[Pluto-security] porta 22 aperta - quanto si rischia?
Fabio Panigatti
pluto-security@lists.pluto.linux.it
Mon, 11 Nov 2002 13:55:40 +0100
> se tengo la porta 22 del firewall aperta al mondo che cosa rischio? lo
> so che è una domanda troppo generica, ma vorrei un parere. voi lo fareste?
> mi servirebbe per il trasferimento file sicuo sftp e per
> l'amministrazione remota
>
> in sostanza è meno rischioso tenere aperta la 22 per sftp o far girare
> un server ftp configurato bene?
Considera che la maggior parte dei recenti rischi per sshd venivano da
worm. Se non devi offrire servizi ssh al pubblico penso che la cosa da
fare (oltre a aggiornare sempre sshd) sia mettere in ascolto il demone
su una porta diversa dalla 22 e notificarlo agli utenti/amministratori
che devono usarlo. Se poi lo metti anche su una porta fuori dal set di
default di nmap, tagli via anche un buon numero di umani.
Restringere gli ip che possono accedere e' un'ulteriore misura ma puoi
trovarti in difficolta' qualora tu debba poter accedere al firewall da
indirizzi ip inusuali. Nel caso, comunque, puoi usare anche tcpwrapper
(la maggior parte delle distribuizoni binarie di openssh e' compilata,
di solito, con libwrap), ma io preferisco il metodo "brutale" proposto
da dido (filtraggio pacchetti).
Un metodo piu' sofisticato potrebbe prevedere che sul firewall sia in
esecuzione qualcosa che possa reagire a particolari eventi sulla rete
(tipo "due pacchetti tcp FIN di 1500 byte sulla porta XX che arrivino
entro 5 minuti l'uno dall'altro") e che attivi sshd. La scomodita' e'
che devi scegliere eventi ragionevolmente "creabili" con strumenti di
facile reperibilita', anche su macchine non tue. Puoi provare a usare
logsurfer + log di netfilter, ma ci sono molti altri strumenti.
Personalmente lo trovo inutilmente macchinoso, nella la maggior parte
delle applicazioni, ma talvolta puo' essere utile.
Non abilitare il server SSH1 e il fallback a SSH1 e disabilita' tutti
i sistemi di autenticazione che non usi. Se non hai esigenze precise,
per me ti conviene usare solo l'autenticazione a chiave pubblica.
Fabio