nazor na portknocking?

Dan Lukes dan at obluda.cz
Fri Nov 5 05:46:46 CET 2004

Previous message: nazor na portknocking?
Next message: Auth
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Jiri B. wrote:
> prave jsem precetl diskusi ohledne portknocking(u) 
> a zajimal by me vas nazor

	V otazkach bezpecnosti obvykle neexistuji zadne obecne platne odpovedi
ani navody. Kazda technika ma obvykle sve klady a zapory.

	PK je jedna z dalsich technik, jak ochranit system. Principielne se
prilis nelisi od mnoha technik jinych. Navic exituje v nekolika ruznych
modifikacich, ktere se ve svych parametrech lisi.

	Puvodni myslenka vychazela za dvou principu - "security by obscurity",
coz je velmi ucinny mechanismus, za predpokladu, ze pouzita metoda je co
nejmene rozsirena a znama. To uz je dneska neplati. Druhy princip pak
byl "pristup ovlada co nejednodussi server" - coz ma smysl v tom, ze
takovy ma (teoreticky) mene chyb nez server puvodni, ktery chrani.

	Ve sve nejednodussi variante muze metoda fungovat - zejmena proti
necilenym laickym utokum (script-kiddies). V takovem pripade je PK
druhou linii obrany - a pokud verime, ze je tak jednoduchy a tak peclive
napsany, ze se v nem neskryva chyba umoznujici ziskat pristup primo pres
PK daemona, jde o zvyseni bezpecnosti.

	Ve svych slozitejsich variantach (pakety uz obsahuji hesla ci neco
podobneho) se cilovy server postupne komplikuje a zacina se podobat
starsim znamym resenim (treba SOCKS). S komplikovanosti se zvysuje
pravdepodobnost chyby v samotnem PK daemonovi a z "druhe obrane linie"
se stava "mozne druhe misto pruniku".

	Cim slozitejsi PK system, tim pravdepodobneji bude jeho bezpecnostni
prinos spise mensi, pokud vubec kladny.

	U slozitejsich systemu navic plati, ze rozsireni PK daemona neni tak
velke, aby se dalo hovorit o tom, ze pripadny kod je proveren tak
peclive, jako kody siroce pouzivanych daemonu (treba SSH).

	Realna bezpecnost takoveho systemu tak muze byt vyssi nebo nizsi.
Zalezi jak dalece je ktery kod kvalitni. A protoze to nelze objektivne
zjistit, zalezi na tom, cemu vic verite.

	A, v neposledni rade, zabezpeceni by melo odpovidat cene konkretnich
chranenych dat a konkretni site. Podle toho vseho si musite udelat
vlastni nazor a rozhodnout se ...

	Ja osobne jsem nejruznejsi varianty PK prohledl a dospel k zaveru, ze
tuto techniku na mnou chranenych strojich a sitich nepouziju.

						Dan



-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz

Previous message: nazor na portknocking?
Next message: Auth
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list