Dnia 10.08.2010 Sławek Lipowski <slawek@lipowski.org> napisał/a:
> Wystarczy zostawić otwarty port 22 na świat żeby przekonać się, że będą
> trafiać w niego próby logowania ze świata. Z jakiegoś powodu ludzie
> jednak próbują. Pojawiają się tez kolejne pytania. Czy np. takie
> wystawione na świat ssh nie będzie podatne na DDoS. Czy konfiguracja ssh
> pozwoli na przeprowadzenie ataku słownikowego?
Pomysly powszechnego blokowania SSH porownalbym do radykalizmu obrocow krzyza
na Krakowskim Przedmiesciu. Szczegolnie, ze od ostatniego istotnego bledu
implementacyjnego w OpenSSH minelo prawie 10 lat, a od tego czasu wprowadzono
tez mechanizmy minimalizujace skutki udanego wykonania kodu (PrivSep).
Jesli zas chodzi o VPN, to przestrzegalbym przed hurraoptymizmem.
IPSEC jest bardzo skomplikowanym zestawem protokolow, ktore w dodatku
w duzej mierze sa implementowane przez jadro systemu, a zatem potencjalny
blad implementacyjny niesie za soba duzo wieksze ryzyko niz w przypadku
userlandowego i privsepowanego sshd.
Powyzsza uwaga w mniejszym stopniu tyczy sie userlandowych implementacji
VPN, takich jak OpenVPN. Mimo wszystko jednak, nie stosuja one mechanizmow
separacji uprawnien, a korzystaja z zewnetrznych, niekoniecznie dobrze
przeaudytowanych bibliotek (np. liblzo).
Reasumujac -- z mojego punktu widzenia, bezpieczniej miec wystawione na swiat
SSH, niz korzystac z IPSECa lub innych VPNow.
-- * Fido: 2:480/124 ** WWW: http://www.frasunek.com ** NICHDL: PMF9-RIPE * * Jabber ID: venglin@nette.pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ5JIV *Received on Wed Aug 11 11:10:02 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 11 Aug 2010 - 11:40:00 MET DST