Re: icmp o non icmp ?? questo è il problema

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2004 ml@sikurezza.org
Soggetto: Re: icmp o non icmp ?? questo è il problema
Mittente: Angelo Dell'Aera
Data: 10 Feb 2004 15:28:49 -0000

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Tue, 10 Feb 2004 15:42:57 +0100
Simo Sorce <simo.sorce@xxxxxxx> wrote:

>On Tue, 2004-02-10 at 15:25, Angelo Dell'Aera wrote:
>> La  mia considerazione parte dal fatto  che sshd e` un
>> demone riservato all'amministrazione. Questo implica che se davvero si
>> ha la necessita` di metterlo in ascolto su un IP pubblico buona prassi
>> vorrebbe che esso non fosse lasciato abbandonato alla sua sorte ma che
>> si cercasse  di garantire  un minimo di  controllo sugli  accessi.  In
>> quest'ottica, a mio  modestissimo parere, l'utilizzo di una  VPN e` il
>> non plus ultra.
>
>La VPN è utile se l'accesso deve essere permesso da ovunque, ma se esso
>avviene solo per ssh e da punti identificabili della rete è sufficiente
>filtrare per IP no?

Ti cito il mio caso. Ho la necessita` di avere sshd bindato su dei server
che amministro e che sono raggiungibili da chiunque. Avendo spesso la 
necessita` di connettermi "da dove capita" in quanto sono molto spesso in 
giro, non posso di certo fare affidamento sul mio IP come criterio di 
autenticazione.
Con una VPN col mio laptop in roadwarrior e usando dei certificati X.509 ho 
risolto e credo che questa soluzione nel mio caso sia ottimale. 
Certo si puo` discutere se sia ottimale in tutti i casi ma c'e` da dire che 
una volta messa su la VPN, lo sforzo per la sua manutenzione e` davvero 
minimo, garantisce un ottimo grado di sicurezza e soprattutto funziona 
in tutti gli scenari. Ovvio comunque che in determinati scenari e`
assolutamente inutile ma questo e` evidentemente fortemente dipendente
dal contesto in cui si opera.

>Tanto ssh già autentica usando la chiave dsa dell'utente quindi non ci
>dovrebbero essere grossi problemi si spoofing o man in the middle o
>altri problemi del genere.

Certo. Come dicevo in precedenza, nel mio caso e` quasi una scelta 
obbligata ma personalmente preferisco orientarmi sempre verso un eccesso 
di zelo.. ma quello diciamo che e` un mio problema! ;)

>È una domanda, non è polemica :-)

Non l'avevo assolutamente intesa come una polemica ma solo come un vicendevole
(e perche` no... anche fruttuoso) scambio di punti di vista.. :)

Regards.

- --

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org

PGP information in e-mail header

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAKPbYpONIzxnBXKIRAisrAKC9PLNmwsTRUFBbbgNk1oNj5nowVACeJrA8
uAkcoBbQfyZxqRWHfMM0MUA=
=bvKx
-----END PGP SIGNATURE-----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: R: icmp o non icmp ?? questo è il problema, St0rM
- Re: icmp o non icmp ?? questo è il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo è il problema, Michele 'mydecay' Marchetto
- Re: icmp o non icmp ?? questo è il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo è il problema, Marco d'Itri
- Re: icmp o non icmp ?? questo è il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo è il problema, Simo Sorce

Data:
- precedente: Re: icmp o non icmp ?? questo è il problema, Simo Sorce
- successivo: Firma digitale in un Comune, koba
- indice

Argomento:
- precedente: Re: icmp o non icmp ?? questo è il problema, Simo Sorce
- successivo: Re: icmp o non icmp ?? questo è il problema, Marco d'Itri
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005