Re: icmp o non icmp ?? questo ? il problema

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2004 ml@sikurezza.org
Soggetto: Re: icmp o non icmp ?? questo ? il problema
Mittente: sikurezza
Data: 11 Feb 2004 16:16:38 -0000

> On Sun, 2004-02-08 at 15:53, Angelo Dell'Aera wrote:
> > Imbarcarsi in una soluzione in  cui "e' difficile che succeda ma forse
> > in  determinate  condizioni si  potrebbe  a  patto  che..." quando  le
> > soluzioni per queste problematiche esistono  non la vedo molto di buon
> > occhio come cosa.  Tutto questo IMHO naturalmente.
> 
> il presupposto del portknocking e' cmq che NON bisogna far partire la
> sequenza di knocking in LAN o cmq in un ambiente di cui non ci fidiamo
> completamente. Il rapporto tra i due peer deve essere gw-gw. Inoltre le
-snip-
> La vpn e' indubbiamente un metodo sicuro, ma io trovo che il knocking
> sia una alternativa, magari meno sicura, ma pur sempre una alternativa.
> 

Penso di meritare il premio paranoico dell'anno, la soluzione che adotto
io e' una aggregazione dei sistemi che avete indicato.

Per quanto riguarda gli accessi sui server che gestisco quando sono a
casa/ufficio dove ho ip statico, vpn filtrata in ingresso e ssh interno
e via andare, quando invece voglio loggarmi dall'esterno ovunque io sia,
la sequenza di azioni che esegui e' questa:

knocking con una sequenza di una 50ina di pacchetti,
il che avvia sul server un hping in attesa, mi connetto a una porta
aperta di un qualsiasi servizio e con una specifica stringa mando al
server il mio ip , una password, e la porta su cui voglio che si apra il
demone vpn, a quel punto il server avvia il demone vpn in ascolto sulla
porta da me indicata e filtra l'ingresso in base all'ip da me
specificato, io stabilisco il tunnel e solo internamente al tunnel entro
in SSH.

A parte M.D. che sicuramente dira' che e' un sistema super complesso, il
che puo' anche essere vero, in questo modo mi sento abbastanza
rilassato.

ciap

-- 

Franco (nextime) Lanza 
Network Admin - http://www.nexlab.it
tel: +39 339 8125940
Milano - Italy

you can download my public key at:
http://danex.nexlab.it/nextime.asc || Key Servers
Key ID = B9072C07
Key fingerprint = A95E 1EEA D138 64E5 45E8  77F0 6A00 E037 B907 2C07
-----------------------------------
echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc
-----------------------------------

Attachment: pgp00003.pgp
Description: PGP signature

Messaggi successivi:
- Re: icmp o non icmp ?? questo ? il problema, Claudio Telmon
- Re: icmp o non icmp ?? questo ? il problema, Marco d'Itri
- Re: icmp o non icmp ?? questo ? il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo ? il problema, Giacomo Collini

In risposta a:
- Re: R: icmp o non icmp ?? questo è il problema, St0rM
- Re: icmp o non icmp ?? questo è il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo è il problema, Michele 'mydecay' Marchetto
- Re: icmp o non icmp ?? questo è il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo è il problema, Michele 'mydecay' Marchetto

Data:
- precedente: Re: icmp o non icmp ?? questo è il problema, Raistlin
- successivo: Re: icmp o non icmp ?? questo è il problema, Giacomo Collini
- indice

Argomento:
- precedente: Re: icmp o non icmp ?? questo è il problema, Michele 'mydecay' Marchetto
- successivo: Re: icmp o non icmp ?? questo ? il problema, Giacomo Collini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005