Re: [ml] VPN vs Filtered PortForward

> Ma se Mr Terzi mi dice "no io una porta non te la apro perche' ho
> paura, facciamoci una VPN" io potrei perdere un bel po' di tempo per
> mettere a punto il tutto. Posso argomentare dicendo qualcosa del tipo
> "l'altro sistema e' altrettanto sicuro quindi non facciamoci del male"
> senza temere di dire una cavolata enorme e pericolosa?
> 
> Grazie,
> RIc

Se posso dirti la mia se un domani ti nascesse l'esigenza di attivare
un altro servizio dovresti rivolgerti di nuovo all'omino che sta
dietro al router, xke' invece di fare questo non fai una vpn con
Openvpn che si connetta da dietro al router verso fuori (con dyndns o
indirizzo statico risolvi dal lato "pc di casa da cui mi connetto x
monitorare la rete/il server).

ti cito una parte della faq di openvpn che trovi alla pagina
http://openvpn.sourceforge.net/faq.html:
"While it's impossible to assure with certainty that no weaknesses
exist, OpenVPN has multiple levels of security to protect against a
single flaw causing a catastrophic security breach. For example, by
using --user nobody --group nobody you can ensure that even if some
kind of remote buffer overflow exploit were discovered, the exploit
would be unable to elevate its privilege to root. Another example is
using SSL/TLS security with --tls-auth. Using --tls-auth ensures that
even if a remote buffer overflow is discovered and exploited in the
SSL/TLS authentication code in the OpenSSL library, it could not be
used to attack an OpenVPN session that is protected with a --tls-auth
password. In addition, if you use SSL/TLS authentication, you have the
benefit of "perfect forward secrecy"."

Ricordo che openvpn va sia su tcp che su udp e funziona sia su Linux
che su Windows.
A questo punto xke' decidere un servizio solo (ssh/sftp) e chiedere al
fornitore del servizio di mapparti una porta (che cmq porta al rischio
di avere una porta aperta rediretta dall'esterno all'interno) quando
puoi avere una vpn completamente funzionante dove se un gg ti nasce
l'esigenza di (esempio) monitorare la rete con nagios non devi
chiedere niente a nessuno e soprattutto dall'esterno non hai porte
aperte ?
Oltre a cio' si aggiunge la semplicita' di openvpn dove con 6 righe
hai fatto la conf di entrambi i lati della vpn (che differiscono solo
dalla riga "remote").
La domanda e'... xke' limitarsi a ssh/sftp chiedendo il permesso
quando puoi avere tutto senza chiedere nulla a nessuno ^_^

-=N0bodY88=-
Spippolatori Member - Olografix Member
"Ho cercato di salvare la Contea ed è stata salvata, ma non per me.
Deve essere spesso così, Sam, quando le cose sono in pericolo:
qualcuno vi deve rinunciare, perderle, affinchè altri possano goderle"
(The Lord of Rings III, cap 6, pag 224)