Re: R: Ftp bounce

On Mon, Oct 15, 2001 at 09:22:39PM +0200, Paolo Pancheri wrote:
> On Fri, Oct 12, 2001 at 12:14:34PM +0200, Paolo Pancheri wrote:
> >> Non saprei dirti come ci si puo' difendere dal ftp bouncing. Il
> protocollo
> >> SMTP ha delle insicurezze intrinseche, dato che non effettua alcuna
> >per esempio verificando che l'indirizzo passato dal client al comando
> 'PORT'
> >sia lo stesso dal quale il client si connette. come ogni server serio
> dovrebbe
> >fate.
> E questa sarebbe sicurezza? Se usi un server ftp (e tecnica di ftp bouncing)
> per nascondere il tuo ip, cosa serve che il server di posta controlli che il
> server ftp comunichi il suo indirizzo ip reale? Tanto il tuo rimarra'
argh stiamo parlando di due cose diverse
premesso che:
1) mi frega poco dell'ip del mittente di un e-mail, a meno che questo non finga di provenire dalla mia
lan interna.
2) l'ftp bounce non e' l'unico metodo per nascondere il mittente di un email, e nascondere il mittente
di un email non e' l'unica applicazione di ftp-bounce

io dicevo di controllare *sul server FTP* che il client non facesse ftp-bounce (ovvio deve essere tuo)
tu dicevi di controllare *sul server di posta* (poco efficace, purtroppo, al limite possiamo controllare
se qualcuno arriva dalla porta 20 e accendere un campanello di allarme)
in ogni caso secondo me devono essere i server ftp ad essere chiusi, soprattutto per evitare
escalation di privilegi all interno della lan.

> >> In questo modo puoi aggiungere firme digitale e crittografia.
> >cosa centra?
> Con la firma digitale puoi sapere che chi ti manda la mail sia
> effettivamente chi dice di essere, e con la crittografia permettere la
va bene l'equivoco, ma non prendermi per scemo, dai....

-- 
Luca Berra -- bluca@comedia.it
        Communication Media & Services S.r.l.
 /"\
 \ /     ASCII RIBBON CAMPAIGN
  X        AGAINST HTML MAIL
 / \

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List