Dnia 11.08.2010 Pawel Malachowski <p...@n...niewazne> napisał/a:
> Jak już klikam, wrzucę kamyczek do całości dyskusji. Oryginalnie przedstawiony
problem widzę tak:
[...]

Zasadniczo sie z Toba zgadzam, ale:

> - w przyszłości może zaszkodzić bardziej (jakiś 0 day bug np.)

Ile widziales bledow typu preauth w SSH, od kiedy wprowadzono PrivSep?
Czy nie bardziej sie boisz tego typu bledow w implementacji BGP, czy
remote DoSow w implementacji firewalla?

> 3. Mając na uwadze 2., SSH na ruterze brzegowym warto ograniczyć do zaufanych IP
(hosty przesiadkowe).

Czym? Firewallem, ktory moze byc (i czesto bywal) podatny na remote DoS?
No chyba, ze archaiczne tcpwrappers.

> Tak że ruter zdalnego dostępu, przez który uzyskujemy dostęp do sieci
> zarządzania i dopiero tamtędy SSH-ujemy się na docelowy system, wydaje
> mi się zupełnie koszernym rozwiązaniem. ;)

Z dokladnoscia do bledow w implementacji VPN i ryzyk z tym zwiazanych.

--
* Fido: 2:480/124 ** WWW: http://www.frasunek.com ** NICHDL: PMF9-RIPE *
* Jabber ID: v...@n...pl ** PGP ID: 2578FCAD ** HAM-RADIO: SQ5JIV *