[Linux-Biella] Deep Packet Inspection per linux o *BSD
Alberto Bertoli
alberto.bertoli a tiscali.it
Ven 12 Apr 2013 21:15:31 CEST
Il 12/04/2013 20:58, Leonardo Buffa ha scritto:
> On 12/04/2013 20:28, Alberto Bertoli wrote:
>
>
>> Deep vuol dire che ispezioni anche il contenuto del pacchetto ? Ma serve
>> ? ormai i virus-malware etc usano SSH per non farsi beccare ...
>
> sei un po' fuori strada
> la packet inspection non serve a cercare un virus, ma a verificare che
> il pacchetto non abbia "malformazioni", in realta' non vai a leggere
> il codice ma solo che il frame tcp non sia "modificato geneticamente".
>
> per internderci: quante volte mi sono dilettato a fregare un http
> proxy accedendo al mio server vpn ssl che sta in ascolto proprio sulla
> porta 443, semplicemente il proxy rimane ingannato perche' vede
> effettivamente un "SSL" su una porta notissima per SSL (la 443),
> peccato che pero', invece che essere una richiesta https sia
> tutt'altro dentro il quale viene incapsulata tutto un traffico ip
> (udp, tcp, icmp e chi piu' ne ha piu' ne metta).
>
> questo verrebbe evitato da una infrastruttura che all'uscita abbia un
> valido sistema di packet inspection: il pacchetto tcp viene
> "spacchettato", viene riconosciuto come illecito per via della sua
> struttura e gentilmente "droppato".
>
> chiaro che questo viene usato per evitare moltissimi tipi di attacco
> che possono essere fatti inviando pacchetti malformati.
>
>
Grazie mille
Maggiori informazioni sulla lista
Linux