Re: [ml] accesso vpn/usb

> essendo che tutti quelli che devono accedere ai server possiedono un
> loro portatile la mia idea ? di dotarli di chiavetta usb con sopra la
> chiave per poter far partire la vpn e di lasciare il firewall in
> ascolto. quando una vpn sale il laptop entra direttamente nella lan e a

Mi pare una buona soluzione, puoi comunque fare un vpn server separato
dal firewall, che ritengo ancora migliore come soluzione, tuttavia e'
accettabile anche avere la vpn sul firewall, o quantomento e' molto
meglio che ora con le ssh aperte, sempre a mio parere ovviamente.

Puoi anche pensare di non mettere i portatili che si collegano alla vpn
in bridge e quindi direttamente nella lan, ma magari fare una subnet
separata e routata nella lan, con il semplice scopo di semplificarti la
vita e permetterti un pesante firewalling anche da chi si connette via
vpn ( lasciando quindi magari passare solo cio' che arriva in direzione
della lan solo la tcp 22... ).
Puoi firewallare chi arriva dalla vpn comunque anche con il bridge
ovviamente... ma magari cosi' ti risulta piu ordinato.


> - ? pi? sicuro avere un server openvpn in ascolto o cinque porte con ssh
> sopra?
>

OpenVPN non ha ancora avuto problemi di sicurezza noti, ssh storicamente
ne ha avuti parecchi. Anche ammettendo che comunque ssh attualmente non
abbia problemi di questo tipo, hai comunque un rapporto 5 contro 1.
Secondo te quindi qual'e' la via migliore?

Devi considerare inoltre un altro aspetto.
Anche qualora qualcuno riuscisse ad attaccarsi alla tua VPN, non sarebbe
ancora entrato nelle macchine, sarebbe semplicemente nella rete dove ha
ancora da passare via ssh per entrare, quindi hai aggiunto un "layer in
piu" per accedere alle macchine.
 
> - una volta entrati nella lan i laptop potrebbero diventare punti di
> accesso, perch? sulla loro sicurezza non ho garanzie (o meglio, le ho,
> ma limitate dal fatto che se uno non sa trovarsi un rootkit...), vorrei
> impedire questo ma non mi vengono idee
> 

Punti di accesso alla lan, quindi punti di accesso che permettono di
arrivare a poter tentare di entrare via ssh.
In altre parole, i portatili eventualmente sbragati non farebbero altro
che permettere ad un eventuale attaccante di arrivare allo stesso punto 
di "pericolosita'" che avrebbe un qualsiasi host in internet qualora tu
optassi per esporre ssh direttamente sull'ip pubblico, ovviamente
escludendo il discorso di eventuali altri servizi presenti e coperti da
firewall.

> alla luce di questi due dubbi sto pensando che la mia idea sia una
> minchiata e quindi di optare per quello che mi sembra pi? sicuro, ovvero
> ssh sul firewall e poi da l? ssh sulle macchine, tuttavia rimango sempre
> un po' innervosito dall'avere un ssh aperto sulla macchina che fa da
> firewall.
> 

Considero aprire ssh su un firewall la peggiore idea che si possa avere
in assoluto. Piuttosto e' meglio fare come fai ora con 5 porte
redirette! ( che comunque non considero una buona idea... )


-- 

Franco (nextime) Lanza
Network Admin - http://www.nexlab.it
tel: +39 339 8125940
Fax: +39 02 48370447
Milano - Italy

NO TCPA: http://www.no1984.org
you can download my public key at:
http://danex.nexlab.it/nextime.asc || Key Servers
Key ID = D6132D50
Key fingerprint = 66ED 5211 9D59 DA53 1DF7  4189 DFED F580 D613 2D50
-----------------------------------
echo 16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D212153574F444E49572045535520454D20454B414D204F54204847554F4E452059415020544F4E4E4143205345544147204C4C4942snlbxq | dc
-----------------------------------

Attachment: signature.asc
Description: Digital signature