[ninux-not-wireless] Knockd: uno strumento per aprire porte on-demand (anche)
Clauz
clauz at ninux.org
Tue Mar 13 11:51:37 CET 2012
Paranoia eccessiva, secondo me...
Perche' sarebbe bene tenere chiuse le porte?
Io penso che (parlo di Linux):
- se non c'e' niente che ascolta su una porta, che questa sia aperta o
chiusa non cambia nulla
- se c'e' qualcosa che ascolta su una porta, perche' dovrei chiuderla
quando non la uso? Solo per cose tipo l'ssh brute force delle password
(che non fa paura)? O paura che ci siano ancora in giro demoni
exploitabili col buffer overflow?
ergo, per me iptables serve a nattare e a regolare il traffico, e
qualche volta a blacklistare :)
o c'e' qualcosa che mi sfugge?
ciao,
Clauz
On 03/13/2012 09:09 AM, Michele Favara Pedarsi wrote:
> Ci sono anche 2-3 varianti interessanti, un paio addirittura di natura
> crittografica. Happy Paranoia a tutti!!!
>
> ciao
>
> mfp
>
>
> Il 13 marzo 2012 16:03, Niccolò avico <niccolo.avico at gmail.com> ha scritto:
>> knockd, quando rileva una sequenza di pacchetti TCP/UDP destinata a una
>> combinazione di porte, può produrre un alert, attivare un comando locale
>> o agire su iptables per reagire all'azione.
>>
>> Il suo utilizzo principale è proprio quello di aprire porte del firewall
>> (ssh come qualsiasi altra) che normalmente, per ragioni di sicurezza, è
>> bene mantenere chiuse: knockd rimane silente ed ascolta le porte
>> indicate nella config, a link-level (quindi non ha bisogno di aprirle).
>> Al rilevare una sequenza "chiave" di pacchetti TCP o UPD su una
>> predefinita sequenza di porte (che è bene che siano chiuse), knockd
>> esegue un quasiasi script (per esempio apre una porta sul firewall e ci
>> istanzia un sshd, oppure esegue un reboot o qualsiasi altra azione locale).
>>
>> Come qualsiasi altro strumento non è perfetto, tuttavia innalza
>> sicuramente la difficoltà, per un malintenzionato, di entrare nel vostro
>> firewall.
>>
>> http://bit.ly/wpKr8P
>>
>> --
>>
>> ------------------------------
>> *Niccolò Avico*
>> diaspora: gilgamesh at diaspora.eigenlab.org
>> skype: niccolo.avico
>> LinkedIn: http://www.linkedin.com/in/navico
>> Twitter: @niccolo_avico
>> PGP Key ID: FD266A76
>>
>> _______________________________________________
>> Not-wireless mailing list
>> Not-wireless at ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/not-wireless
>>
> _______________________________________________
> Not-wireless mailing list
> Not-wireless at ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/not-wireless
More information about the Not-wireless
mailing list