 |
www.vincenzomanzoni.com
Homepage personale e blog di Vincenzo Manzoni
|
| Precedente :: Successivo |
| Autore |
Messaggio |
abaddon
Utente adulto
Registrato: 05/04/04 16:32
Messaggi: 2033
|
 Inviato: Mar Apr 05, 2005 2:08 pm Oggetto: [howto]Come scavallare i nuovi router telecom blindati |
 |
|
Preciso che l'howto non prende in considerazioni tecniche di manomissione o di sabotaggio del suddetto router, moderatori state tranquilli in proposito, non c'è nulla di illegale 
Questa tecnica è stata provata su un router smartgate Pirelli chiamato anche:
Ufo, Mazzinga, cesso, router di merda, disco volante, disco di merda, Pirellone, ecc...
la tecnica dovrebbe andare bene su qualsiasi router.
[] Schema rete:
PC1<--->UFO<--->internet<--->mio_router<--->PC2
questa è la versione piu' complicata diciamo, infatti il PC2 che sarebbe il pc da cui mi devo collegare per raggiungere PC1 è anch'esso nascosto da un router e quindi dietro NAT.
Attenzione: "mio_router" deve pero' essere di vostra proprietà o comunque dovete avere accesso ai suoi file di configurazione, altrimenti non si combina nulla.
[]software utilizzato:
-Openvpn: probramma opensource che permette di creare vpn su protocollo IPSEC, questo programma è multi piattaforma ed esiste per Linux, *BSD, OS X, Unix e per ultimo Windows.
[]come funzia:
Il PC1 è irragiungibile per via del router "UFO" che non avendo possibilità di configurazione non permette la gestione del NAT, il nat permette infatti di indirizzare tutto il traffico che arriva ad una determinata porta TCP o UDP del router su un pc all'interno della rete rendendolo "visibile" ad internet. Ogni router pero' tiene traccia delle connessioni che instaura con altri server fuori dalla lan e quindi crea una sorta di nat dinamico (scusate i termini poco tecnici) pensate ad esempio ad una richiesta http, pur non avendo alcuna configurazione di nat, la risposta del webserver la ricevete comunque, basterebbe quindi creare una connessione perenne tra 2 punti per creare un "buco" all'interno dell'UFO e farci passare tutto il traffico che si vuole.
Una VPN fa esattamente questo, crea un tunnel tra 2 punti unendoli come se fossero su una rete privata e senza router in mezzo.
Il PC1 quindi attiva il servizio VPN, manda una richiesta al servizio VPN presente nel PC2 e crea un fantastico tunnel in cui farci passare qualsiasi cosa.
[]Realizzazione
-PC2
scaricare e installare openvpn, io faccio riferimento ai file di configurazione usati su linux, ma presumo che siano identici anche su altri sistemi operativi.
Creiamo il nostro file di conf in /etc/openvpn/openvpn.cfg
| Codice: |
#mkdir /etc/openvpn
#cd /etc/openvpn
#nano openvpn.cfg
|
e inseriamo questo:
| Citazione: |
#indirizzo ip ESTERNO del router UFO
remote 80.10.32.123 (indirizzo ip messo a caso)
#(è la porta UDP su cui avvengono le richieste di connessione della VPN, se si vogliono avere piu' connessioni servono piu' file openvpn.cfg con porte diverse)
port 1194
#modalità di connessione
dev tap
#indirizzo ip e netmask del PC2 nella vpn
ifconfig 192.168.0.2 255.255.255.0
#chiave per la cifratura a 2048bit
secret key
#un ping ogni 5 secondi
ping 5
#livello di verbosità dei log (per debuggare)
verb 4
|
e una macchina è configurata, unica cosa che resta da fare sul PC2 è creare la chiave e ricompilare il kernel inserendo il modulo TUN/TAP che si trova tra i device nella sezione rete, io l'ho messo come modulo, inserirlo in modo statico non ho ancora provato, non dovrebbe creare problemi (credo).
A sto punto ricompilate il kernel, fate tutto quello che serve dopo la ricompilazione del kernel e caricate il modulo con il seguente comando:
ora creiamo la nostra bella chiavetta con questo comando:
| Codice: |
#cd /etc/openvpn/
#openvpn --genkey –-secret key
|
dovreste avere ora un file nella cartella chiamato key.
E la configurazione del PC2 è ok
Nel nostro caso di rete c'è da configurare il router "mio_router", nel caso il vostro pc non abbia router e sia connesso direttamente ad internet non serve questa parte.
-Configurazione "mio_router"
la configurazione è semplice e veloce, basta una semplice regola che dica al NAT del vostro router di nattare il traffico che proviene dalla porta 1194 sul vostro PC2. Non posso essere piu' preciso su come si fa in quanto ogni router ha i suoi comandi e interfacce... comunque è una operazione molto semplice. Nel caso il vostro router faccia anche da firewall controllare che non vi sia qualche regola che droppa il traffico sulla porta 1194.
E pure il router è sistemato.
-Configurazione PC1
La configurazione del PC1 è molto simile a quella del PC2, anche qua va inserito il modulo tun, inseritelo seguendo la stessa procedura indicata per il PC1, qui di seguito invece vi indico il file di conf openvpn.cfg:
| Citazione: |
#indirizzo IP pubblico di "mio_router" o "pc2" se connesso direttamente ad internet
remote 80.40.20.10
port 1194
dev tap
#indirizzo ip del PC1 nella vpn
ifconfig 192.168.0.1 255.255.255.0
secret key
ping 5
verb 4
|
a questo punto copiate il file key presente nel PC2 nel PC1 e pure qua abbiamo finito. Ovviamente il router "UFO" non viene configurato proprio perchè non si riesce e tutto sto casino lo si sta facendo per scavalcarlo...
Per lanciare i servizi ora basta andare sul PC2 e scrivere:
| Codice: |
#openvpn --config /etc/openvpn/openvpn.cfg --secret /etc/openvpn/key &
|
e lanciare lo stesso comando su PC1
a questo punto da uno dei 2 pc provare a pingare l'altro usando l'ip assegnato dalla vpn, se tutto va bene i 2 pc si potranno vedere e dialogare senza alcun problema.
[]Altre info
-Se si hanno ip dinamici , si potrebbe oviare al problema usando servizi di Dynamic DNS come www.noip.org o www.dyndns.org servizi che associato un dominio di 3° lv al vostro ip pubblico. Questi indirizzi di 3° lv vanno poi sostituiti al posto degli ip normali nei file di conf.
-Lavorando con qualche regola di nat si potrebbe utilizzare il PC2 come pc esterno per far arrivare le richieste al pc interno alla rete altrimenti irraggiungibile. Se per esempio si imposta che tutte le connessioni ricevute da PC2 http, ssh, ftp, smtp, pop3, ecc... devono essere indirizzate al PC1 si ottiene la sensazione d'avere il pc1 in teoria nascosto esposto e quindi raggiugibile sulla rete.
-Noterete che il canale della vpn ha un ping elevato, questo è dovuto probabilmente alla criptazione e decriptazione dei pacchetti, per abbattere il ping basterebbe diminuire il lv di criptazione o toglierlo completamente, questo sta a voi deciderlo.
Ah ho scoperto che questa è una tecnica usata anche da alcuni utenti su fastweb, infatti i routeroni fastweb si possono paragonare al nostro routercesso "UFO"
uhmm mi pare basta.. se mi viene in mente qualche altra cosa aggiungo 
Ciao |
|
| Top |
|
 |
Francesco
Utente adulto
Registrato: 23/12/03 15:24
Messaggi: 2113
Residenza: Busnago (MI)
|
| Inviato: Mar Apr 05, 2005 3:24 pm Oggetto: Re: [howto]Come scavallare i nuovi router telecom blindati |
|
|
| abaddon ha scritto: | ...router smartgate Pirelli chiamato anche:
Ufo, Mazzinga, cesso, router di merda, disco volante, disco di merda, Pirellone, ecc... |
| abaddon ha scritto: | | ...questo programma è multi piattaforma ed esiste per Linux, *BSD, OS X, Unix e per ultimo Windows. |
| abaddon ha scritto: | | ad una determinata porta TCP o UDP del router |
BUAHAHAHAH che ridere! ... sei trooooppo cattivo....
Bell'howto cmq, utile, in effetti con la criptazione però si hanno prestazioni scarsine, sarebbe buona cosa non usarla se non se ne ha un bisogno strigente. Per fastweb ci sono dei gateway che lavorando su IPv6 ti danno un vero IP pubblico anche senza VPN!
_________________
God is real........... unless declared integer or long |
|
| Top |
|
|
abaddon
Utente adulto
Registrato: 05/04/04 16:32
Messaggi: 2033
|
| Inviato: Mar Apr 05, 2005 3:48 pm Oggetto: Re: [howto]Come scavallare i nuovi router telecom blindati |
|
|
| Francesco ha scritto: | | abaddon ha scritto: | ...router smartgate Pirelli chiamato anche:
Ufo, Mazzinga, cesso, router di merda, disco volante, disco di merda, Pirellone, ecc... |
| abaddon ha scritto: | | ...questo programma è multi piattaforma ed esiste per Linux, *BSD, OS X, Unix e per ultimo Windows. |
| abaddon ha scritto: | | ad una determinata porta TCP o UDP del router |
BUAHAHAHAH che ridere! ... sei trooooppo cattivo....
|
e pensare che credevo si notassero poco ste frecciatine....
| Citazione: |
Bell'howto cmq, utile, in effetti con la criptazione però si hanno prestazioni scarsine, sarebbe buona cosa non usarla se non se ne ha un bisogno strigente. Per fastweb ci sono dei gateway che lavorando su IPv6 ti danno un vero IP pubblico anche senza VPN! |
beh senza criptazione è un po una menata... alla fin fine passerebbe tutto in chiaro.. è anche vero che come è gestita la cosa la vpn si istaura solo dal mio PC di casa, è anche vero che per ora uso la vpn solo per usare il terminale remoto che essendo ssh i discorsi osn cripatati di suo, pero' se un giorno inizio a trasferire file, documenti senza usare ssh se non fosse criptato il canale vpn viaggerebbe tutto in chiaro e la cosa non mi piace troppo...
mi sa che mi tengo la mia bella chiave a 2040 tanto un delay di qualche frazione di secondo in console non mi da un gran che fastidio..
le cose con ipv6 e fastweb anche lì c'è un tuneling, diciamo che la sostanza non cambia, alla fine sono entrambe connessioni punto punto. Volendo infatti basterebbe creare un porgrammino client server che tenga alzata una connessione con un server e far passare tramite quel canale tutti i pacchetti che devono andare al PC1, non avendo voglia di sbattermi ed essendo comunque la trasmissione in chiaro a sto punto ho optato per la vpn che è già fatta, è criptata e alla fin fine pure comoda |
|
| Top |
|
|
Francesco
Utente adulto
Registrato: 23/12/03 15:24
Messaggi: 2113
Residenza: Busnago (MI)
|
| Inviato: Mar Apr 05, 2005 4:13 pm Oggetto: |
|
|
giusto, non serve reinventare l'acqua calda! Per la criptazione hai ragione, quando girano dati sensibile è necessaria, ma spesso se ne può fare a meno, non ti ciuccia anche banda oltre al ping alto?
_________________
God is real........... unless declared integer or long |
|
| Top |
|
|
abaddon
Utente adulto
Registrato: 05/04/04 16:32
Messaggi: 2033
|
| Inviato: Mer Apr 06, 2005 12:36 am Oggetto: |
|
|
YEHPAAA
son riuscito a collegarmi completamente alla rete è come se avessi fuso la mia rete casalinga con quella del lavoro, ho dovuto risistemare il nat e le tabelle di routing di 3 macchine ma ora va da dio!
PS
lo so che non ve ne frega nulla... ma m'andava di rendervi partecipi della mia felicità...
.suka |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Feed
Profilo
Messaggi privati
Log in
