Dnia 10.08.2010 Sławek Lipowski <s...@l...org> napisał/a:
> Wystarczy zostawić otwarty port 22 na świat żeby przekonać się, że będą
> trafiać w niego próby logowania ze świata. Z jakiegoś powodu ludzie
> jednak próbują. Pojawiają się tez kolejne pytania. Czy np. takie
> wystawione na świat ssh nie będzie podatne na DDoS. Czy konfiguracja ssh
> pozwoli na przeprowadzenie ataku słownikowego?

Pomysly powszechnego blokowania SSH porownalbym do radykalizmu obrocow krzyza
na Krakowskim Przedmiesciu. Szczegolnie, ze od ostatniego istotnego bledu
implementacyjnego w OpenSSH minelo prawie 10 lat, a od tego czasu wprowadzono
tez mechanizmy minimalizujace skutki udanego wykonania kodu (PrivSep).

Jesli zas chodzi o VPN, to przestrzegalbym przed hurraoptymizmem.
IPSEC jest bardzo skomplikowanym zestawem protokolow, ktore w dodatku
w duzej mierze sa implementowane przez jadro systemu, a zatem potencjalny
blad implementacyjny niesie za soba duzo wieksze ryzyko niz w przypadku
userlandowego i privsepowanego sshd.

Powyzsza uwaga w mniejszym stopniu tyczy sie userlandowych implementacji
VPN, takich jak OpenVPN. Mimo wszystko jednak, nie stosuja one mechanizmow
separacji uprawnien, a korzystaja z zewnetrznych, niekoniecznie dobrze
przeaudytowanych bibliotek (np. liblzo).

Reasumujac -- z mojego punktu widzenia, bezpieczniej miec wystawione na swiat
SSH, niz korzystac z IPSECa lub innych VPNow.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com ** NICHDL: PMF9-RIPE *
* Jabber ID: v...@n...pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ5JIV *