[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)



Il 06/10/2021 11:16, Giuliano Curti ha scritto:

Arrivo solo ora, ma spero di poter essere utile.

L'autenticazione può essere fatta in due modi: o con la copia user:passwd o con TLS.
Opinione personale: lascia perdere user+pass e punta solo su TLS.

Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno.
Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette di garantire che le parti sono chi dicono di essere e che i pacchetti non sono stati alterati in transito. Chiaramente, se esponi un servizio insicuro (p.e. che permette esecuzione di codice arbitrario da parte di un utente non autenticato) questo rimarrà insicuro. Se invece l'unica vulnerabilità (nota) del servizio è relativa al passaggio delle credenziali o alla possibilità che qualcuno modifichi i dati in transito, allora SSL ti aiuta molto.

Sono cresciuto con il "personal" computer, nel vero senso della parola; ora mi trovo spaesato con le reti, che non conosco, e soprattutto la sicurezza;
Sei in ottima compagnia :)
tutto il thread è la traccia del mio tentativo di risalire la china.
I miei dati, immagini e foto di una casa di campagna non sono importanti, quindi sono poco interessato a soluzioni di crittografia del traffico; sono piuttosto interessato a far si che il mio sistema non possa essere utilizzato per attività malevole da terzi.
Una possibilità, molto drastica ma sicura, è non esporre nulla: tieni il sistema isolato e non sarà utile per attività malevole. Ma probabilmente neppure a te... Inizia quindi pensando a cosa ti serve fare e a quanto vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per poter accedere a remotehost:remoteport collegandoti a localhost:localport. Non è il massimo della comodità, però un malintenzionato dovrebbe poter bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro servizio che si possa far girare...

--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786


Reply to: