On 04/10/21 19:19, Giuliano Curti wrote:
come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po' e spero di configurarlo quanto prima;
ma file2ban dovrebbe essere sufficiente installarlo, poi si occupa lui di chiudere fuori, temporaneamente, gli indirizzi che fanno troppi tentativi
Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema?
non ho seguito tutto il discorso e forse non ho capito quale sia il problema. Usando una coppia di chiavi pubblica/privata puoi impostarlo per avere, ad esempio, l'accesso da remoto direttamente.
reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio?
se entrambi i sistemi sono sicuri e non accessibili dall'attaccante è difficile indovinare la chiave privata... naturalmente dipende dall'algoritmo usato, dalla lunghezza della chiave, di come viene utilizzato, ...
Se l'attaccante fa tentativi da remoto, hai installato file2ban e l'attaccante usa sempre lo stesso IP di partenza, allora riesce a fare pochi tentativi.
le stream con modalità TLS
ripeto non ho seguito il discorso e non sono pratico dei sistemi di telecamere. Ma in generale se espone lo stream in TLS, cioè penso tu voglia dire TLS over HTTP == HTTPS, allora dipende dal metodo di autenticazione usato e dall'algoritmo utilizzato per creare il canale cifrato. Tieni presente che l'HTTPS non è eccezionalmente intrinsecamente sicuro. Dovresti usare l'ultima versione TLS 1.3, impedire che si possa rinegoziare verso versioni precedenti, ...
Forse, se è una cosa ad hoc, sarebbe più sicuro crearsi due coppie di chiavi pubblica/privata, ognuna per un end point. Usi queste coppie di chiavi per autenticare i due end point. Cifri da un end point con la chiave pubblica dell'altro e gli invii il flusso cifrato e l'altro decifra con la sua chiave privata.
In questo modo decidi tu lunghezza chiavi (naturalmente dipende anche dalle prestazioni), quando rigenerarle, ..., su che porta esporre, ... evitare l'hanshake e la negoziazione, ...
E tutto questo presupponendo che i due end point non abbiano altri problemi di sicurezza che potrebbero rendere vane queste misure.
Ciao Davide -- Sistema operativo: http://www.debian.org GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook