Re: [ml] connessione remota: SSH o IPsec?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2008 ml@sikurezza.org
Soggetto: Re: [ml] connessione remota: SSH o IPsec?
Mittente: Marco d'Itri
Data: Sun, 10 Aug 2008 20:49:39 +0200 (CEST)

On Jul 17, simo <simo.sorce@xxxxxxx> wrote:

> La situazione cambia pero' se openvpn gira su una macchina dedicata
> (eventualmente virtuale, sarebbe l'equivalente di una chroot, anche se
> fisicamente separata e' probabilmente meglio ad essere paranoici).
Vero, ma non mi pare che si stesse analizzando questo setup.

> Ma a questo punto e' da chiedersi che cosa devi proteggere di cosi'
> importante che un esposizione di breve termine (perche' tu patcherai ssh
> immediatemente se sorge un problema no?) e' cosi' grave da giustificare
> layer multipli, normalmente il gioco non vale la candela.
Appunto quello che cercavo di spiegare...


On Jul 17, Dario Lombardo <dario.lombardo@xxxxxxxxxxxxxxxx> wrote:

> Marco d'Itri wrote:
>> Riflettiamo un attimo su quali sono le vulnerabilità plausibili:
>> difficilmente un bug di openvpn avrà come effetto semplicemente di
>> aggirarlo e permettere di arrivare a ssh, è molto più probabile che
>> permetta di eseguire dello shellcode ed ecco che sparisce la presunta
>> stratificazione di difese.
>> Se ho un openssh esposto almeno posso sperare che dopo l'ultimo buco
>> comunque l'attaccante nel peggiore dei casi si trovi ad eseguire codice
>> in un chroot vuoto, con openvpn chissà.
> Ah si?? E queste belle considerazioni sono suffragate da cosa? Cosa mi  
> dice che l'exploit di ssh mi porti dentro la sua jail e non fuori? Fai  
> delle considerazioni che paiono chiare solo a te.
È una conseguenza di come è progettato: il processo che parla con
l'esterno durante la fase di autenticazione gira senza privilegi in un
chroot e quindi si sa bene cosa si può fare prendendone il controllo
(praticamente niente), quello di openvpn in genere gira come root.
Fino a prova contraria quindi la mia opinione è che un processo openssh
esposto è meno vulnerabile di un processo openvpn esposto.

> Perche' tu vuoi pensarla cosi', non perche' sia effettivamente qualcosa  
> che debba essere dimostrato.
Quindi tu affermi assiomi?

>> Perché ssh rispetto a telnet fornisce maggiore sicurezza in modo
>> evidente e tangibile, la security da webforum che vedo proporre invece
>> no.
> Ah si? E perche' quello che e' ovvio per te e' verita' e quello che e'  
> ovvio per me e' security da webforum?
Scusami, avevo dato per scontato che fosse ovvio per tutti e due quali
sono i vantaggi di ssh rispetto a telnet: autenticazione e
confidenzialità garantite dalla crittografia.

-- 
ciao,
Marco

Attachment: signature.asc
Description: Digital signature

Messaggi successivi:
- Re: [ml] connessione remota: SSH o IPsec?, Sanata
- [ml] Capita anche nelle migliori famiglie..., Domenico Viggiani

Data:
- precedente: Re: [ml] BIND, ci risiamo.., Marco d'Itri
- successivo: [ml] Capita anche nelle migliori famiglie..., Domenico Viggiani
- indice

Argomento:
- precedente: Re: [ml] BIND, ci risiamo.., ascii
- successivo: [ml] Capita anche nelle migliori famiglie..., Domenico Viggiani
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005