Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
On 04/10/21 19:19, Giuliano Curti wrote:
come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando
un po' e spero di configurarlo quanto prima;
ma file2ban dovrebbe essere sufficiente installarlo, poi si occupa lui
di chiudere fuori, temporaneamente, gli indirizzi che fanno troppi tentativi
Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la
configurazione di SSH per lavorare con chiavi senza password non
risolverebbe il problema?
non ho seguito tutto il discorso e forse non ho capito quale sia il
problema.
Usando una coppia di chiavi pubblica/privata puoi impostarlo per avere,
ad esempio, l'accesso da remoto direttamente.
reputo difficile per un eventuale malintenzionato
scoprire la chiave o sbaglio?
se entrambi i sistemi sono sicuri e non accessibili dall'attaccante è
difficile indovinare la chiave privata... naturalmente dipende
dall'algoritmo usato, dalla lunghezza della chiave, di come viene
utilizzato, ...
Se l'attaccante fa tentativi da remoto, hai installato file2ban e
l'attaccante usa sempre lo stesso IP di partenza, allora riesce a fare
pochi tentativi.
le stream con modalità TLS
ripeto non ho seguito il discorso e non sono pratico dei sistemi di
telecamere.
Ma in generale se espone lo stream in TLS, cioè penso tu voglia dire TLS
over HTTP == HTTPS, allora dipende dal metodo di autenticazione usato e
dall'algoritmo utilizzato per creare il canale cifrato.
Tieni presente che l'HTTPS non è eccezionalmente intrinsecamente sicuro.
Dovresti usare l'ultima versione TLS 1.3, impedire che si possa
rinegoziare verso versioni precedenti, ...
Forse, se è una cosa ad hoc, sarebbe più sicuro crearsi due coppie di
chiavi pubblica/privata, ognuna per un end point. Usi queste coppie di
chiavi per autenticare i due end point. Cifri da un end point con la
chiave pubblica dell'altro e gli invii il flusso cifrato e l'altro
decifra con la sua chiave privata.
In questo modo decidi tu lunghezza chiavi (naturalmente dipende anche
dalle prestazioni), quando rigenerarle, ..., su che porta esporre, ...
evitare l'hanshake e la negoziazione, ...
E tutto questo presupponendo che i due end point non abbiano altri
problemi di sicurezza che potrebbero rendere vane queste misure.
Ciao
Davide
--
Sistema operativo: http://www.debian.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: