Re: icmp o non icmp ?? questo è il problema

Tenderei piano piano anche in questo caso a terminare d'ufficio il thread,
prima di scivolare nella discussione da "bar security".

Btw, non mi sembra che ssh, pur strumento estremamente valido, sia stato
immune da problemi in passato. Come ho gia' ripetuto molte volte,
personalmente ho incominciato ad usarlo solamente dopo l'introduzione della
privilege separation e cmq ritengo un rischio lasciarlo esposto direttamente
al pubblico (ludibrio), come qualsiasi altro strumento che di accesso
"shell" o comunque di amministrazione.

Il fatto poi che una vulnerabilita' diventi pubblica ad una certa data non
significa che prima non fosse conosciuta in alcuni ambiti (vedasi la
vulnerabilita' di qmail, p. es., di cui su alcune liste si e' parlato
l'estate dell'anno scorso e molte altre).

Cambio della porta utilizzata, filtro su ip, preauth sul fw, port knocking
(magari con meccanismi simili a otp), strumenti come ostiary & co
(http://freshmeat.net/projects/ostiary/) o vpn vere e proprie possono
rappresentare un aumento (anche minimo) del livello di sicurezza, da
valutare di volta in volta in base a chi siamo, dove andiamo e cosa stiamo
facendo [*] (si vedano gli archivi della lista.. 

Btw2, si puo' usare OSS anche per i demoni VPN (che comunque, in alcune
configurazioni, non sono certo immuni ne' da tecniche di information
gathering ne' da attacchi bruteforce)... tutti i vari bachi scoperti
ultimamente, unitamente alla complessita' della gestione del protocollo in
se', fanno imho capire quanto ancora ci sia da lavorare su queste
tecnologie).

[*] Tanto per ripetere l'ovvio, non credo ci sia una ricetta giusta,
piuttosto che una soluzione sbagliata & co. Ad ognuno l'opportuna analisi in
base a cosa protegge, gli skills che si hanno/si possono schierare, il
budget (tempo/soldi), la standardizzazione, etc. etc. etc. etc. etc. etc.

(www.acronymfinder.com, www.wikipedia.org per termini e acronimi astrusi)

bye
Koba (moderatore nonche' pretendente al trono di imperatore del giappone,
consigliatore della sicurezza dei sistemi e noto appassionato di "bar
security").

--- Enclosed, please find the posted message.
From: ~MeRliNo <merlino<at>ghostbbs.tk>
Date: Thu, 12 Feb 2004 08:55:19 +0100
X-Mailer: PMMail 2000 Professional (2.20.2717) For Windows 2000 (5.1.2600;1)
Subject: Re: icmp o non icmp ?? questo è il problema

On Tue, 10 Feb 2004 16:46:39 +0100, Marco d'Itri wrote:

>On Feb 10, Angelo Dell'Aera <buffer<at>antifork.org> wrote:
>
> >>Cosa ti fa pensare che il tuo demone per VPN sia meno buggato di ssh?
> >Sinceramente non  capisco il senso della  domanda. E' ovvio  che se il
> >codice  e` buggato  il discorso  non  regge... anzi  direi che  nessun
> >discorso regge! La  mia considerazione parte dal fatto  che sshd e` un
> >demone riservato all'amministrazione. Questo implica che se davvero si
> >ha la necessita` di metterlo in ascolto su un IP pubblico buona prassi
> >vorrebbe che esso non fosse lasciato abbandonato alla sua sorte ma che
> >si cercasse  di garantire  un minimo di  controllo sugli  accessi.  In
>Rifletti sul perché sarebbe "buona prassi" restringere l'accesso a ssh.
>Usando una VPN non fai altro che spostare il problema da un servizio a
>un altro, in più complicando il sistema.

Sono daccordo con Marco.
Se la macchina esposta e' ben configurata (root non puo' accedere via
ssh e non e' possibile esportare X ed apache non fornisce informazioni
sugli utenti di sistema) il problema e' proprio quello di esporre o non
esporre un servizio.
Un concentratore di VPN si attesta su una macchina pubblica e corre gli
stessi rischi di un demone sshd, io direi anche che il concentratore
VPN in genere e' un sofware proprietario per il quale, nella
maggioranza dei casi, non si conoscono i rischi reali al quale si e'
esposti. 
Proprio ieri abbiamo saputo che MS ha lasciato "esposti" i suoi clienti
per piu' di 100 gg. ad un problema di possibile accesso remoto molto
serio. 
Scommettiamo che con ssh, che e' software libero, questo non sarebbe
mai potuto accadere!

Ciao,

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List