[ninux-not-wireless] Knockd: uno strumento per aprire porte on-demand (anche)
Michele Favara Pedarsi
mfp at meganetwork.org
Tue Mar 13 12:06:00 CET 2012
Mah... sfugge non credo... ma sono filosofie diverse. Chiudere tutto e
aprire selettivamente (le sole porte necessarie ai soli servizi
previsti) e' un modo per alzare la sicurezza complessiva della
macchina.
Potrebbe ad esempio esserci un exploit via web che permette ad un
malintenzionato di avviare un demone sulla macchina (con l'utente di
httpd, che potrebbe avere i permessi rw sui socket) ma non avendo
accesso ad iptables (root) questa evenienza e' scongiurata.
ciao
mfp
Il 13 marzo 2012 17:51, Clauz <clauz at ninux.org> ha scritto:
> Paranoia eccessiva, secondo me...
>
> Perche' sarebbe bene tenere chiuse le porte?
>
> Io penso che (parlo di Linux):
> - se non c'e' niente che ascolta su una porta, che questa sia aperta o
> chiusa non cambia nulla
> - se c'e' qualcosa che ascolta su una porta, perche' dovrei chiuderla
> quando non la uso? Solo per cose tipo l'ssh brute force delle password
> (che non fa paura)? O paura che ci siano ancora in giro demoni
> exploitabili col buffer overflow?
>
> ergo, per me iptables serve a nattare e a regolare il traffico, e
> qualche volta a blacklistare :)
>
> o c'e' qualcosa che mi sfugge?
> ciao,
> Clauz
>
>
> On 03/13/2012 09:09 AM, Michele Favara Pedarsi wrote:
>> Ci sono anche 2-3 varianti interessanti, un paio addirittura di natura
>> crittografica. Happy Paranoia a tutti!!!
>>
>> ciao
>>
>> mfp
>>
>>
>> Il 13 marzo 2012 16:03, Niccolò avico <niccolo.avico at gmail.com> ha scritto:
>>> knockd, quando rileva una sequenza di pacchetti TCP/UDP destinata a una
>>> combinazione di porte, può produrre un alert, attivare un comando locale
>>> o agire su iptables per reagire all'azione.
>>>
>>> Il suo utilizzo principale è proprio quello di aprire porte del firewall
>>> (ssh come qualsiasi altra) che normalmente, per ragioni di sicurezza, è
>>> bene mantenere chiuse: knockd rimane silente ed ascolta le porte
>>> indicate nella config, a link-level (quindi non ha bisogno di aprirle).
>>> Al rilevare una sequenza "chiave" di pacchetti TCP o UPD su una
>>> predefinita sequenza di porte (che è bene che siano chiuse), knockd
>>> esegue un quasiasi script (per esempio apre una porta sul firewall e ci
>>> istanzia un sshd, oppure esegue un reboot o qualsiasi altra azione locale).
>>>
>>> Come qualsiasi altro strumento non è perfetto, tuttavia innalza
>>> sicuramente la difficoltà, per un malintenzionato, di entrare nel vostro
>>> firewall.
>>>
>>> http://bit.ly/wpKr8P
>>>
>>> --
>>>
>>> ------------------------------
>>> *Niccolò Avico*
>>> diaspora: gilgamesh at diaspora.eigenlab.org
>>> skype: niccolo.avico
>>> LinkedIn: http://www.linkedin.com/in/navico
>>> Twitter: @niccolo_avico
>>> PGP Key ID: FD266A76
>>>
>>> _______________________________________________
>>> Not-wireless mailing list
>>> Not-wireless at ml.ninux.org
>>> http://ml.ninux.org/mailman/listinfo/not-wireless
>>>
>> _______________________________________________
>> Not-wireless mailing list
>> Not-wireless at ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/not-wireless
>
> _______________________________________________
> Not-wireless mailing list
> Not-wireless at ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/not-wireless
More information about the Not-wireless
mailing list