R: Ftp bounce

On Fri, Oct 12, 2001 at 12:14:34PM +0200, Paolo Pancheri wrote:
>> Non saprei dirti come ci si puo' difendere dal ftp bouncing. Il
protocollo
>> SMTP ha delle insicurezze intrinseche, dato che non effettua alcuna
>per esempio verificando che l'indirizzo passato dal client al comando
'PORT'
>sia lo stesso dal quale il client si connette. come ogni server serio
dovrebbe
>fate.
E questa sarebbe sicurezza? Se usi un server ftp (e tecnica di ftp bouncing)
per nascondere il tuo ip, cosa serve che il server di posta controlli che il
server ftp comunichi il suo indirizzo ip reale? Tanto il tuo rimarra'
comunque nascosto (finche' non ci si risale dai log del server ftp). Se non
controllasse l'indirizzo passato con PORT allora non starei li' a fare ftp
bouncing; connessione diretta e via (a meno dei log...).


>> autenticazione del mittente. Penso che l'unico modo per avere
comunicazioni
>> sicure con tale protocollo sia quello di utilizzare pgp o utilita'
simili.
>> In questo modo puoi aggiungere firme digitale e crittografia.
>cosa centra?
Con la firma digitale puoi sapere che chi ti manda la mail sia
effettivamente chi dice di essere, e con la crittografia permettere la
riservatezza. Con il protocollo SMTP puoi spedire una mail con indirizzo
mittente bill.gates@microsoft.com, ma non puoi aggiungere la vera firma
digitale di gates. Cercati documentazione su pgp ed il suo utilizzo per la
posta per vedere cosa centra. Tentativi di migliorare il protocollo ce ne
sono, ma solitamente si utilizza il protocollo originario che e' insicuro:
non puo' assicurare alcuna forma di autenticazione dell'utente.

L.

--
Luca Berra -- bluca@comedia.it
        Communication Media & Services S.r.l.
 /"\
 \ /     ASCII RIBBON CAMPAIGN
  X        AGAINST HTML MAIL
 / \

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List