Meglio ssh o vpn
pac
oppure fare una vpn ?
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-ital...@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a listm...@lists.debian.org
To UNSUBSCRIBE, email to debian-ital...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Lucio Crusca
> Per un accesso esterno se serve solo ssh, è più sicuro un accesso ssh
> oppure fare una vpn ?
Dipende da come configuri l'uno e l'altro. Intrinsecamente credo abbiano lo
stesso livello di sicurezza, se poi però lasci la password del certificato
appiccicata al notebook con un post-it...
--
Virtual Bit di Lucio Crusca
http://www.virtual-bit.com
dea
CIAO !
mhhh dare una risposta non è possibile a mio parere.
Prima devi definire ciò che intendi per sicurezza. Sia SSH che i protocolli
VPN possono usare sistemi crittografici allo stato dell'arte (AES256), sistemi
più vecchi e compatibili (triplo DES, utile specialmente per la cifratura
fatta in hardware via DSP).
Ma questo non vuol dire nulla.
Se un demone presenta un problema di sicurezza, lo mantieni aggiornato ? Se si
quanto tempo impieghi tra l'identificazione del problema e l'applicazione
della patch ?
Ancora.. il tuo sistema presenta "debolezze" non proprie della distribuzione
(qualunque sia) ma date da: tuoi utenti che non sanno quello che fanno (basta
anche che un tuo utente utilizzi il suo account in remoto da un PC non
controllato da te ed infetto, magari con un keylogger e un eventuale
attaccante guadagna almeno l'account di user).
Utilizzi sistemi di autenticazione tramite OTP per tutelarti dai keylogger (se
sospetti di utilizzare client non sicuri) ?
Applichi filtri su SSH, del tipo permetti solo ad IP..... o permetti al mondo ?
Ci sono mille se e mille ma, penso che il problema di rendere sicura una
macchina, non sia quello di scegliere se usare SSH, tunnel via VPN o
similari... diventa un discorso lungo, quasi filosofico.
Il mio è solo un pensiero... come tale consideralo.
CIAO
Luca
Davide Prina
> Per un accesso esterno se serve solo ssh, è più sicuro un accesso ssh
> oppure fare una vpn ?
secondo me, che non sono un esperto in questo settore, è più sicuro dare
l'accesso più restrittivo possibile a parità di sicurezza nella
connessione. Quindi ssh
ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook
dea
> pac wrote:
> > Per un accesso esterno se serve solo ssh, è più sicuro un accesso ssh
> > oppure fare una vpn ?
>
> secondo me, che non sono un esperto in questo settore, è più sicuro
> dare l'accesso più restrittivo possibile a parità di sicurezza nella
> connessione. Quindi ssh
>
> ciao
> Davide
>
Certo, quoto al 100 % con quello che Davide ha detto, ma, in ragione ancora
più generale.
Sia che tu utilizzi SSH che VPN, una buona dose di paranoia non fa mai male.
Quindi non aprire ciò che non ti serve a chi non interessa.
Se sai a priori che ti connetterai da un insieme di PC client, allora apri SSH
o un tunnel SOLO per quei PC, se non sei sicuro di quei PC, allora usa OTP +
autenticazione standard, gioca con PAM, creati una scaletta di metodi di
autenticazione, OTP ti tutela dai keylogger, ma se fosse bacato ? Concatena
metodi in stato "required"....
O magari non usare le password per SSH ma i certificati (sono più "robusti"
che una semplice password).
Aggiungi fantasia e paranoia...
benvenuto
;)
Federico Di Gregorio
> pac wrote:
> > Per un accesso esterno se serve solo ssh, è più sicuro un accesso ssh
> > oppure fare una vpn ?
>
> secondo me, che non sono un esperto in questo settore, è più sicuro dare
> l'accesso più restrittivo possibile a parità di sicurezza nella
> connessione. Quindi ssh
Cioé dare una shell? Spesso la VPN è *più* restrittiva dell'ssh.
--
Federico Di Gregorio http://people.initd.org/fog
Debian GNU/Linux Developer f...@debian.org
INIT.D Developer f...@initd.org
If nobody understand you, that doesn't mean you're an artist.
-- anonymous
Davide Prina
> Il giorno gio, 09/07/2009 alle 20.57 +0200, Davide Prina ha scritto:
>> pac wrote:
>>> Per un accesso esterno se serve solo ssh, è più sicuro un accesso ssh
>>> oppure fare una vpn ?
>> secondo me, che non sono un esperto in questo settore, è più sicuro dare
>> l'accesso più restrittivo possibile a parità di sicurezza nella
>> connessione. Quindi ssh
>
> Cioé dare una shell? Spesso la VPN è *più* restrittiva dell'ssh.
naturalmente poi bisogna vedere cosa si intende per VPN. Normalmente, da
profano, io intendo come VPN l'accesso alla rete interna e quindi a
tutte le risorse disponibili più quella che si deve raggiungere con
l'accesso ssh.
Inoltre nella mail iniziale dice che serve solo ssh e dice che al posto
di dare ssh può dare l'accesso tramite VPN. Quindi la VPN indicata è di
sicuro >= ssh indicato.
Ciao
Davide
--
Dizionari: http://linguistico.sourceforge.net/wiki
Strumenti per l'ufficio: http://it.openoffice.org
pac
>
>> pac wrote:
>> > Per un accesso esterno se serve solo ssh, è più sicuro un accesso ssh
>> > oppure fare una vpn ?
>>
>> secondo me, che non sono un esperto in questo settore, è più sicuro
>> dare l'accesso più restrittivo possibile a parità di sicurezza nella
>> connessione. Quindi ssh
>>
>> ciao
>> Davide
>>
>
> Certo, quoto al 100 % con quello che Davide ha detto, ma, in ragione ancora
> più generale.
>
> Sia che tu utilizzi SSH che VPN, una buona dose di paranoia non fa mai male.
> Quindi non aprire ciò che non ti serve a chi non interessa.
>
> Se sai a priori che ti connetterai da un insieme di PC client, allora apri SSH
> o un tunnel SOLO per quei PC, se non sei sicuro di quei PC, allora usa OTP +
> autenticazione standard, gioca con PAM, creati una scaletta di metodi di
> autenticazione, OTP ti tutela dai keylogger, ma se fosse bacato ? Concatena
> metodi in stato "required"....
>
> O magari non usare le password per SSH ma i certificati (sono più "robusti"
> che una semplice password).
Vero che sono più robusti per l'accesso iniziale al primo computer
pubblico, se da quello agli altri ci sono i certificati a quel punto
l'accesso in rete è praticamente libero, gli basta un arp e il comando
ssh senza neppure sforzarsi di cercare la password, salvo che non
parliamo di certificato con password.
Mario Vittorio Guenzi
Hash: SHA1
pac ha scritto:
> Per un accesso esterno se serve solo ssh, � pi� sicuro un accesso ssh
> oppure fare una vpn ?
>
>
La mia personale esperienza mi ha portato ad usare ssh per accedere ai
bastion host e vpn per le macchine all'interno della rete.
Cerco d spiegarmi meglio, i firewal che sono l'unico punto di contatto
con internet li raggiungo solo via ssh da qualsiasi parte mi trovi
l'accesso a root e' inibito la porta non e' quella standard e uso
certificati.
I server all'interno della rete hanno delle vpn (opnevpn piuttosto che
vtun) che si collegano ad esempio per fare i backup con altre macchine
in remoto e li per comodita' ho generato dei certificati senza password
per poter automatizzare la cosa, pero ripeto sono all'interno della
rete, e' un compromesso accettabile AKA non ho dolori di pancia
fortissimi per la sicurezza della soluzione :)
MTC
- --
Mario Vittorio Guenzi
E-mail jcl...@tiscali.it
Si vis pacem, para bellum
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkpW+CgACgkQm6qs1ZkNrIrc1ACfcqwSG8HXsKOsadJc15FKoQbr
u80An06F0Ju6JBS2P1NYK6S0xr59hHah
=dGJd
-----END PGP SIGNATURE-----