Esta n�o � uma lista de seguran�a e algu�m pode at� me recriminar pelo assunto
que estamos desenrolando aqui, mas n�o consigo deixar de expressar minha
opini�o.
Voce fala de deixar rolar... Sei n�o...
Algu�m pode fazer por esp�rito de lamerz e outros com esp�rito cracker...
O cara pode conseguir descobrir a senha de um usu�rio local seu, xeretar seu
sistema, de repente encontrar alguma vulnerabilidade e conseguir acesso root
com algum exploit. Tendo acesso local isto fica bem mais f�cil.
Ent�o pq facilitar???
Lembre-se que o cara vai utilizar o pop3 s� para descobrir a senha, depois ele
loga com telnet...
Como dizem os entendidos: "Melhor prevenir que remediar".
Fabiano.
Em Wed, 18 Apr 2001, vc escreveu:
> Fabiano Caixeta Duarte wrote:
>
> > A vulnerabilidade � for�a bruta permite "infinitas" tentativas sucessivas de
> > logins. O ideal � que aplica��es servidoras limitem a um n�mero pequeno (5 no
> > m�ximo) as tentativas sucessivas.
>
> bom, foi o que eu imaginei. vc pode ateh tomar uma atitude contra
> probes de senhas, mas a pratica demonstra que o numero de falhas
> ocasionadas por configuracoes erradas (o cara tem a senha configurada
> errada, entao o software tenta logar, dah erro e pergunta a senha correta,
> o usuario digita e vaih adiante) eh infinitamente maior do que pessoas
> tentando chutar senhas via pop3. por mais absurdo que pareca, eh
> comum o usuario trabalhar dessa forma, por simplesmente nao saber como
> configurar corretamente as coisas. se vc setar uma configuracao para
> cortar a conta no caso de n erros, vaih simplesmente ter uma super-dor
> de cabeca no suporte :)
>
> outro detalhe eh o numero de senhas que vc pode chutar por minuto:
> em geral se dimensiona o inetd para ele abrir n conexoes por minuto, dentro
> de um limite nao muito tolerante,se o cara tentar fazer os chutes muito
> rapidamente, o inetd vaih cortar o servico pop p/ cinco minutos,se for
> muito lento, nunca vaih chutar um numero de senhas suficiente. algum
> maluco ainda pode fazer um programa 'espirito de porco' que entra no
> pop e para cada usuario chuta cinco senhas erradas, somente pelo
> prazer de desativar as contas de mail de todos os usuarios, outra
> super-dor de cabeca no suporte :)
>
> assim sou da opiniao que a melhor defesa eh ignorar: se o cara
> quer fazer algo, deixa ele fazer, se vc tiver um ambiente logicamente
> seguro, e processador/banda para aguentar o tranco, o cara ira se
> cansar pelo simples fato de suas acoes serem sem nenhum efeito
> pratico. talvez vc possa analisar melhor os logs, tendo mais volume
> de dados e tomar providencias mais especificas, enquanto o camarada
> tenta algo contra vc, vc loga, acumula provas e faz seus contatos,
> quem sabe o cara nao tem a surpresa de baterem a porta dele no
> outro dia pela manha ? :)
>
>
>
> _____________________________________________________________________
> GUS-BR Project http://gus-br.linuxmag.com.br
--
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
Fabiano Caixeta Duarte <[EMAIL PROTECTED]>
Academico do 8o. periodo do curso de
Bacharelado em Sistemas de Informacao
Centro Universitario Luterano de Palmas / ULBRA
Integrante do Grupo de Pesquisa Aplicada em Redes de Computadores - GPARC
http://www.ulbra-to.br/~gparc
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
_____________________________________________________________________
GUS-BR Project http://gus-br.linuxmag.com.br
