[FLUG] Re: porte non default

Mailing List del Fortunae LUG
=============================

On Sun, Sep 22, 2002 at 10:34:53AM +0200, m27 [h] wrote:

> Per RSA/DSA ho iniziato più o meno a capire come funzionano, per quanto 

Se vuoi maggiori informazioni, il manuale di Openssl e' molto istruttivo.
http://www.openssl.org.

> riguarda l'apertura dall'esterno solo ad alcuni IP autorizzati è un problema, 
> infatti, ho pensato di usare iptables, ma il problema è che io non conosco in 
> partenza l'IP da cui inizierò la connessione; se mi connetto dal computer dal 

Ho sfogliato al volo la man page di tcpd e ho trovato un sistema che, forse,
potrebbe fare al caso: c'e' la possibilita' di discriminare l'accesso al
demone anche in base al nome DNS dell'IP di provenienza.
Per cui, se ad es. ti apri un account su un dynamic DNS
(http://www.dyndns.org e' uno dei tanti) che aggiorni automaticamente la
coppia nome/ip quando ti colleghi e usi quello come unico host autorizzato,
dovresti riuscire a costruire un'apertura on-demand.
I rischi sono principalmente due:

1) Normalmente, quando ti scolleghi, la corrispondenza nome/ip non viene
azzerata immediatamente, ma e' soggetta al normale expiration time delle
entry DNS.
Di solito, sui dinamici gratuiti, questo tempo e' di un'ora.
Nel frattempo, quello che prende il tuo IP dopo di te, potenzialmente,
potrebbe accedere (anche se questo rischio e' quasi annullato
dall'autenticazione a chiave pubblica/privata).

2) DNS spoofing: la cache DNS potrebbe essere avvelenata da un attacker, che
potrebbe spacciarsi per tuoaccount.dyndns.org.
Vale la stessa considerazione sull'autenticazione di cui sopra.

In buona sostanza, non lo utilizzerei in ambienti di produzione, ma se
l'esigenza e' minore mi sembra piu' che abbastanza per sentirsi sicuri.

-- 
BlueRaven

There are only 10 types of people in this world...
those who understand binary, and those who don't.
--
<simon> magna caga e en capisc un cas

Other related posts: