Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)

To: debian-italian@lists.debian.org
Subject: Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
From: Davide Prina <davide.prina@gmail.com>
Date: Mon, 4 Oct 2021 21:37:06 +0200
Message-id: <[🔎] 0f9e4fec-042e-beb6-ab33-98ebe3df05cc@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] CAKpfxauJnYjGCx9yf6SCZNmkAwQg84W1o-Ys7Ab1uL9JU7_xgw@mail.gmail.com>
References: <[🔎] CAKpfxauJnYjGCx9yf6SCZNmkAwQg84W1o-Ys7Ab1uL9JU7_xgw@mail.gmail.com>

On 04/10/21 19:19, Giuliano Curti wrote:

come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando
un po' e spero di configurarlo quanto prima;

ma file2ban dovrebbe essere sufficiente installarlo, poi si occupa luidi chiudere fuori, temporaneamente, gli indirizzi che fanno troppi tentativi

Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la
configurazione di SSH per lavorare con chiavi senza password non
risolverebbe il problema?

non ho seguito tutto il discorso e forse non ho capito quale sia ilproblema.Usando una coppia di chiavi pubblica/privata puoi impostarlo per avere,ad esempio, l'accesso da remoto direttamente.

reputo difficile per un eventuale malintenzionato
scoprire la chiave o sbaglio?

se entrambi i sistemi sono sicuri e non accessibili dall'attaccante èdifficile indovinare la chiave privata... naturalmente dipendedall'algoritmo usato, dalla lunghezza della chiave, di come vieneutilizzato, ...

Se l'attaccante fa tentativi da remoto, hai installato file2ban el'attaccante usa sempre lo stesso IP di partenza, allora riesce a farepochi tentativi.

le stream con modalità TLS

ripeto non ho seguito il discorso e non sono pratico dei sistemi ditelecamere.Ma in generale se espone lo stream in TLS, cioè penso tu voglia dire TLSover HTTP == HTTPS, allora dipende dal metodo di autenticazione usato edall'algoritmo utilizzato per creare il canale cifrato.Tieni presente che l'HTTPS non è eccezionalmente intrinsecamente sicuro.Dovresti usare l'ultima versione TLS 1.3, impedire che si possarinegoziare verso versioni precedenti, ...

Forse, se è una cosa ad hoc, sarebbe più sicuro crearsi due coppie dichiavi pubblica/privata, ognuna per un end point. Usi queste coppie dichiavi per autenticare i due end point. Cifri da un end point con lachiave pubblica dell'altro e gli invii il flusso cifrato e l'altrodecifra con la sua chiave privata.

In questo modo decidi tu lunghezza chiavi (naturalmente dipende anchedalle prestazioni), quando rigenerarle, ..., su che porta esporre, ...evitare l'hanshake e la negoziazione, ...

E tutto questo presupponendo che i due end point non abbiano altriproblemi di sicurezza che potrebbero rendere vane queste misure.


Ciao
Davide
--
Sistema operativo: http://www.debian.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

Follow-Ups:
- Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
  - From: Mauro <mauro@teppisti.it>

References:
- Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
  - From: Giuliano Curti <giulianc51@gmail.com>

Prev by Date: Re: dpkg-reconfigure keyboard-configuration
Next by Date: Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Previous by thread: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Next by thread: Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)
Index(es):
- Date
- Thread