Dnia 11.08.2010 Przemyslaw Frasunek <venglin+usenet@freebsd.lublin.pl> napisał/a:
> Ile widziales bledow typu preauth w SSH, od kiedy wprowadzono PrivSep?
> Czy nie bardziej sie boisz tego typu bledow w implementacji BGP, czy
> remote DoSow w implementacji firewalla?
Ograniczenie dostępu do TCP/179 tylko dla peerów to oczywista oczywistość.
A ACL-ki na normalnych gratach zrobi Ci jakiś ASIC.
> Czym? Firewallem, ktory moze byc (i czesto bywal) podatny na remote DoS?
> No chyba, ze archaiczne tcpwrappers.
Nie firewalujmy, bo kod firewalla może mieć bugi? Wg Ciebie z zestawu:
1. serwer z sshd wystawionym na świat
2. serwer z sshd i firewallem dropującym połączenia SSH z niezaufanych hostów
opcja 2. stwarza większe możliwości zaatakowania systemu, bo ma firewalla,
który może miec np. DoSa w kodzie reasemblacji pakietów? :D
>> Tak że ruter zdalnego dostępu, przez który uzyskujemy dostęp do sieci
>> zarządzania i dopiero tamtędy SSH-ujemy się na docelowy system, wydaje
>> mi się zupełnie koszernym rozwiązaniem. ;)
>
> Z dokladnoscia do bledow w implementacji VPN i ryzyk z tym zwiazanych.
Jakie widzisz? Poza DoS-em na koncentrator VPN i odcięciem od sieci zarządzania.
-- Paweł MałachowskiReceived on Wed Aug 11 14:15:02 2010
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 11 Aug 2010 - 14:40:00 MET DST