Re: icmp o non icmp ?? questo ? il problema

> >knocking con una sequenza di una 50ina di pacchetti,
> 
> E questo  non credo sia  sicuro di suo  perche` per fare  knocking non
> puoi  proteggere l'header TCP  mediante crittazione.  Questo significa
> che se ho  accesso al path posso prendermi  comodamente la sequenza di
> knocking.
> 

Assolutamente daccordo, difatti non mi affido certamente solo su questo 
per la sicurezza, e' solo un piccolo aiuto...


> >il che avvia  sul server un hping in attesa, mi  connetto a una porta
> >aperta di un qualsiasi servizio  e con una specifica stringa mando al
> >server il mio ip , una password, e la porta su cui voglio che si apra
> >il demone vpn,
> 
> Questa  stringa va  in  chiaro? O  la  critti mediante  ad esempio  un
> algoritmo che consenta anche  di autenticare la tua identita`? Perche`
> se non usi  questo approccio mi viene facile  pensare che, dopo averti
> sniffato la sequenza di knocking e la stringa, io possa impersonare te 
> compiendo le tue stesse azioni facendomi aprire il demone...
> 

Crittata, con un crypt comunque molto leggero quindi volendo certamente
che anche qui qualcuno un po' skillato e intenzionato ad andare a fondo
potrebbe bypassare anche questo passaggio


> >io stabilisco il tunnel e solo internamente al tunnel entro in SSH.
> 
> Qui forse potrei arenarmi... ma soltanto a causa di SSH...
>

No, ti areni PRIMA di ssh, hai saltato il certificato necessario per
stabilire il tunnel VPN ...

> Conclusione: ovvio e`  che il punto di forza di  questa (come di altre
> soluzioni)  sta   nella  serie  di  step  non   standard  che  portano
> all'autenticazione dell'accesso.  Ovvio e` anche che ognuno si crea le
> sue  soluzioni  per poter  dormire  piu`  tranquillo  la notte  (o  il
> giorno... dipende dalle abitudini). Ma IMHO questa soluzione la potevi
> rendere  piu`   lineare  semplicemente  usando   congiuntamente  AH  e
> ESP...  comunque   sono  d'accordo...  il  Paranoid   Awards  2004  e`
> decisamente tuo! :)
>

Be' considera che questi passaggi non li faccio a manina ma con un
tollettino appositamente scritto, quindi per me e' un solo comando in
shell, per il resto ho voluto combinare piu tecniche assieme in quanto 
da un lato la vpn, dall'altro ssh, dall'altro ancora un po' di
confusione creata dal knokinkg e da hping e la sua stringhetta, ho reso
quantomeno la vita difficile a chiunque anche solo per arrivare ad avere 
un demone vpn da tentare si sfondare.

Il concetto che sta alla base del mio metodo comunque voleva
semplicemente significare questo:

Ogni sistema singolarmente offre un certo grado, piu o meno alto, di
sicurezza, la combinazione di piu sistemi puo' aiutare ad alzare di
molto tale grado, un po' per difficolta nel comprendere tutta la
procedura, un po' per la sicurezza intrinseca di alcuni passaggi (
openvpn e ssh ). Ovviamente un metodo del genere innalza di molto la
complessita' del sistema, quindi e' da adottarsi solo se si e' pronti a
subire le conseguenze di eventuale scomodita' che tali sistemi possono
portare ad avere.

Bye

 

-- 

Franco (nextime) Lanza 
Network Admin - http://www.nexlab.it
tel: +39 339 8125940
Milano - Italy

you can download my public key at:
http://danex.nexlab.it/nextime.asc || Key Servers
Key ID = B9072C07
Key fingerprint = A95E 1EEA D138 64E5 45E8  77F0 6A00 E037 B907 2C07
-----------------------------------
echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc
-----------------------------------

Attachment: pgp00005.pgp
Description: PGP signature