Re: [Hackmeeting] Primavera e tunnel vpn

Delete this message

Reply to this message
Autor: vecna
Data:  
A: hackmeeting
Assumptes vells: Re: [Hackmeeting] Primavera
Assumpte: Re: [Hackmeeting] Primavera e tunnel vpn
bakunin wrote:
>> collaborazione? volentieri.
>
> wow wow wow!
> Questo si' e' figo.
>
>> l'altra la espose Vecna pochi HM addietro : steganografia.
>
> Yep. Tra l'altro vecna ha collaborato non poco all'ideazione di questa
> estensione.
>


Ciao,

Il discorso che segue è abbastanza stringato (ma potrebbe essere molto
piu' ampio) e valutavo se fare un talk ad hackmeeting a riguardo. Ne ho
concluso che non ho elementi pratici da portare, ma solo teorici, per
cui se qualcuno si sentisse interessato ad approfondire il discorso, i
20 giorni che ci separano da hackmeeting possono essere utili per una
serie di test, in tal caso potremmo organizzare un talk combinato.

Partiamo dal presupposto che, se tutte le applicazioni supportassero
traffico cifrato non potrebbero essere sniffate. se tutte le
applicazione supportassero il covert channel non potrebbero essere
bloccate (a meno di analisi piu' approfondite, ma in quel caso la
risposta sarebbe nell'approfondire la precisione del cover channel)

se il supporto è nell'applicazione, bene per il traffico della singola
applicazione che riesce a superare i problemi, ma male per tutte le
altre che ne rimangono fuori (filtrate o sniffate).

ma, se si crea un tubo cifrato che contiene altre connessioni (vpn) non
si puo' discriminare (e quindi bloccare) il traffico singolo, ne
sniffarlo (se si da la vpn per sicura).

E fino a qui, nulla di nuovo: se due persone, o se una persona tra
ufficio-casa, vuole farsi la vpn per leggersi la posta da casa e per
usare i suoi servizi... è normale.

Se invece si vogliono fare vpn tra amici, va a finire che la si fa solo
tra chi è tecnicamene competente della propria cerchia, rendendonolo
quindi un interessante esperimento di networking e di sistemistica, ma
nulla di sconvolgente.

una cosa ben diversa sarebbe se le vpn potessero crearsi in modo
automatizzato. Se la macchina da raggiungere è all'interno della vpn, la
si raggiunge tramite quel link anzichè passar da internet, se invece non
ha questa feature, la si raggiunge in modo convenzionale.

Allora quello che servirebbe sarebbe un sistema che on demand riesce a
stabilire, in modo rapido, delle vpn tra due computer. computer che
possono essere entrambi non raggiungibili direttamente (nat senza upnp,
nat senza pat)... o anche raggiungibili, in entambi i casi
richiederebbero una sorta di handshake tra le due macchine che si dicono
"io supporto il tubo".

Allora, supponendo che la parte di creazione on demand, trasparente e
sicura delle vpn si possa fare (ma come ? ho qualche idea, ma un po'
confusa. voi ?) quello che risulta necessario è un canale che a priori
non sia bloccabile e sia sufficentemente protetto, il canale necessario
allo scambio delle informazioni di handshake, di peering, eventualmente
il blocco di informazioni che si scambierebero 2 nodi dietro NAT che
cercano di connettersi tra loro.

e qui entra in gioco bproxy, che riveste il ruolo di tunnel ajax... che
puo' girare su un server che supporta semplicemente il php (quindi una
quantità sufficente di appoggi da non essere bloccabile selettivamente),
che puo' usare https (o una forma di cifratura sua, siccome è scritto da
baku). bproxy consentirebbe lo scambio di queste informazioni,
necessarie poi a stabilire link stabili.

in alternativa, ci sarebbe anche SkypeProxy (a TCP/IP forward over
skype), giusto perché skype è noto per superare qualunque genere di
filtro, ma con effetti collaterali dannosi tipo l'incertezza riguardo il
destino del proprio traffico...
http://artax.karlin.mff.cuni.cz/~vernj1am/index.php?action=static&spec=download

oltre a openvpn che puo' essere usato come riferimento, c'e' campagnol:
http://campagnol.sourceforge.net/
che connette nodi dietro nat, e
http://www.ntop.org/n2n/
che gia' vorrebbe fare da rete p2p di vpn.

Ci sono un po' di incognite per questo blob, a qualcuno interessa
sviscerarle ?

L'utilità di questo software sarebbe consolidare una tecnologia di
protezione esterna alle applicazioni. Poi, che venga percepita come
sistema per non essere sniffati, o come sistema per superare il filtro
aziendale, sono solo due modi diversi per diffondere la stessa cosa.

poi è anche possibile usare quagga e routing dinamico all'interno,
rendendo i nodi tanti possibili exit node, ma cosi' si starebbe
sconfinando nel campo dell'anonimato fatto male. quindi per ora, se
qualcuno vuole rifletterci, pensi a link cifrati tra nodi che in modo
automatico ne entrano a far parte... sarebbe gia' qualcosa di bello :)


ciao ciao,
vecna