# [Redes] Cifrar TODA la red con ssl (Abierto)

## ZaPa

Hola a todos, que tal estan? veamos.. me gustaria saber como se puede hacer lo que quiero,cifrar toda mi red local con ssl, ya qué,es muy probable que alguien este con un sniffer a la escucha captando tráfico de mi red.. y me gustaria cifrar todos los datos que corren por mi red con ssl..

¿Es posible?

¿Alguien lo ha hecho?

¿Es recomendale?

Muchas gracias.

Saludos.

----------

## Txema

¿Y no te basta con cifrar el wifi? ando un poco pez en redes, pero (excepto en el caso de redes wifi) ¿no es necesario un contacto directo con las interfaces para usar un programa sniffer?

Saludos.

P.D: ¿y un filtro para MAC permitidas en iptables no impediría que se conectara cualquier otro PC que no sea tuyo?

----------

## Stolz

No se cómo cifrar todo el tráfico a nivel de red por software (por hardware hay aparatos especiales), pero para cifrar servicios a nivel de transporte para los casos concretos que no disponen de SSL a nivel de aplicación puedes usar net-misc/stunnel

----------

## Inodoro_Pereyra

En redes conmutadas, la mejor forma de evitar sniffers es configurar estáticamente la dirección mac de los dos hosts que se necesite asegurar. De esta forma se evita el tipo de ataque man-in-the-middle que utilizan la mayoría de los sniffers mas o menos potentes y que trabaja envenenando la caché ARP.

Por ejemplo, si quiero asegurarme de que todo el tráfico que produzco en el host A con número de IP 10.0.0.1 llegue a la puerta de enlace (host B) que tiene por número de IP 10.0.0.254 puedo especificar el par mac addres / número de IP de forma temporal:

```
# En host A

arp -s 10.0.0.254 00:11:22:33:44:55
```

```
# En host B

arp -s 10.0.0.1 AA:BB:CC:DD:EE:FF
```

Si necesito que los cambios sean permanentes y no se pierdan al reiniciar, basta con agregar el par mac / ip al archivo /etc/ethers. En host A por ejemplo:

```
echo "arp -s 10.0.0.254 00:11:22:33:44:55" >> /etc/ethers
```

Hay algunos tipos de ataque con sniffers que no son tan efectivos (y hasta puede que no funcionen inclusive) que consisten en ganarle la carrera al servidor dhcp o falsificar el servidor de DNS. Es tan improbable que te toque uno de esos que es para descartarlo...

Si aún así no estás seguro, siempre se puede hacer un tunel SSH que va encriptado por defecto y transportar por el tunel el tráfico que no debe ser comprometido o usar algo tipo IPSec que es justamente eso, encriptar el tráfico IP pero salvo casos muy puntuales no se justifica cuando hay formas mucho mas simples de evitar sniffers y que dan el mismo resultado...

Si te interesa IPSec, dale una mirada a Openswan. Está en portage.

Salud!

----------

## ZaPa

Hola a todos y muchas gracias por sus respuestas.

Inodoro_Pereyra, muchas gracias por la info...veamos..esto seria para una red wireless con unos 50 usuarios conectados y TODOS con ordenadores windows.. ¿como puedo crear la tabla arp estatica en un pc en windows? ¿entonces,cada ordenador que se conecte a mi gateway, tendria que añadirle la ip y la mac addres, para crear una tabla arp estática,cierto? y asi evitar el famoso main the midle,cierto?

Pero esto lo podria hacer de un pc a mi gateway...pero si yo quiero evitar que sniffen un ap de la red? como podria hacerlo si no es un pc?en un linksys con dd-wrt si se podria hacer igual ya que es linux, pero por ejemplo, con un conceptronic?

Sobre ipsec..estube mirando algo, la verdad es que seria muy interesante CIFRAR toda la red,alguien lo ha hecho alguna vez? que es exactamente openswan?

Saludos.

Muchas gracias.

----------

## Inodoro_Pereyra

 *ZaPa wrote:*   

> Hola a todos y muchas gracias por sus respuestas.
> 
> Inodoro_Pereyra, muchas gracias por la info...veamos..esto seria para una red wireless con unos 50 usuarios conectados y TODOS con ordenadores windows.. ¿como puedo crear la tabla arp estatica en un pc en windows? ¿entonces,cada ordenador que se conecte a mi gateway, tendria que añadirle la ip y la mac addres, para crear una tabla arp estática,cierto? y asi evitar el famoso main the midle,cierto?

 

La sintaxis del comando en windows es idéntica a la de linux. ¿Casualidad?  :Very Happy: 

Lo que no sé, es si se pierden los cambios al reiniciar. A la única pc con windows a la que tengo acceso (remoto) ya mismo no la puedo reiniciar para probar por que me matan, jeje...

 *ZaPa wrote:*   

> Pero esto lo podria hacer de un pc a mi gateway...pero si yo quiero evitar que sniffen un ap de la red? como podria hacerlo si no es un pc?en un linksys con dd-wrt si se podria hacer igual ya que es linux, pero por ejemplo, con un conceptronic?

 

Si cada host en la red tiene un número de ip fijo, el router que hace de puerta de enlace debería tener también una tabla estática de entradas arp. Tan sencillo como copiar la salida de arp -a y pegarla en /etc/ethers.

La forma mas segura de cifrar una red inalámbrica es usando wpa2 pero eso no evita que cualquier cliente que conozca la contraseña ponga su interface de red wireless en modo monitor y tenga acceso al tráfico circundante.

Como no das mas información no puedo orientarte. Hay varios nodos WDS brindando el servicio?

 *ZaPa wrote:*   

> Sobre ipsec..estube mirando algo, la verdad es que seria muy interesante CIFRAR toda la red,alguien lo ha hecho alguna vez? que es exactamente openswan?
> 
> Saludos.
> 
> Muchas gracias.

 

No se puede cifrar "toda" la red.

Hay protocolos que no son encriptables a menos que haya hardware especializado de por medio, que parece no ser tu caso. Lo único que se puede hacer al respecto es pasar todo el tráfico que viaja en modo texto plano por un tunel o usar openswan (ipsec) o cualquier alternativa parecida, lee el enlace que te dejé mas arriba. Está muy bien explicado.

De todas maneras, la información "sensible" por lo general viaja encriptada salvo algunos pocos casos. Si bien hay disectores que pueden romper SSL de 128 bits en tiempo real, es mucho trabajo para nada mas robarse una cuenta de hotmail, no?

Si realmente es tan importante la información que se mueve por la red, cablea lo que mas se pueda, usa wpa2 donde no se pueda cablear, usa tuneles donde la aplicación te lo permita, usa algún tipo de VPN donde un tunel no funcione, usa el combo TOR/Privoxy donde se justifique. Es la única forma de evitar un sniffer en modo monitor en una red inalámbrica.

Ah! y si el router está bajo tu control, revisa periódicamente el estado de la red en búsqueda de activdad sospechosa. Ettercap tiene un pluguin para detectar actividad arp sospechosa por ejemplo...

Salud!

----------

## ZaPa

Hola de nuevo y muchas gracias por tu respuesta Inodoro_pereyra..

Veamos...el tráfico que más me interesa encriptar es el del login de los aps, a los que yo entro para ver que pc's estan conectados y demas, ya que, esa info (el user y password), viaja en texto plano y no tengo posibilidad de poder cifrar esa info (dicho punto de acceso no tiene esa opción).. ¿Qué podria hacer?

Lo que no entiendo es una cosa...vpn? que pinta un vpn para cifrar la red en mi red local? no entiendo :S .

Aver si sacamos algo en claro je je.

Muchisimas gracias.

Saludos.

----------

## opotonil

Donde curro gestionamos varios routers de forma remota y lo que hay son 2 VLAN, una de gestion en la que estan nuestras maquinas y otra que seria la LAN en la que estan los clientes. Aunque ahora que lo pienso no se si esto tiene mucho sentido a la hora de evitar los sniffers.

Otra posibilidad podria ser crear una regla iptables o access-list segun segun lo que estes usando que solo permita el acceso al servicio de gestion desde tu MAC pero, por lo menos en linux es muy facil falsificar la MAC...

Salu2.

----------

## Inodoro_Pereyra

Bueno, la cosa cambia. Tu problema son sniffers entre los clientes autenticados verdad?

Si los AP no soportan https *que tampoco es la gran cosa* lo único que se puede hacer es permitir la administración de los mismos únicamente desde determinados números de IP (casi todos los AP que he visto tienen esa posibilidad) y despistar lo mas que se pueda.

Por despistar me refiero a:

- Como dice optonil, los AP no tienen que estar ni remotamente en la misma subred que el tráfico LAN, si tu lan es 10.0.0.0, seteas tus AP en 172.16.XX.XX o algo por el estilo. (Deberás especificar un doble numero de IP en la interface de red de el/las pc que administran los AP, uno en cada subred). Desde el punto de vista de un sniffer en la red, parecerá tráfico ruteable y no tráfico LAN.

- Cambia el puerto de escucha del http server del AP o deshabilitalo por completo y administra lo necesario por telnet (con el puerto cambiado también).

- Usa claves que se parezcan a código html o css, tomado de el código fuente de este foro: bgcolor="#46357C" podría ser una buena clave si estás lididando con script kiddies.

Por ahora se me acabaron las ideas. A ver si alguien puede agregar algo mas...

Salud!

----------

## ZaPa

Hola de nuevo a todos y gracias por sus respuestas..

Pero.. no habria ninguna forma de encriptar el trafico de esos aps que viaja en texto plano? no habria forma de encriptar TODO el tráfico de red? y asi encriptar la información de user y password de los aps/clients puestos en la red?

Espero respuestas.

Muchas gracias.

Saludos.

----------

## chumi

Por lo que he ido entresacando del hilo, el problema está sobre todo en los AP. Piensa que cualquier solución que encuentres tendrás que implementarla también en el AP, por lo que estás por fuerza limitado a lo que te permita el soft del punto de acceso implementar. Quiero decir que una solución de VPN, por ejemplo, te permitiría encriptar todo el tráfico entre clientes en los que puedas instalar el soft de VPN, pero la comunicación con los AP seguiría siendo sin cifrar mientra los propios AP no implementen el soft de VPN. Creo que deberías centrarte en qué es posible hacer con los AP de los que dispones, imagínate que, por ejemplo, admiten tráfico de diferentes VLANS... creas una VLAN de gestión y habilitas sólo esa VLAN en los puertos de los equipos que han de tener acceso a la gestión de los AP y solucionado. Pero claro, la solución que encuentres pasa por que la puedas implementar en los AP. Supongo que también será posible encontrar algún aparatito externo que te encripte el tráfico, pero fijo que, sea lo que sea lo que encuentres, el presupuesto se dispara...

Mis dos centavos.

Saludos!!

----------

