Mihai Rusu <[EMAIL PROTECTED]> scria la data de 2 Decembrie 2004:
> On Wed, 1 Dec 2004, Liviu Daia wrote:
>
> > De ce o solutie fara tunele este mai buna decat una cu, au
> > explicat altii inainte. Iar din punct de vedere al securitatii
> > OpenBSD are multe alte avantaje fata de Linux.
>
> Deci nu zic ca are sau nu are, dar nu vad ce legatura are asta cu
> discutia. Discutia presupune o solutie de a securiza toate canalele de
> comunicatie intre computere ce pot rula Windows, Linux, *BSD, etc si
> un gateway.
Nu.
> Cum faci asta fara criptare/tunelare ?
In esenta, solutia authpf functioneaza in felul urmator:
O clasa de user-i primesc conturi pe server, avand authpf ca shell.
Solutia presupune ca acesti user-i nu se pot log-a la server altfel
decat prin ssh, conditie usor de asigurat. In momentul in care un
astfel de user se log-eaza la server (cum spuneam, prin ssh), pe server
este executat authpf. Acesta face exact trei lucruri:
(a) adauga in firewall o regula care permite IP-ului de la care s-a
log-at user-ul respectiv sa treaca;
(b) scrie un mesaj user-ului prin care il anunta ca are viitorul in
fata, dupa care asteapta;
(c) in momentul in care conexiunea ssh se intrerupe (din orice motiv,
fie pentru ca user-ul a inchis putty, fie pentru ca a cazut legatura
fizica, fie din alte cauze), authpf sterge regula de la (a) si iese.
Prin ssh nu se face deci decat autentificarea, iar IP-ul respectiv
are iesire la Internet exact atat timp cat legatura ssh este activa.
Restul povestii tine de optimizari si managementul parolelor.
Bineinteles, singurul lucru specific OpenBSD aici este modul in care
authpf scrie si sterge regulile in firewall, motiv pentru care spuneam
ca solutia ar trebui sa fie usor de adaptat la Linux.
> Daca solutia propusa de tine nu face tunelare/criptare atunci e easy
> sa faci IP takeover.
Nu, atat timp cat intr-o retea nu pot exista simultan mai multe
masini cu acelasi IP. Iar daca omori masina cuiva in timp ce bietul om
este log-at, ii omori si legatura ssh.
> Indiferent ca "OpenBSD are avantaje fata de linux" duh. BTW, textul
> ala este de oameni brainwashed.
Ca sa fiu sincer, eram convins ca, mai devreme sau mai tarziu,
cineva va spune ceva in sensul asta in acest thread, :-) motiv pentru
care am si ezitat sa post-ez. A fost de altfel si primul meu mesaj
pe o lista in limba romana, dupa 14 ani de activitate pe diferite
newgroup-uri, liste si message board-uri, mai mult sau mai putin
tehnice. Am ales totusi sa nu-l las pe om in intuneric. Ce sa fac, nu
e vina mea ca cei care se ocupa de OpenBSD s-au gandit la solutia asta,
iar RLUG-istii nostri nu. :-)
[...]
> Ok, dar inca nu vad care e problema ridicata de solutia mea initiala,
> care solutia ta nu o are, ca sa imi pot explica afirmatia ta ca ce
> propui tu rezolva probleme in loc sa creeze altele.
Cum spuneam: tunelele.
Mihai Rusu <[EMAIL PROTECTED]> scria la data de 2 Decembrie 2004:
> On Wed, 1 Dec 2004, Liviu Daia wrote:
>
> > (4) lumea nu incepe si nu se termina cu Linux-ul, fiti deschisi
> > oameni buni. :-)
>
> Nu , dar nici nu incepe si se termina cu OpenBSD. Sau faze de genul
> "se stie ca OpenBSD este mai secure".
[...]
Usor cu pianul pe scari. Iata ce am spus eu, citat si de tine mai
sus:
> > Iar din punct de vedere al securitatii OpenBSD are multe alte
> > avantaje fata de Linux.
Un astfel de avantaj este de exemplu faptul ca toate programele
componente ale OpenBSD si ale port-urilor oficiale sunt supuse permanent
unui proces de audit.
Salutari,
Liviu Daia
--
Dr. Liviu Daia http://www.imar.ro/~daia
---
Detalii despre listele noastre de mail: http://www.lug.ro/
