Re: icmp o non icmp ?? questo ? il problema

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2004 ml@sikurezza.org
Soggetto: Re: icmp o non icmp ?? questo ? il problema
Mittente: Angelo Dell'Aera
Data: 11 Feb 2004 19:24:07 -0000

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Wed, 11 Feb 2004 13:53:17 +0100
sikurezza@xxxxxxxxx wrote:

>    Penso di meritare il premio paranoico dell'anno, la soluzione che
>adotto io e' una aggregazione dei sistemi che avete indicato.

Ho appena letto la tua mail  e direi che quanto a paranoia batti tutti
ampiamente...  :) Vorrei  pero` fare  alcuni commenti  sulla procedura
riportata  qui  sotto. Commentero`  quelli  che  sono IMHO  potenziali
problemi di  questa procedura. Poi  al solito sono solo  congetture le
mie.. e noterai che sulla carta sono molto piu` paranoico di te! ;)

>knocking con una sequenza di una 50ina di pacchetti,

E questo  non credo sia  sicuro di suo  perche` per fare  knocking non
puoi  proteggere l'header TCP  mediante crittazione.  Questo significa
che se ho  accesso al path posso prendermi  comodamente la sequenza di
knocking.

>il che avvia  sul server un hping in attesa, mi  connetto a una porta
>aperta di un qualsiasi servizio  e con una specifica stringa mando al
>server il mio ip , una password, e la porta su cui voglio che si apra
>il demone vpn,

Questa  stringa va  in  chiaro? O  la  critti mediante  ad esempio  un
algoritmo che consenta anche  di autenticare la tua identita`? Perche`
se non usi  questo approccio mi viene facile  pensare che, dopo averti
sniffato la sequenza di knocking e la stringa, io possa impersonare te 
compiendo le tue stesse azioni facendomi aprire il demone...

>a quel punto il server avvia  il demone vpn in ascolto sulla porta da
>me indicata e filtra l'ingresso in base all'ip da me specificato,

Se la stringa va in chiaro (o non e` sufficientemente protetta) fino a
qui ci posso arrivare anch'io spacciandomi per te.. 

>io stabilisco il tunnel e solo internamente al tunnel entro in SSH.

Qui forse potrei arenarmi... ma soltanto a causa di SSH...

Conclusione: ovvio e`  che il punto di forza di  questa (come di altre
soluzioni)  sta   nella  serie  di  step  non   standard  che  portano
all'autenticazione dell'accesso.  Ovvio e` anche che ognuno si crea le
sue  soluzioni  per poter  dormire  piu`  tranquillo  la notte  (o  il
giorno... dipende dalle abitudini). Ma IMHO questa soluzione la potevi
rendere  piu`   lineare  semplicemente  usando   congiuntamente  AH  e
ESP...  comunque   sono  d'accordo...  il  Paranoid   Awards  2004  e`
decisamente tuo! :)

Regards.

- --

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org

PGP information in e-mail header

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAKmBMpONIzxnBXKIRAmiRAJ9dNHqo2YMmXvwQH2vdplyYAx0jsgCdFoGc
GejH8onSyvnAoWBbOgkRQWQ=
=sZrD
-----END PGP SIGNATURE-----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: icmp o non icmp ?? questo ? il problema, sikurezza

In risposta a:
- Re: R: icmp o non icmp ?? questo è il problema, St0rM
- Re: icmp o non icmp ?? questo è il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo è il problema, Michele 'mydecay' Marchetto
- Re: icmp o non icmp ?? questo è il problema, Angelo Dell'Aera
- Re: icmp o non icmp ?? questo è il problema, Michele 'mydecay' Marchetto
- Re: icmp o non icmp ?? questo ? il problema, sikurezza

Data:
- precedente: Re: icmp o non icmp ?? questo ? il problema, Giacomo Collini
- successivo: File SAR e log iptraf, Giuseppe Bianco
- indice

Argomento:
- precedente: Re: icmp o non icmp ?? questo ? il problema, sikurezza
- successivo: Re: icmp o non icmp ?? questo ? il problema, sikurezza
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005