Re: [ml] Consiglio per implementazione simile portknocking

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2007 ml@sikurezza.org
Soggetto: Re: [ml] Consiglio per  implementazione simile portknocking
Mittente: Simone Veronese
Data: Fri, 13 Apr 2007 15:09:32 +0200 (CEST)

Luca wrote:
> Ciao a tutti! Avrei bisogno di un consiglio per gestire la seguetne
> situazione: alcuni client (con IP dinamico) devono collegasi a un server
> interno tramite telnet (l'ho sò, non e' per niente sicuro ma il
> protocollo ssh ci dà qualche problema con l'applicativo) utilizzando
> un'applicativo via web.
> 
> Praticamente l'utente deve accedere a un sito web, autenticarsi e dopo
> gli si apre una pagina web dalla quale si collega al server.
> 
> 
> Volevo implementare un sistema di "sicurezza" che funzionasse + o meno
> così:
> 
> Quando l'utente si e' autenticato nella pagina web prima di farlo
> collegare lancio un script (perl, php, cgi) che "prende" il suo ip, si
> collega su una porta del firewall e "passa" l'indirizzo ip in modo che
> il fw natta la porta "telnet" verso il server interno solo all'ip del
> portatile.
>
> Naturalmente il firewall rimarrà in ascolto sulla porta da dove si
> collega il web server solo per l'ip del web server.

Il firewall ha ssh? Se si la cosa non è complicata. Puoi fare il tutto
direttamente dalla pagina web. Tipicamente avrai una condivisione di
chiavi ssh tra web server e firewall per poter eseguire comandi senza
bisogno di passare credenziali di login.

Il comando lanciato dal webserver potrebbe essere

user@webserber:$ ssh nomeutente@indirizzofw -P nporta "comando da
lanciare sul firewall "

Il tutto inserito in un apposito script o direttamente dall'applicativo
web. (funzione exec o shell_exec di php per eseguire comandi)

Tipicamente questo comando potrà modificare una regola di iptables che
non farà altro che nattare l'indirizzo ip verso la macchina interna.

> 
> Ho guardato un pò in giro e al momento ho trovato solo questo
> portknocking ma purtoppo non fà al caso mio perchè:
> 
> 1) Non voglio installare ulteriori programmi sui client o dover far
> lanciare agli utenti altri programmi
> 2) Voglio nattare la porta solo agli indirizzi ip degli utenti che si
> loggano sul sito web
> 

Con questa soluzione non hai necessità di applicazioni aggiuntive.

> Spero di essere stato chiaro nella spiegazione.
> 

Spero di esserlo stato anche io

> Grazie e Saluti.
> 

Ciao,
 Simone

-- 
e-mail: simone [at] mt-lab.org
Linux registered user #367801
GPG key ID: 0x8A0C0D0D
Skype: simone_mt-lab

In risposta a:
- [ml] Consiglio per implementazione simile portknocking, Luca

Data:
- precedente: Re: [ml] Re: Ezine sulla sicurezza, federico.lagni@xxxxxxxxxxxxxxxxx
- successivo: Re: [ml] Re: Ezine sulla sicurezza, Vincenzo Bruno
- indice

Argomento:
- precedente: RE: [ml] Consiglio per implementazione simile portknocking, Riccardo
- successivo: Re: [ml] Consiglio per implementazione simile portknocking, nemesis
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005