[ninux-not-wireless] Knockd: uno strumento per aprire porte on-demand (anche)

[tglman]

Mah secondo me lo scopo di knockd e di nascondere il servizio a
pervenzione di inutili attacchi... che pure se nn fanno danni magari
occupano banda, ed inoltre con un nmap o un piu` brutale portscan si
puo` determinare quali servizi sono esposti sulla macchina, in questo
modo non risulterebbero servizi attivi quindi scoragerebbe a priori un
aventuale malintenzionato.

Ps...
 
Salve a tutti sono Emanuele Tagliaferri ... e un po che vi leggo ... e
questo e il mio primo messaggio sulla mail list :P

bye

On 03/13/2012 12:06 PM, Michele Favara Pedarsi wrote:
> Mah... sfugge non credo... ma sono filosofie diverse. Chiudere tutto e
> aprire selettivamente (le sole porte necessarie ai soli servizi
> previsti) e' un modo per alzare la sicurezza complessiva della
> macchina.
> Potrebbe ad esempio esserci un exploit via web che permette ad un
> malintenzionato di avviare un demone sulla macchina (con l'utente di
> httpd, che potrebbe avere i permessi rw sui socket) ma non avendo
> accesso ad iptables (root) questa evenienza e' scongiurata.
>
> ciao
>
> mfp
>
>
> Il 13 marzo 2012 17:51, Clauz <clauz at ninux.org> ha scritto:
>> Paranoia eccessiva, secondo me...
>>
>> Perche' sarebbe bene tenere chiuse le porte?
>>
>> Io penso che (parlo di Linux):
>>  - se non c'e' niente che ascolta su una porta, che questa sia aperta o
>> chiusa non cambia nulla
>>  - se c'e' qualcosa che ascolta su una porta, perche' dovrei chiuderla
>> quando non la uso? Solo per cose tipo l'ssh brute force delle password
>> (che non fa paura)? O paura che ci siano ancora in giro demoni
>> exploitabili col buffer overflow?
>>
>> ergo, per me iptables serve a nattare e a regolare il traffico, e
>> qualche volta a blacklistare :)
>>
>> o c'e' qualcosa che mi sfugge?
>> ciao,
>> Clauz
>>
>>
>> On 03/13/2012 09:09 AM, Michele Favara Pedarsi wrote:
>>> Ci sono anche 2-3 varianti interessanti, un paio addirittura di natura
>>> crittografica. Happy Paranoia a tutti!!!
>>>
>>> ciao
>>>
>>> mfp
>>>
>>>
>>> Il 13 marzo 2012 16:03, Niccolò avico <niccolo.avico at gmail.com> ha scritto:
>>>> knockd, quando rileva una sequenza di pacchetti TCP/UDP destinata a una
>>>> combinazione di porte, può produrre un alert, attivare un comando locale
>>>> o agire su iptables per reagire all'azione.
>>>>
>>>> Il suo utilizzo principale è proprio quello di aprire porte del firewall
>>>> (ssh come qualsiasi altra) che normalmente, per ragioni di sicurezza, è
>>>> bene mantenere chiuse: knockd rimane silente ed ascolta le porte
>>>> indicate nella config, a link-level (quindi non ha bisogno di aprirle).
>>>> Al rilevare una sequenza "chiave" di pacchetti TCP o UPD su una
>>>> predefinita sequenza di porte (che è bene che siano chiuse), knockd
>>>> esegue un quasiasi script (per esempio apre una porta sul firewall e ci
>>>> istanzia un sshd, oppure esegue un reboot o qualsiasi altra azione locale).
>>>>
>>>> Come qualsiasi altro strumento non è perfetto, tuttavia innalza
>>>> sicuramente la difficoltà, per un malintenzionato, di entrare nel vostro
>>>> firewall.
>>>>
>>>> http://bit.ly/wpKr8P
>>>>
>>>> --
>>>>
>>>> ------------------------------
>>>> *Niccolò Avico*
>>>> diaspora: gilgamesh at diaspora.eigenlab.org
>>>> skype: niccolo.avico
>>>> LinkedIn: http://www.linkedin.com/in/navico
>>>> Twitter: @niccolo_avico
>>>> PGP Key ID: FD266A76
>>>>
>>>> _______________________________________________
>>>> Not-wireless mailing list
>>>> Not-wireless at ml.ninux.org
>>>> http://ml.ninux.org/mailman/listinfo/not-wireless
>>>>
>>> _______________________________________________
>>> Not-wireless mailing list
>>> Not-wireless at ml.ninux.org
>>> http://ml.ninux.org/mailman/listinfo/not-wireless
>> _______________________________________________
>> Not-wireless mailing list
>> Not-wireless at ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/not-wireless
> _______________________________________________
> Not-wireless mailing list
> Not-wireless at ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/not-wireless