Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)

0 views
Skip to first unread message

Giuliano Curti

unread,
Oct 4, 2021, 1:20:03 PMOct 4
to
Ciao a tutti,

come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po' e spero di configurarlo quanto prima; per SSH non dovrebbero esserci eccessivi problemi vista la mole di documentazione esistente, diverso sarà configurare la jail per motion e le telecamere di cui non trovo documentazione.

Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema? reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio?

Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta?
Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata.

Grazie, ciao,
Giuliano

Davide Prina

unread,
Oct 4, 2021, 3:40:03 PMOct 4
to
On 04/10/21 19:19, Giuliano Curti wrote:

> come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando
> un po' e spero di configurarlo quanto prima;

ma file2ban dovrebbe essere sufficiente installarlo, poi si occupa lui
di chiudere fuori, temporaneamente, gli indirizzi che fanno troppi tentativi

> Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la
> configurazione di SSH per lavorare con chiavi senza password non
> risolverebbe il problema?

non ho seguito tutto il discorso e forse non ho capito quale sia il
problema.
Usando una coppia di chiavi pubblica/privata puoi impostarlo per avere,
ad esempio, l'accesso da remoto direttamente.

> reputo difficile per un eventuale malintenzionato
> scoprire la chiave o sbaglio?

se entrambi i sistemi sono sicuri e non accessibili dall'attaccante è
difficile indovinare la chiave privata... naturalmente dipende
dall'algoritmo usato, dalla lunghezza della chiave, di come viene
utilizzato, ...

Se l'attaccante fa tentativi da remoto, hai installato file2ban e
l'attaccante usa sempre lo stesso IP di partenza, allora riesce a fare
pochi tentativi.

> le stream con modalità TLS

ripeto non ho seguito il discorso e non sono pratico dei sistemi di
telecamere.
Ma in generale se espone lo stream in TLS, cioè penso tu voglia dire TLS
over HTTP == HTTPS, allora dipende dal metodo di autenticazione usato e
dall'algoritmo utilizzato per creare il canale cifrato.
Tieni presente che l'HTTPS non è eccezionalmente intrinsecamente sicuro.
Dovresti usare l'ultima versione TLS 1.3, impedire che si possa
rinegoziare verso versioni precedenti, ...

Forse, se è una cosa ad hoc, sarebbe più sicuro crearsi due coppie di
chiavi pubblica/privata, ognuna per un end point. Usi queste coppie di
chiavi per autenticare i due end point. Cifri da un end point con la
chiave pubblica dell'altro e gli invii il flusso cifrato e l'altro
decifra con la sua chiave privata.

In questo modo decidi tu lunghezza chiavi (naturalmente dipende anche
dalle prestazioni), quando rigenerarle, ..., su che porta esporre, ...
evitare l'hanshake e la negoziazione, ...

E tutto questo presupponendo che i due end point non abbiano altri
problemi di sicurezza che potrebbero rendere vane queste misure.

Ciao
Davide
--
Sistema operativo: http://www.debian.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Mauro

unread,
Oct 4, 2021, 4:10:02 PMOct 4
to

On 04/10/21 21:37, Davide Prina wrote:
>
> ma file2ban dovrebbe essere sufficiente installarlo


non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
ma poi va tarato per le proprie necessita', altrimenti garantisco che le
rogne sono superiori ai benefici.

il suo funzionamento e' semplice: controlla che che passa nei log, in
base a una serie di regex  verifica chi fa il cattivo e superata la
soglia indicata lo mette in punizione, bannandolo o segnalandolo.

Proprio il passaggio delle regole di filtro insieme al tempo di ban sono
critiche perche' se iniziano i falsi positivi o se le maglie sono troppo
strette le soprese diventano interessanti.


M.

Giuliano Curti

unread,
Oct 5, 2021, 6:30:03 AMOct 5
to
Il lun 4 ott 2021, 22:04 Mauro <ma...@teppisti.it> ha scritto:

On 04/10/21 21:37, Davide Prina wrote:
>
> ma file2ban dovrebbe essere sufficiente installarlo


non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
........

Ciao Davide e Mauro,

grazie delle risposte;

Mauro ha chiarito i limiti e le difficoltà di fail2ban.

Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion);
ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol (un controllo limitato dei parametri di motion) ed una per ogni telecamera.

Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose.

Riassumo, senza ripetere, le domande che avevo posto:
1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro?
2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep?
con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban.

Grazie, ciao,
Giuliano

PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)


MAURIZI Lorenzo

unread,
Oct 5, 2021, 6:50:03 AMOct 5
to

Ciao,

fail2ban su SSH lo lascerei solo per bloccare chi fa tentativi e quindi, una volta bannato, rifiutare le connessioni da quell’IP senza neanche fare attivare la risposta del daemon SSH.

 

Capisco che implementare fail2ban sul collegamento https potrebbe essere difficoltoso. Però se il log dell’applicativo web che gestisce l’autenticazione è facile da interpretare, una regular expression che becchi il fallimento si può inventare.

Pare che Motion abbia implementato i log sul failed logon un po’ di tempo fa:

https://github.com/Motion-Project/motion/issues/348

https://github.com/Motion-Project/motion/pull/434

 

Chiedo scusa se queste cose sono state già dette, mi sono sicuramente perso dei pezzi.

Ciao da Lorenzo

 

 

 

Da: Giuliano Curti <giuli...@gmail.com>
Inviato: martedì 5 ottobre 2021 12:24
A: debian-italian <debian-...@lists.debian.org>
Oggetto: Re: Fail2ban e Openssl (era: Vlan, debian, VPN, zoneminder)

Giuliano Curti

unread,
Oct 5, 2021, 12:30:02 PMOct 5
to
Il mar 5 ott 2021, 15:58 Mario Vittorio Guenzi <jcl...@tiscali.it> ha scritto:
Buongiorno

......

Lorenzo e Mario Vittorio, grazie dei vostri suggerimenti, mi serviranno per approfondire l'argomento.

Ciao,
Giuliano

Piviul

unread,
Oct 5, 2021, 12:50:02 PMOct 5
to
Il 04/10/21 19:19, Giuliano Curti ha scritto:
> Potrei risolvere la parte motion / telecamere con openssl perché
> motion gestisce sia il webcontrol che le stream con modalità TLS: vi
> sembra una soluzione adatta?
> Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma
> intanto mi chiedevo se è una strada ragionevole da percorrere o una
> cavolata.
>
Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... ma fail2ban
un po' si. Il problema è l'autenticazione: chi si occupa
dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce
l'autenticazione in quale file di log, motion o chi per lui, scrive il
tentativo fallito? Una volta che lo hai scoperto poi devi analizzare la
riga relativa al failing log e devi trovare una espressione regolare per
riconoscerla e per identificare l'ip del pc da cui è partita
l'autenticazione; se non ricordo male quando hai queste informazioni
devi creare una nuova jail con questi valori e a questo punto fail2ban
sa contare quanti tentativi sono stati fatti e banna dopo un certo
numero di tentativi falliti l'ip che li ha prodotti per un certo periodo
di tempo.

Più o meno il processo è quello quindi come prima cosa devi scoprire in
quale file di log vengono scritti i failing auth.

Spero di esser stato chiaro

Piviul

Giuliano Curti

unread,
Oct 6, 2021, 5:20:02 AMOct 6
to
Il mar 5 ott 2021, 18:47 Piviul <piv...@riminilug.it> ha scritto:

Ciao Piviul,
grazie della risposta (in coda un chiarimento del contesto).

Il 04/10/21 19:19, Giuliano Curti ha scritto:
> Potrei risolvere la parte motion / telecamere con openssl perché
> motion gestisce sia il webcontrol che le stream con modalità TLS: vi
> sembra una soluzione adatta?
> Su openssl .......

>
Ciao Giuliano, non conosco l'argomento motion, cam ip ecc...

Se vuoi ti dico brevemente cosa fa motion, poi cmq saltare a piè pari.
Motion contiene un mini server web che trasmette una pagina di controllo (default porta 8080) ed il flusso video di ogni telecamera su una porta dedicata (tipicamente 8081, 8082, ecc.).

........ ma fail2ban
un po' si. Il problema è l'autenticazione: chi si occupa
dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce
l'autenticazione in quale file di log, motion o chi per lui, scrive il
tentativo fallito? Una volta che lo hai
......

Più o meno il processo è quello quindi come prima cosa devi scoprire in
quale file di log vengono scritti i failing auth.

L'autenticazione può essere fatta in due modi: o con la copia user:passwd o con TLS.
MOTION ha un file di log (/bar/log/motion.log) e dovrò controllare lì quello che dici.

Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno.

Spero di esser stato chiaro

Piviul

Sei stato chiarissimo e ti ringrazio, ciao,
Giuliano
---
Sono cresciuto con il "personal" computer, nel vero senso della parola; ora mi trovo spaesato con le reti, che non conosco, e soprattutto la sicurezza;
tutto il thread è la traccia del mio tentativo di risalire la china.
I miei dati, immagini e foto di una casa di campagna non sono importanti, quindi sono poco interessato a soluzioni di crittografia del traffico; sono piuttosto interessato a far si che il mio sistema non possa essere utilizzato per attività malevole da terzi.

MAURIZI Lorenzo

unread,
Oct 6, 2021, 6:10:03 AMOct 6
to

 

Approfitto per una domanda su openSSL che era il mio oggetto di studio attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno.

 

In teoria SSL/TLS over http (quindi HTTPS) può essere usato in due modi:

·         Solo crittografia della comunicazione tra client e server web

·         Autenticazione del client più crittografia della comunicazione con il server web

 

Per evitare che regni l’anarchia, i certificati “ufficiali” sono rilasciati da delle autorità di certificazione note e inserite nel “truststore” dei browser web. Questo per evitare che chiunque, con openssl, possa creare un certificato fasullo di un sito noto e lo usi per truffare la gente (ad esempio con DNS poisoning). Quindi sì, oltre alla crittografia il certificato SSL, rilasciato da una Certification Authority nota e “trustata”, garantisce che il server è chi dice di essere.

Nulla vieta, comunque, per cose fatte in casa, di autogenerarsi un certificato con OpenSSL e inserirlo nella configurazione del webserver (vedi il certificato snakeoil presente in Debian). Avrai dei warning da parte del browser di certificato rilasciato da fonte non autorevole, che ignorerai bellamente. Al limite puoi “trustare” nel tuo browser la Certification Authority casalinga che rilascia il certificato autogenerato, evitando il warning di sicurezza.

 

Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P

 

Saluti da Lorenzo

Giuliano Curti

unread,
Oct 6, 2021, 2:20:02 PMOct 6
to
Il mer 6 ott 2021, 12:05 MAURIZI Lorenzo <l.ma...@comune.jesi.an.it> ha scritto:

Ciao Lorenzo, grazie;


 .......

·         Autenticazione del client più crittografia della comunicazione con il server web

.....

Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P


È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura?

Grazie infinite, ciao,
Giuliano

Giuliano Curti

unread,
Oct 6, 2021, 2:40:02 PMOct 6
to
Il mer 6 ott 2021, 13:29 Diego Zuccato <diego....@unibo.it> ha scritto:

Ciao Diego, grazie;

Il 06/10/2021 11:16, Giuliano Curti ha scritto:

.......

> user:passwd o con TLS.
Opinione personale: lascia perdere user+pass e punta solo su TLS.

Bene, terrò presente.
Aggiungo, correggendo quando detto prima, che MOTION consente anche l'autenticazione MD5 Digest;

> ......... fosse così
> lascerei perdere perché non è questo il mio obbiettivo e un
> malintenzionato non sarebbe assolutamente interessato a sapere se il mio
> server è autenticato o meno.
Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
di garantire che le parti sono chi dicono di essere e che i pacchetti
non sono stati alterati in transito.

Penso sia la prima parte che mi interessa: la garanzia che le parti, in particolare il client, sono chi dicono di essere mi dovrebbe mettere al sicuro da malintenzionati; mi sembra quello che diceva Lorenzo, devo capire dove approfondire;

Chiaramente, se esponi un servizio insicuro (p.e. che permette
esecuzione di codice arbitrario da parte di un utente non autenticato)
questo rimarrà insicuro.

Questi lo capisco, ma questo dipende dalla qualità dell'applicativo (MOTION); io temo di poter fare poco;

..... Inizia quindi pensando a cosa ti serve fare e a quanto
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport.
Non è il massimo della comodità, però un malintenzionato dovrebbe poter
bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
servizio che si possa far girare...

Grazie di questa indicazione; non la conosco, cercherò di approfondire.
Intanto ho disabilitato la connessione con password;


Diego Zuccato

Grazie, ciao,
Giuliano

MAURIZI Lorenzo

unread,
Oct 7, 2021, 2:20:03 AMOct 7
to

 

Ciao Lorenzo, grazie;

 

 

 .......

·         Autenticazione del client più crittografia della comunicazione con il server web

.....

Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P

 

È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura?

 

Su questo punto non sono molto preparato, non mi è mai capitato di dover implementare una autenticazione del genere.

Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve anche arrivare all’applicazione, in modo da rilevare chi è che si collega e dare le giuste autorizzazioni a quel tale utente.
Quindi significa che l’autenticazione basata su certificati deve essere supportata anche dall’applicazione. Se Motion supporta solo l’autenticazione tramite user e password, lo scenario potrebbe essere:

si mette davanti a Motion un server web (Apache, nginx) che fa da reverse proxy, si configura per fare autenticazione con certificato, poi viene presentata l’autenticazione di motion e lì si dovrà fare un altro login con user e password.

 

Questa potrebbe essere una guida per configurare l’autenticazione SSL in Apache: http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/

Oppure per nginx: https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication

 

Ciao da Lorenzo

 

 

Giuliano Curti

unread,
Oct 7, 2021, 4:20:02 AMOct 7
to
Il gio 7 ott 2021, 08:16 MAURIZI Lorenzo <l.ma...@comune.jesi.an.it> ha scritto:

 .......

È proprio l'autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura?

 

Su questo punto non sono molto preparato, non mi è mai capitato di dover implementare una autenticazione del genere.

Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve anche arrivare all’applicazione, in modo da rilevare chi è che si collega e dare le giuste autorizzazioni a quel tale utente.

..........

si mette davanti a Motion un server web (Apache, nginx) che fa da reverse proxy, si configura per fare autenticazione con certificato, poi viene presentata l’autenticazione di motion e lì si dovrà fare un altro login con user e password.

..azz... L'affare si complica; verrebbe da dire "piatto ricco, mi ci ficco", ma non sono un pockerista 😥

 Questa potrebbe essere una guida per configurare l’autenticazione SSL in Apache: http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/

Oppure per nginx: https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication

 Ciao da Lorenzo


Grazie infinite Lorenzo; appena in grado seguirò le tue indicazioni, ciao,
Giuliano

Davide Prina

unread,
Oct 7, 2021, 2:20:03 PMOct 7
to
On 04/10/21 22:04, Mauro wrote:
>
> On 04/10/21 21:37, Davide Prina wrote:
>>
>> ma file2ban dovrebbe essere sufficiente installarlo
>
>
> non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
> ma poi va tarato per le proprie necessita', altrimenti garantisco che le
> rogne sono superiori ai benefici.

io lo sto usando su PC ad uso desktop, per ora non ho notato problemi, o
per lo meno, non mi sono accorto che eventuali problematiche avute erano
causa sua. Per questo avevo detto così...

guardando ora (ho guardato il man/l'help in questo momento)
$ zgrep Jail /var/log/fail2ban.log*
[...]
[...] fail2ban.jail [762]: INFO Jail 'sshd' uses pyinotify {}
[...] fail2ban.jail [762]: INFO Jail 'sshd' started
[...] fail2ban.jail [762]: INFO Jail 'sshd' stopped
[...]

se interpreto correttamente sembra che mi metta costantemente in jail sshd

Strano perché io mi ricordavo di averlo disabilitato, in modo da averlo
installato e poterlo avviare alla bisogna.

Infatti
$ systemctl status ssh
mi dice che è disabilitato

# fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd

# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso
ssh alla macchina...

Ma i comandi che ho dato sono corretti per verificare ciò che è stato
messo in ban?

Appena posso proverò a guardare l'altro PC su cui l'ho installato

Ciao
Davide
--
Database: http://www.postgresql.org

Piviul

unread,
Oct 7, 2021, 2:40:02 PMOct 7
to
Il 07/10/21 20:10, Davide Prina ha scritto:
> [...]
> ma in /var/log/auth.log non vi è neanche una riga relativa ad un
> accesso ssh alla macchina...
ma il pc espone la porta 22 in internet?

Piviul

Piviul

unread,
Oct 7, 2021, 2:50:02 PMOct 7
to
Il 04/10/21 22:04, Mauro ha scritto:
> non esattamente. Fail2ban si presenta con una sfilza di filtri da
> paura, ma poi va tarato per le proprie necessita', altrimenti
> garantisco che le rogne sono superiori ai benefici.
io l'ho sempre usato e non ho mai toccato nulla se non creato alcune
jail per servizi non gestiti da fail2ban e non ho mai avuto alcun minimo
problema. Certo, se uno sbaglia la password per non ricordo quante volte
(3/5?) viene bannato per un certo numero di minuti (5/10?) che aumentano
mano a mano che vengono aumentati i fails log. Ad esser sincero non vedo
nemmeno quali rogne si debbano incontrare...

Piviul

Davide Prina

unread,
Oct 7, 2021, 2:50:02 PMOct 7
to
dipende da cosa intendi per esporre
# netstat -putan
mi dice che non c'è nulla in ascolto su quella porta

Se faccio partire sshd
# systemctl start ssh

poi la c'è sshd in ascolto sulla porta 22

Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece
non c'è nessun IP con il comando:
# fail2ban-client status sshd

Ciao
Davide
--
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo

Piviul

unread,
Oct 8, 2021, 2:00:03 AMOct 8
to
Il 07/10/21 20:48, Davide Prina ha scritto:
> dipende da cosa intendi per esporre
> # netstat -putan
> mi dice che non c'è nulla in ascolto su quella porta
>
> Se faccio partire sshd
> # systemctl start ssh
>
> poi la c'è sshd in ascolto sulla porta 22
>
> Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece
> non c'è nessun IP con il comando:
> # fail2ban-client status sshd
esposto intendo se la porta 22 è raggiungibile da Internet. Se non è
raggiungibile ovviamente non ci possono nemmeno essere tentativi di
accesso e ip bloccati... a meno di avere qualcuno in LAN di poco
affidabile...

Piviul

Piviul

unread,
Oct 8, 2021, 8:30:02 AMOct 8
to
Il 08/10/21 09:31, Diego Zuccato ha scritto:
> Neanche io ho mai fatto particolari modifiche, se non le poche
> necessarie per l'installazione di ISPConfig.
>
> Un problema che può essere grosso col setup di default è se si deve
> dare accesso ad un server "pubblico" da un laboratorio nattato. Se ci
> sono diversi utenti correttamente collegati e qualche studente
> ritardatario sbaglia la pass (anche se non è sempre lo stesso),
> vengono tutti butati fuori. E se non si pensa al NAT si perdono ore a
> cercare un problema inesistente. Chissà come l'ho scoperto... :)

Capisco il problema ma diciamo che sia un caso moolto particolare; certo
lui banna l'ip e se molti utenti accedono con lo stesso ip basta che
venga bannato uno perché siano bannati tutti... è coerente.

Comunque grazie Diego per aver chiarito e ribadisco che fail2ban sia un
bel progetto, semplice ed efficace.

Un saluto

Piviul

Giuliano Curti

unread,
Oct 8, 2021, 5:20:02 PMOct 8
to
Ciao a tutti,

scusate se riprendo questo discorso, ma nel mio faticoso viaggio nelle reti ogni tanto mi imbatto in qualche ostacolo ostico;

ho deciso di sperimentare, prima di approcciare il reverse proxy, il tunneling SSH, come suggerito da


On 10/6/21, Diego Zuccato <diego....@unibo.it> wrote:
> Il 06/10/2021 11:16, Giuliano Curti ha scritto:
>
> .......
>
> ..... Inizia quindi pensando a cosa ti serve fare e a quanto
> vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
> alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
> vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
> chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
> poter accedere a remotehost:remoteport collegandoti a localhost:localport.
> Non è il massimo della comodità, però un malintenzionato dovrebbe poter
> bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro
> servizio che si possa far girare...

ho fatto una prova (in locale) e sembra funzionare, solo però per la porta del webcontrol di motion, non riesco a reindirizzare le porte delle telecamere, ammesso sia possibile; 

ho provato anche a reindirizzare le porte delle una camere una alla volta, ma purtroppo qui il metodo fallisce, non riesco a visualizzare lo stream della camera: non capisco quale sia la differenza che rende possibile uno e impossibile l'altro.

Ho fatto anche un altro esperimento: ho fatto l'X forwarding e riesco a lanciare il browser di rPi4 e vedo tutto (finora ho sperimentato in locale); per metterlo a regime dovrò installare un X server su Android e iOS; pensate sia una soluzione praticabile? Avete suggerimenti su Xserver da installare nei due casi? 

O forse è meglio che mi oriento subito sul reverse proxy che suggeriva qualcuno?

spero di aver formulato con chiarezza contesto e quesiti; grazie dell'attenzione, saluti,
giuliano

Giuliano Curti

unread,
Oct 9, 2021, 2:20:02 AMOct 9
to
..oopss.... sul primo punto mi rispondo da solo

Il ven 8 ott 2021, 23:11 Giuliano Curti <giuli...@gmail.com> ha scritto:
.......


On 10/6/21, Diego Zuccato <diego....@unibo.it> wrote:
> Il 06/10/2021 11:16, Giuliano Curti ha scritto:
> ........

ho fatto una prova (in locale) e sembra funzionare, solo però per la porta del webcontrol di motion, non riesco a reindirizzare le porte delle telecamere, ammesso sia possibile; 

ho visto che nella stessa istruzione si possono reindirizzare più porte; vedrò se questo risolve il problema.

Chiedo scusa dell'inutile disturbo, grazie, saluti,
Giuliano

Paride Desimone

unread,
Oct 16, 2021, 6:10:03 PMOct 16
to
Il 05-10-2021 10:23 Giuliano Curti ha scritto:
> Il lun 4 ott 2021, 22:04 Mauro <ma...@teppisti.it> ha scritto:
>
>> .
>
> Riassumo, senza ripetere, le domande che avevo posto:
> 1) la disabilitazione dell'accesso per password rende SSH
> ragionevolmente
> sicuro?
> 2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle
> porte
> di pmotion e telecamerep?
> con "ragionevolmente sicuro" intendo che possa fare a meno di
> fail2ban-)

Te la butto lì. E se a ssh ci affiancassi una VPN?

Paride

--
http://keys.gnupg.net/pks/lookup?op=get&search=0xCC6CA35C690431D3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

Giuliano Curti

unread,
Oct 17, 2021, 4:00:03 AMOct 17
to
Il dom 17 ott 2021, 00:04 Paride Desimone <hu...@autistici.org> ha scritto:

Ciao Paride, grazie del suggerimento;

Il 05-10-2021 10:23 Giuliano Curti ha scritto:
> Il lun 4 ott 2021, 22:04 Mauro <ma...@teppisti.it> ha scritto:
>
>> .
>
> Riassumo, senza ripetere, le domande che avevo posto:
> 1) la disabilitazione dell'accesso per password rende SSH
> .........


Te la butto lì. E se a ssh ci affiancassi una VPN?

Francamente era l'idea di partenza, ma la rete per me è un terreno sconosciuto ed ogni passo in più è terribilmente faticoso.
Dovrei aver chiuso SSH accettando solo connessioni con chiave; ho messo fail2ban a guardia con le regole di default su SSHD e con una regola autocostruita per MOTION che mi dovrebbero tenere al riparo da attacchi brute force.
Al momento ho rinunciato ad attivare OpenSSL perché l'impressione che ho avuto è che MOTION se ne serve solo per autenticare il server, non il client (studierò il reverse proxy tramite apache/nginxcome suggerito da qualcuno).
Se non ci sono problemi particolarmente critici sperimenterei così, senza disdegnare ovviamente miglioramenti futuri quando avrò una maggiore padronanza della rete.


Paride

Grazie, ciao,
Giuliano


Reply all
Reply to author
Forward
0 new messages