Vlákno názorů k článku Single Packet Authorization aneb jeden paket vládne všem od michal_sjx - Zda se mi, ze se tim zvetsuje riziko....

Zda se mi, ze se tim zvetsuje riziko. Pokud je to tak slozita aplikace, ktera sifruje a tak dale, tak se na ni da provest (D)DoS. Dalsi vec je, ze nejakym zpusobem ovlada firewall. No a opravdu nechci nechat verejne dostupnou sluzbu, aby mi ovladala nastaveni firewallu.
Predpokladam, ze vetsina z nas to pouzije jen kvuli portu 22. Na to pouzivam jednoduche pravidlo ve FW – seznam povolenych. Pokud jsem nekde na cestach, tak mam VPN a jedu skrze ni.

+1

Když už by někdo chtěl používat nějaký podobný obalovač, jako je SPA, tak by to mělo být algoritmicky hodně tupé, aby to mělo naprosto minimální složitost a definovanou paměťovou náročnost.

Jako ideální bych viděl předgenerovat si na serveru dostatek (dejme tomu desítky) 128bitových nebo delších zcela náhodných čísel, ty si pak stáhnout na flash disk nosený s sebou a používat je k ťukání. Spotřebované náhodné číslo se odstraní z listu na serveru.

Server je naprosto tupý, nebosahuje žádné složité algoritmy (typu SSL nebo Diffie-Helman apod) ve kterých by bylo možné udělat díru. Paket nelze použít znovu, jedině jde modifikovat na cestě src adresa.
Tupost algoritmu činí server odolný i proti wire-speed brute force attacku.

Tím se ovšem vracíte zpět k port-knockingu… :)

My ve firme mame na povoleni pristupu k VPN prave port-knock, a SPA je bezpecnejsi alternativa k port-knocku.

Proste dalsi urovnen zabezpeceni – pokud by byla objevena nejaka bezpecnostni dira ve VPN, tak se musi utocnik dostat nejdive pres SPA (resp. port-knock – podle toho co tam clovek pred tim ma).