Porte note: rant (Was: Re: [ml] Sicurezza di SSH...)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2007 ml@sikurezza.org
Soggetto: Porte note: rant (Was: Re: [ml] Sicurezza di SSH...)
Mittente: Claudio Telmon
Data: Thu, 28 Jun 2007 17:04:55 +0200 (CEST)

Fabio Panigatti wrote:

E non solo: direi che aiuta anche a classificare meglio quel che vedi nei
log. Un bruteforce su un sshd in ascolto sulla 23651/tcp lo valuto subito
con una priorita' piu' elevata rispetto ad un brute force sulla porta 22,
perche' e' probabile che siano tentativi piu' mirati e motivati.


La logica delle porte note è una logica di servizio "al pubblico",
nella filosofia originale di Internet: se io mi voglio connettere a
un server web/telnet/ftp/altro, devo sapere a quale porta
connettermi. Assegnare una porta nota è un modo per rendere
facilmente accessibile il servizio; non per niente si chiamano "well
known ports". A parte questa comodità, non c'è nessun motivo per
assegnare la porta standard al servizio, ad esempio la 22 a ssh.
Ovvero, se il servizio non è pubblico e non voglio "rendere comodo
connettersi", non c'è niente di sbagliato in sè nel cambiarla, anzi.
È security through obscurity? Se si è fatto tutto il necessario per
rendere sicuro il servizio, non direi: c'è differenza fra pubblicare
inutilmente un'informazione (la porta su cui ascolta il servizio) e
usare l'informazione come misura di sicurezza: se io ho comunque
fatto tutto il possibile per rendere sicuro il servizio, esattamente
come se fosse sulla porta 22, cambiare porta non può ragionevolmente
essere considerato un errore.

Serve a qualcosa? Come sempre, non fornire un'informazione costringe
l'attaccante a cercarsela, e quindi sperabilmente a "farsi notare".
Se vogliamo, è anche una forma di security through diversity, e come
tale funziona solo finché è realmente "diversity"; nel momento in
cui diventasse diffuso usare porte non standard per i servizi, i
malware farebbero metodicamente scanning invece di provare solo la
porta 22. Ma nel frattempo, esattamente come gli attaccanti
sfruttano le finestre di vulnerabilità, anche i difensori possono
sfruttare tutte le possibilità che hanno a disposizione, finché
funzionano...

ciao

- Claudio

--

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org

In risposta a:
- Re: [ml] Sicurezza di SSH, meglio chiavi o password?, Mailing List Manager
- Re: [ml] Sicurezza di SSH, meglio chiavi o password?, aspinall
- Re: [ml] Sicurezza di SSH, meglio chiavi o password?, Fabio Panigatti
- Re: [ml] Sicurezza di SSH, meglio chiavi o password?, aspinall
- Re: [ml] Sicurezza di SSH, meglio chiavi o password?, Fabio Panigatti

Data:
- precedente: Re: [ml] Server FTP - iptables, aspinall
- successivo: Re: [ml] Autenticazione mista a parametri biometrici della scrittura, Mailing List Manager
- indice

Argomento:
- precedente: Re: [ml] Sicurezza di SSH, meglio chiavi o password?, Fabio Panigatti
- successivo: Re: [ml] Sicurezza di SSH, meglio chiavi o password?, raven
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005