Tweet
4 - Il link
La scelta del link - come già anticipato nella parte 1 - è il cuore del buon funzionamento della remotizzazione. Per comodità di trattazione, esamineremo per prima cosa il mezzo, dopodi chè gli endpoint, parte comune a tutti.
Iniziamo a parlare della connettività via cavo. E' noto che il punto debole delle ADSL è l'upload, no way. In condizioni ottimali, e dico ottimali, possiamo strappare un upload di 1 mb/s accettabilmente costante. Distanza dalla centrale ADSL, assenza di correnti di modo comune del nostro sistema HF, marca e modello del router giocano un ruolo determinante.
Penso che quasi tutti sappiano le frequenze della ADSL. Le riporto per comodità:
La ADSL normale (fino a 7 mega) arriva fino a 1,1 MHz. La 2+ (variabile tra 7 e 24 Mb/s) fino a 2,2 MHz. Fortunatamente per noi, pochissime centrali supportano la VDSL che toccherebeb i 30 MHz. Nessuno esclude però che sia usata in point to point tra le varie centrali, quindi se avete noise, magari un giretto con una radio cinese da 10 euro che pretende di ricevere le onde corte, vi toglie la curiosità.
Va quindi in primis DOWNGRADATA la ADSL lato remoto a ADSL 7/1, sia per una questione di disturbi in 160 metri, sia per una questione di stabilità. Tanto l'upload non vi cambia e in download ne avete d'avanzo. Ne gioverà molto la costanza e il jitter dell'upload, con ping più bassi e costanti come latenza. Ricordate che per un'ottima qualità audio non conta tanto se il ping sia basso o alto, quanto che sia costante. Il voip digerisce male sbalzi di latenza.
Dopodichè si lavora di fino su qualità della presa e del doppino entrante, rimozione di qualsiasi splitter, ispezione di eventuali condensatori parallelati nelle prese telefoniche, circuiti di ritorno ed esclusione dei derivati. Non deve esserci nulla, e tutti i contatti devono essere di ottima qualità e pulizia.
In ultima analisi si aggiorna il firmware del router all'ultimo disponibile (un mio cliente è passato da un upload di 0,18 a un upload di 0,96) e si cancella qualsiasi configurazione precedentemente fatta sul router sostituendola con quella e solo quella necessaria alle nostre esigenze.
Non cedete alla tentazione di mettere il vostro computer o il vostro remoterig in DMZ a meno che non siate perfettamente coscienti di ciò che state facendo.
Il lavoro di pulizia va fatto da entrambi i lati, ad eccezione dello splitter lato "radio" necessario per telefonare senza il fastidioso fruscio della ADSL.
Avendo invece un link wireless, andranno scelte antenne ad alta direttività (i miei favoriti sono i pannelli con 4° di apertura del lobo) anche se il link è corto: meno apertura avete, meno sporcizia riceverete. Va fatto uno scan preventivo per le frequenze usate, dopodichè si trova una frequenza libera, si attiva il DFS e ove possibile si regola il link per un livello di ricezione tra -70 e -60 e una CCQ almeno del 98%.
Le apparecchiature da me usate per queste tipologie di link sono le mikrotik. Chiaramente ognuno può utilizzare ciò che più gli aggrada, ma la potenza di controllo che offrono le mikrotik non le offre nessun apparato wireless al mondo.
Mikrotik non è solo wireless, sono anche router/firewall solo ethernet che io abitualmente metto almeno da un lato del link fatto con ADSL in modo da garantirmi sicurezza assoluta nel controllo di "chi entra da dove".
- link sicuri e link volemose bene
Un link tra due punti può essere più o meno sicuro. Nel momento in cui vi esponete su internet tutto può essere più o meno sicuro. Analizziamo i link che mi piacciono di più, i volemose bene
Abbiamo uno scenario tipico: remoterig + ADSL con router di mamma telecom lato server remoto, il client non lo prendiamo in considerazione perchè non espone porte. Il server si affaccerà con la 13000,13001,13002 UDP sull'IP pubblico, per forza, perchè devono essere raggiungibili per iniziare la sessione. Un ragazzino di 14 anni annoiato fa lo scan un range di IP italiano in cerca del trojan senna spy (che guarda caso usa la 13000 UDP) per divertirsi con qualche sistema compromesso e trova voi. Vedendo che la porta non risponde ai comandi, pensa bene di floodare la porta con qualche mb per vedere se dia segni di vita.
Senza regole IP, il vostro collegamento remoto va a farsi benedire
Secondo caso, molto peggiore: il ragazzino vede una 3389 (desktop remoto) e una 554 (video streaming) più la porta 7805 di hamradiodeluxe, che lui non sa che è hamradiodeluxe, e chissà che diavolo pensa che sia. Apriti cielo. Li si passa da un blocco permanente del PC remoto
http://www.youtube.com/watch?v=xrrBkLTXjtE
a un attacco brute force sul video stream per user e password, o cgi exploit sulla webcam. Again, siete "morti".
Per non parlare di quelli che usano per hamradiodeluxe user e password identici (call radioamatoriale) o user call password nome o icom o remoto o yaesu o facilmente indovinabili.
A livello wireless, la cosa è ancora più elementare. Non entro in dettagli in quanto io sono come si dice in gergo "antisec", ossia non divulgo in maniera esplicita metodi di attacco. Basti solo pensare che in mancanza di misure di sicurezza serie, mappare un rete wireless e agire come se si fosse fisicamente connessi allo switch di rete con un cavo, è molto semplice.
Cosa distingue un link serio da un volemose bene ? Nel mio lavoro di setup di stazioni remote il tuning se richiesto dal cliente varia sempre caso per caso, ma le linee guida basilari sono:
- in caso di link via ADSL, la tecnica chiamata "port knocking": un firewall mikrotik piazzato lato server aspetta una chiamata su una porta TCP, chessò
http://iz5cml.dyndns.org:12675 .
A quel punto il firewall, che di default nega tutto, accetta connessioni in ingresso SOLO dall'IP originante la chiamata a quella porta per diciamo 4 ore. A quel punto si accende la stazione client e si opera in tutta tranquillità, in quanto chiunque faccia una scansione dall'esterno non vedrà una beata mazza (drop by default).
Se c'è qualcuno di voi che sta pensando che una VPN sia la risolutrice di tutti i problemi, sappiate che gli attacchi brute force sulle VPN da parte di IP dell'est sta aumentando a dismisura, e ogni tentativo è un drop audio significante. E ne provano anche 5 al secondo.
- in caso di link wireless, di solito adopero una /30 (ossia due IP che si "vedono" solo tra di loro e non accettano nessun'altro IP nel loro insieme), insieme a un paio di ip /24 "normali" tanto per confondere le acque, VLAN e tunnel EoIP sui quali tiro su una VPN per rendere impossibile l'analisi del traffico. La VPN essendo interna non ha problemi di attacco dall'esterno. Inoltre regole di sistema a monte avvisano via email se un'altro MAC address tenta di connettersi o si è connesso al link.
Non fate mai l'errore di comprare un link radio che non operi in modo AP bridge per risparmiare una ventina d'euro. La differenza tra "bridge" e "AP bridge" è che l'AP bridge accetta più di una stazione client connessa, quindi un eventuale attaccante sarà connesso INSIEME a voi. La modalità bridge consente UN SOLO client. Se un attaccante entra, o anche un pinco pallino che non vuole attaccare ma si è solo connesso per sbaglio, vi butta fuori e sarà molto difficile rientrare, o quanto meno sarà un'altalena continua.
Avere un box mikrotik poi consente molte altre finezze: prioritizzare il traffico sulle porte della stazione remota e riservare adeguata banda garantita e intoccabile, loggare ( ) gli IP di eventuali "scannatori" casuali del nostro IP, azionare relè, monitorare la tensione dell'UPS, e dulcis in fundo, comandarla via seriale con un link a 9600 bps in 144 MHz per riprendere il controllo del sistema. When all else fail, fire up the real radio
Se avete avuto la pazienza di leggere fino qui, complimenti. Sto sintetizzando al massimo, credetemi. Ma spero che chi legga capisca cosa c'è dietro (e questa è la minima parte) quando sento dirmi "eccheccevò a fa na stazione remota ! Piji du scatolette...."
In chiusura del post, due chicche:
- utilizzo della porta 13000 nell'ultimo mese
- attacco in locale al server remotehams.com sul mio PC, crash dopo 30 secondi nemmeno
73,
La scelta del link - come già anticipato nella parte 1 - è il cuore del buon funzionamento della remotizzazione. Per comodità di trattazione, esamineremo per prima cosa il mezzo, dopodi chè gli endpoint, parte comune a tutti.
Iniziamo a parlare della connettività via cavo. E' noto che il punto debole delle ADSL è l'upload, no way. In condizioni ottimali, e dico ottimali, possiamo strappare un upload di 1 mb/s accettabilmente costante. Distanza dalla centrale ADSL, assenza di correnti di modo comune del nostro sistema HF, marca e modello del router giocano un ruolo determinante.
Penso che quasi tutti sappiano le frequenze della ADSL. Le riporto per comodità:
La ADSL normale (fino a 7 mega) arriva fino a 1,1 MHz. La 2+ (variabile tra 7 e 24 Mb/s) fino a 2,2 MHz. Fortunatamente per noi, pochissime centrali supportano la VDSL che toccherebeb i 30 MHz. Nessuno esclude però che sia usata in point to point tra le varie centrali, quindi se avete noise, magari un giretto con una radio cinese da 10 euro che pretende di ricevere le onde corte, vi toglie la curiosità.
Va quindi in primis DOWNGRADATA la ADSL lato remoto a ADSL 7/1, sia per una questione di disturbi in 160 metri, sia per una questione di stabilità. Tanto l'upload non vi cambia e in download ne avete d'avanzo. Ne gioverà molto la costanza e il jitter dell'upload, con ping più bassi e costanti come latenza. Ricordate che per un'ottima qualità audio non conta tanto se il ping sia basso o alto, quanto che sia costante. Il voip digerisce male sbalzi di latenza.
Dopodichè si lavora di fino su qualità della presa e del doppino entrante, rimozione di qualsiasi splitter, ispezione di eventuali condensatori parallelati nelle prese telefoniche, circuiti di ritorno ed esclusione dei derivati. Non deve esserci nulla, e tutti i contatti devono essere di ottima qualità e pulizia.
In ultima analisi si aggiorna il firmware del router all'ultimo disponibile (un mio cliente è passato da un upload di 0,18 a un upload di 0,96) e si cancella qualsiasi configurazione precedentemente fatta sul router sostituendola con quella e solo quella necessaria alle nostre esigenze.
Non cedete alla tentazione di mettere il vostro computer o il vostro remoterig in DMZ a meno che non siate perfettamente coscienti di ciò che state facendo.
Il lavoro di pulizia va fatto da entrambi i lati, ad eccezione dello splitter lato "radio" necessario per telefonare senza il fastidioso fruscio della ADSL.
Avendo invece un link wireless, andranno scelte antenne ad alta direttività (i miei favoriti sono i pannelli con 4° di apertura del lobo) anche se il link è corto: meno apertura avete, meno sporcizia riceverete. Va fatto uno scan preventivo per le frequenze usate, dopodichè si trova una frequenza libera, si attiva il DFS e ove possibile si regola il link per un livello di ricezione tra -70 e -60 e una CCQ almeno del 98%.
Le apparecchiature da me usate per queste tipologie di link sono le mikrotik. Chiaramente ognuno può utilizzare ciò che più gli aggrada, ma la potenza di controllo che offrono le mikrotik non le offre nessun apparato wireless al mondo.
Mikrotik non è solo wireless, sono anche router/firewall solo ethernet che io abitualmente metto almeno da un lato del link fatto con ADSL in modo da garantirmi sicurezza assoluta nel controllo di "chi entra da dove".
- link sicuri e link volemose bene
Un link tra due punti può essere più o meno sicuro. Nel momento in cui vi esponete su internet tutto può essere più o meno sicuro. Analizziamo i link che mi piacciono di più, i volemose bene
Abbiamo uno scenario tipico: remoterig + ADSL con router di mamma telecom lato server remoto, il client non lo prendiamo in considerazione perchè non espone porte. Il server si affaccerà con la 13000,13001,13002 UDP sull'IP pubblico, per forza, perchè devono essere raggiungibili per iniziare la sessione. Un ragazzino di 14 anni annoiato fa lo scan un range di IP italiano in cerca del trojan senna spy (che guarda caso usa la 13000 UDP) per divertirsi con qualche sistema compromesso e trova voi. Vedendo che la porta non risponde ai comandi, pensa bene di floodare la porta con qualche mb per vedere se dia segni di vita.
Senza regole IP, il vostro collegamento remoto va a farsi benedire
Secondo caso, molto peggiore: il ragazzino vede una 3389 (desktop remoto) e una 554 (video streaming) più la porta 7805 di hamradiodeluxe, che lui non sa che è hamradiodeluxe, e chissà che diavolo pensa che sia. Apriti cielo. Li si passa da un blocco permanente del PC remoto
http://www.youtube.com/watch?v=xrrBkLTXjtE
a un attacco brute force sul video stream per user e password, o cgi exploit sulla webcam. Again, siete "morti".
Per non parlare di quelli che usano per hamradiodeluxe user e password identici (call radioamatoriale) o user call password nome o icom o remoto o yaesu o facilmente indovinabili.
A livello wireless, la cosa è ancora più elementare. Non entro in dettagli in quanto io sono come si dice in gergo "antisec", ossia non divulgo in maniera esplicita metodi di attacco. Basti solo pensare che in mancanza di misure di sicurezza serie, mappare un rete wireless e agire come se si fosse fisicamente connessi allo switch di rete con un cavo, è molto semplice.
Cosa distingue un link serio da un volemose bene ? Nel mio lavoro di setup di stazioni remote il tuning se richiesto dal cliente varia sempre caso per caso, ma le linee guida basilari sono:
- in caso di link via ADSL, la tecnica chiamata "port knocking": un firewall mikrotik piazzato lato server aspetta una chiamata su una porta TCP, chessò
http://iz5cml.dyndns.org:12675 .
A quel punto il firewall, che di default nega tutto, accetta connessioni in ingresso SOLO dall'IP originante la chiamata a quella porta per diciamo 4 ore. A quel punto si accende la stazione client e si opera in tutta tranquillità, in quanto chiunque faccia una scansione dall'esterno non vedrà una beata mazza (drop by default).
Se c'è qualcuno di voi che sta pensando che una VPN sia la risolutrice di tutti i problemi, sappiate che gli attacchi brute force sulle VPN da parte di IP dell'est sta aumentando a dismisura, e ogni tentativo è un drop audio significante. E ne provano anche 5 al secondo.
- in caso di link wireless, di solito adopero una /30 (ossia due IP che si "vedono" solo tra di loro e non accettano nessun'altro IP nel loro insieme), insieme a un paio di ip /24 "normali" tanto per confondere le acque, VLAN e tunnel EoIP sui quali tiro su una VPN per rendere impossibile l'analisi del traffico. La VPN essendo interna non ha problemi di attacco dall'esterno. Inoltre regole di sistema a monte avvisano via email se un'altro MAC address tenta di connettersi o si è connesso al link.
Non fate mai l'errore di comprare un link radio che non operi in modo AP bridge per risparmiare una ventina d'euro. La differenza tra "bridge" e "AP bridge" è che l'AP bridge accetta più di una stazione client connessa, quindi un eventuale attaccante sarà connesso INSIEME a voi. La modalità bridge consente UN SOLO client. Se un attaccante entra, o anche un pinco pallino che non vuole attaccare ma si è solo connesso per sbaglio, vi butta fuori e sarà molto difficile rientrare, o quanto meno sarà un'altalena continua.
Avere un box mikrotik poi consente molte altre finezze: prioritizzare il traffico sulle porte della stazione remota e riservare adeguata banda garantita e intoccabile, loggare (
) gli IP di eventuali "scannatori" casuali del nostro IP, azionare relè, monitorare la tensione dell'UPS, e dulcis in fundo, comandarla via seriale con un link a 9600 bps in 144 MHz per riprendere il controllo del sistema. When all else fail, fire up the real radio Se avete avuto la pazienza di leggere fino qui, complimenti. Sto sintetizzando al massimo, credetemi. Ma spero che chi legga capisca cosa c'è dietro (e questa è la minima parte) quando sento dirmi "eccheccevò a fa na stazione remota ! Piji du scatolette...."
In chiusura del post, due chicche:
- utilizzo della porta 13000 nell'ultimo mese
- attacco in locale al server remotehams.com sul mio PC, crash dopo 30 secondi nemmeno
73,
non vedo perché non dovrebbe essere etico, rispetto a, come detto prima, prendere l'auto ed andarci fisicamente ! Per me è etico ed anche furbo, si risparmia benzina e tempo ! 
Commenta