Rete a Casa
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Ven 26 Lug 2002 16:40:09 UTC
>
> Mi puoi spiegare perche' dici che ssh forse non e' piu' sicura di telnet
> mentre scp e' sicuramente piu' sicuro di ftp?
>
Mi aspettavo questa domanda :))
Il problema e' il seguente:
telnet, come pure ftp richiedono che gli utenti si identifichino
trasmettendo la propria password in chiaro sulla rete. Questo significa
che con uno sniffer sulla rete (tipo tcpdump o ethereal) e' possibile scoprire
tutte le informazioni (nonche' intercettare il traffico) e accedere alla
macchina.
Ssh consente fra le altre cose di collegarsi
1. autenticandosi tramite firma digitale ovvero con un protocollo di
tipo crittografico;
2. di criptare tutto il traffico.
In piu', al momento, ssh e' uno standard `de-facto': lo trovi
praticamente su tutte le macchine unix in rete.
Perche' dico che "ssh non e' forse piu' sicura di telnet" allora?
telnet e' un protocollo di per se' insicuro (niente autenticazione degli
hosts, niente firma, niente crittografia) ma alquanto semplice...
semplicita' significa in questo caso "assenza di bachi che potrebbero
portare ad un root compromise". Chiaramente tutto dipende da che cosa
una persona sta facendo: per un utente ssh e' sempre piu' sicura di
telnet; per un sistemista la decisione di installare ssh e' praticamente
obbligata (per il motivo di cui sopra: e' un netto vantaggio per gli
utenti) ma, a causa del protocollo piu' complesso, deve comunque stare
sempre molto attento a seguire gli updates di sicurezza.
[questo e' un discorso generale: complessita' e sicurezza tendono ad
essere inversamente proporzionali una volta superata una certa soglia]
Venendo ad ftp: ftp e' comunque un protocollo complesso e molti demoni server
ftp possedevano delle "vulnerabilita' nascoste". Ne segue che l'impiego
di sftp/scp non comporta lo stesso aumento di complessita' che nel
caso telnet/ssh, per cui i grattacapi per l'amministratore sono (in questa
situazione) piu' o meno i medesimi.
Una nota finale relativa la paranoia: le probabilita' di intercettare UNA
ben definita password con uno sniffing occasionale sono praticamente nulle;
l'insicurezza di telnet e' dovuta ad eventuali scanning `a tappeto', ovvero
alla presenza di una rete locale gia' compromessa: per scanning a tappeto
intendo dire "persone che vogliono trovare un login/password, non importa
di chi"; per rete locale compromessa invece "macchine in locale che
sono state attaccate in precedenza e che registrano i collegamenti in
uscita/entrata per raccogliere passwords".
Ciao,
lg
> Grazie e Ciao a tutti.
>
> Fabrizio.
--
Maggiori informazioni sulla lista
Lug
|