciao
Top
Profilo Invia messaggio privato
xavier



Registrato: 23/02/14 22:19
Messaggi: 103

MessaggioInviato: Dom Gen 31, 2016 9:15 pm    Oggetto: Rispondi citando

redfive ha scritto:
Conviene usare APs che supportino i multi SSIDs con vlan tagging e client isolation


Ottimo suggerimento, lo terrò a mente nelle future installazioni

In quella attuale sarebbe un problema sostituire gli access point perché sono dei TP-Link WR702N incassati in scatole a muro giuste a misura.

Il modello successivo, il WA801ND, è troppo grande anche staccando le antenne, ed il Planex MZK-MF150 sembra essere fuori produzione.

Ma intanto mi hai aperto una strada, grazie.
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 772

MessaggioInviato: Dom Gen 31, 2016 9:37 pm    Oggetto: Rispondi citando

Ti consiglio di dare un occhiata allla serie UniFi di Ubiquiti ....
Gli AC 2nd Gen., come l'AC LR, sono abbastanza completi ed a gestione centralizzata....
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it