R: [ml] Sicurezza di due AP in Bridge

>Chiedo agli esperti di sicurezza quali siano le cautele da adottare per
>mettere in sicurezza due AP configurati in bridge mode. Se terzi possono
>'entrare' nel link e sfruttarlo per accedere alla due reti collegate. Se vi
>puo essere intrusione.

Se i bridge sono installati "out of the box", vale a dire senza nessun
accorgimento, l'intrusione è facilissima, basta un terzo bridge o un pc con
un programma che simula un bridge (hostap su linux?) ma potrebbe bastare una
semplice scheda di rete se i bridge accettano anche associazioni da
client....una volta scoperto con uno sniffer il ssid basta una semplice
configurazione sul proprio dispositivo ed il gioco è fatto.
Per evitare tutto ciò bisognerebbe scegliere dei prodotti che permettono di
utilizzare protocolli di encryption "seri", vale a dire basati su WPA e su
metodi EAP che permettono di generare dinamicamente le chiavi e di
sostituirle periodicamente....cisco ad esempio utilizza LEAP che ha il
vantaggio di non necessitare di un server di autenticazione esterno.
In mancanza di tutto ciò si deve fare di necessità virtù ed accontentarsi
del wep statico (o wpa preshared, se c'è) e di fissare i mac address
staticamente in modo che ciascun bridge possa "vedere" solo l'apparato
gemello....nulla che spaventi un intrusore preparato, ma serve a tenere
fuori i lamer.
Una valida alternativa è quella di disinteressarsi completamente della
sicurezza sul link e di passare a livello di rete, mettendo due bei server
ipsec o openvpn a valle dei due ap.
A parte i costi, questa soluzione crea un impatto completamente diverso in
quanto presuppone che le due reti siano ruotate e non più "bridgiate", oltre
a necessitare di una accurata analisi e pianificazione.
Ciao,
     Massimo.