slackit-ml
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: R: [Slackit.org] 2 domande sulla sicurezza

From: Paolo Marzo
Subject: Re: R: [Slackit.org] 2 domande sulla sicurezza
Date: Thu, 12 May 2005 01:04:31 +0000 
Grazie per la risposta, ora me la studio con calma.

/etc/hosts.allow e  /etc/hosts.deny li ho impostati in
modo abbastanza arcigno e l'impostazione di un firewall
l'ho un affrontata quando, tempo fa, avevo il pc con le 
porte seriali inutilizzabili e utilizzavo in rete locale
un vecchio 486 come serverino casalingo. Comunque è un tema
che devo riaffrontare.

Ciao

Paolo

On Wed, 11 May 2005 23:01:18 +0200
insomniac <address@hidden> wrote:

> Paranoico? Qualcuno ha detto "paranoico"? :) Se di paranoia si tratta,
> non posso non rispondere :)
> Comunque gli attacchi principali (è riduttivo, ma passatemelo) da remoto
> avvengono sfruttando le vulnerabilità dei servizi offerti. Diretta
> conseguenza: meno servizi offri, meno rischi corri, almeno da questo
> punto di vista (sto ignorando volutamente attacchi remoti di altro
> tipo). Una buona idea è quella di controllare le porte che lasci aperte
> al mondo, magari con un netstat -npltu (-n, output numerico, -p,
> mostra programma che binda la socket, -l, mostra le socket in listen, -t
> e -u, mostrano le socket per i protocolli TCP e UDP). Come già suggerito
> puoi usare delle ACL (access control list, ossia delle regole per un
> filtraggio granulare degli accessi), mettendo mano a /etc/hosts.allow,
> /etc/hosts.deny, iptables e compagni. Oppure lanciare i demoni che ti
> servono on-demand, ossia quando questo si renda necessario (uno dei
> metodi più semplici è uno knock daemon; per maggiori informazioni cerca
> queste parole su google o su sourceforge). Parlavi di dialup, ma anche
> di connessioni permanenti: non posso non consigliarti l'utilizzo di reti
> private virtuali (VPN; vedi ad esempio openvpn o tinc), soprattutto nel
> caso in cui tu abbia bisogno di un elevato controllo sugli accessi
> (Chi? Come? Quando? E soprattutto non in chiaro --la crittografia è una
> gran cosa). In uno scenario del genere puoi permetterti di bindare i
> servizi solo sulle interfacce private, e in questo modo solo chi da i
> corretti certificati può avere accesso alle tue macchine, tutto questo,
> come detto prima, preferibilmente crittografato.
> La paranoia ti farà venire tante idee migliori e meno scontate, ma credo
> ci sia qualche spunto interessante per cominciare.
> Ah, dimenticavo. Meno informazioni hanno su di te, più dovranno
> faticare per comprometterti la rete. Leggi: togliere i banner dai
> daemon, cambiare le porte di default per evitare i mass-scan, o peggio
> ancora (paranoia!) emulare stack di rete diversi da quello del tuo OS :)
> 
> insomniac
> 
>
reply via email to
[Prev in Thread] Current Thread [Next in Thread]