[ninux-not-wireless] Knockd: uno strumento per aprire porte on-demand (anche)
Federico Capoano
Federico.Capoano at teletu.it
Tue Mar 13 14:32:08 CET 2012
Benvenuto Emanuele,
comunque le discussioni sulla sicurezza sono interessanti, è bello
vedere diversi punti di vista.
Sono daccordo sul limitare attacchi inutili, ho alcuni siti su cui
guardando i log si vedono miliardi di tentativi a URL che non esistono
(tipo /admin o /phpmyadmin).
Fed
Il 13/03/2012 12.43, tglman ha scritto:
> Mah secondo me lo scopo di knockd e di nascondere il servizio a
> pervenzione di inutili attacchi... che pure se nn fanno danni magari
> occupano banda, ed inoltre con un nmap o un piu` brutale portscan si
> puo` determinare quali servizi sono esposti sulla macchina, in questo
> modo non risulterebbero servizi attivi quindi scoragerebbe a priori un
> aventuale malintenzionato.
>
> Ps...
>
> Salve a tutti sono Emanuele Tagliaferri ... e un po che vi leggo ... e
> questo e il mio primo messaggio sulla mail list :P
>
> bye
>
> On 03/13/2012 12:06 PM, Michele Favara Pedarsi wrote:
>> Mah... sfugge non credo... ma sono filosofie diverse. Chiudere tutto e
>> aprire selettivamente (le sole porte necessarie ai soli servizi
>> previsti) e' un modo per alzare la sicurezza complessiva della
>> macchina.
>> Potrebbe ad esempio esserci un exploit via web che permette ad un
>> malintenzionato di avviare un demone sulla macchina (con l'utente di
>> httpd, che potrebbe avere i permessi rw sui socket) ma non avendo
>> accesso ad iptables (root) questa evenienza e' scongiurata.
>>
>> ciao
>>
>> mfp
>>
>>
>> Il 13 marzo 2012 17:51, Clauz <clauz at ninux.org> ha scritto:
>>> Paranoia eccessiva, secondo me...
>>>
>>> Perche' sarebbe bene tenere chiuse le porte?
>>>
>>> Io penso che (parlo di Linux):
>>> - se non c'e' niente che ascolta su una porta, che questa sia aperta o
>>> chiusa non cambia nulla
>>> - se c'e' qualcosa che ascolta su una porta, perche' dovrei chiuderla
>>> quando non la uso? Solo per cose tipo l'ssh brute force delle password
>>> (che non fa paura)? O paura che ci siano ancora in giro demoni
>>> exploitabili col buffer overflow?
>>>
>>> ergo, per me iptables serve a nattare e a regolare il traffico, e
>>> qualche volta a blacklistare :)
>>>
>>> o c'e' qualcosa che mi sfugge?
>>> ciao,
>>> Clauz
>>>
>>>
>>> On 03/13/2012 09:09 AM, Michele Favara Pedarsi wrote:
>>>> Ci sono anche 2-3 varianti interessanti, un paio addirittura di natura
>>>> crittografica. Happy Paranoia a tutti!!!
>>>>
>>>> ciao
>>>>
>>>> mfp
>>>>
>>>>
>>>> Il 13 marzo 2012 16:03, Niccolò avico <niccolo.avico at gmail.com> ha scritto:
>>>>> knockd, quando rileva una sequenza di pacchetti TCP/UDP destinata a una
>>>>> combinazione di porte, può produrre un alert, attivare un comando locale
>>>>> o agire su iptables per reagire all'azione.
>>>>>
>>>>> Il suo utilizzo principale è proprio quello di aprire porte del firewall
>>>>> (ssh come qualsiasi altra) che normalmente, per ragioni di sicurezza, è
>>>>> bene mantenere chiuse: knockd rimane silente ed ascolta le porte
>>>>> indicate nella config, a link-level (quindi non ha bisogno di aprirle).
>>>>> Al rilevare una sequenza "chiave" di pacchetti TCP o UPD su una
>>>>> predefinita sequenza di porte (che è bene che siano chiuse), knockd
>>>>> esegue un quasiasi script (per esempio apre una porta sul firewall e ci
>>>>> istanzia un sshd, oppure esegue un reboot o qualsiasi altra azione locale).
>>>>>
>>>>> Come qualsiasi altro strumento non è perfetto, tuttavia innalza
>>>>> sicuramente la difficoltà, per un malintenzionato, di entrare nel vostro
>>>>> firewall.
>>>>>
>>>>> http://bit.ly/wpKr8P
>>>>>
>>>>> --
>>>>>
>>>>> ------------------------------
>>>>> *Niccolò Avico*
>>>>> diaspora: gilgamesh at diaspora.eigenlab.org
>>>>> skype: niccolo.avico
>>>>> LinkedIn: http://www.linkedin.com/in/navico
>>>>> Twitter: @niccolo_avico
>>>>> PGP Key ID: FD266A76
>>>>>
>>>>> _______________________________________________
>>>>> Not-wireless mailing list
>>>>> Not-wireless at ml.ninux.org
>>>>> http://ml.ninux.org/mailman/listinfo/not-wireless
>>>>>
>>>> _______________________________________________
>>>> Not-wireless mailing list
>>>> Not-wireless at ml.ninux.org
>>>> http://ml.ninux.org/mailman/listinfo/not-wireless
>>> _______________________________________________
>>> Not-wireless mailing list
>>> Not-wireless at ml.ninux.org
>>> http://ml.ninux.org/mailman/listinfo/not-wireless
>> _______________________________________________
>> Not-wireless mailing list
>> Not-wireless at ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/not-wireless
> _______________________________________________
> Not-wireless mailing list
> Not-wireless at ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/not-wireless
>
>
More information about the Not-wireless
mailing list