UDP-Solo server dedicato Linux?

1

Sto facendo funzionare il mio piccolo servizio linux UDP su un server dedicato. il mio servizio risponde alle richieste di pacchetti singoli con risposte a pacchetto singolo. Non voglio che questo server faccia qualcos'altro. Non voglio che acceda o funzioni sul Web, consenti accessi remoti, esca per accedere altrove, scarica file, ecc.

Non ho bisogno né voglio alcun accesso al protocollo di livello superiore TCP. Immagino che se eseguirò il mio servizio UDP (non ho nemmeno bisogno del DNS, ma questo è UDP), e TCP non è disponibile, sarebbe molto difficile che un hacker remoto si intrometta. anche l'esecuzione del mio servizio su una distribuzione linux non aggiornata rimarrebbe quindi ragionevolmente al sicuro.

naturalmente, posso installare i firewall, su e intorno al server, per bloccare tutto il traffico TCP. (e poi dovrei assicurarmi che i miei amministratori non abbiano un momento debole, in cui disabilitano il firewall e lo colpiscono.) quindi, preferirei la semplicità di non avere TCP abilitato nel kernel di Linux-- piuttosto che averlo, e poi provare a bloccarlo.

Supporrei che una strategia simile sarebbe utile per molti piccoli dispositivi che ora si insinuano nelle nostre case. Vorrei che le mie lampadine ascoltassero / rispondessero a richieste UDP molto semplici e non eseguissero uno stack di rete completo fino al TCP.

questo è possibile in un sistema basato su Linux? o un altro sistema operativo in stile Unix?

    
posta ivo Welch 25.02.2015 - 19:56
fonte

1 risposta

2

UDP da solo non fornisce alcun tipo di sicurezza, ovvero né la crittografia né l'autenticazione del peer e nemmeno la protezione contro lo spoofing dell'indirizzo IP dei peer.

Pertanto, non è adatto a qualsiasi tipo di controllo importante (che potrebbe anche essere il passaggio delle luci) a meno che la rete circostante non sia protetta da altri mezzi. Ma in questo caso non ci sarebbe alcun vantaggio di sicurezza nell'esecuzione di uno stack minimo, solo il footprint di memoria del dispositivo potrebbe essere più piccolo.

Quindi per qualsiasi tipo di controllo reale è necessaria almeno una protezione contro lo spoofing, ovvero l'autenticazione del peer. Non è così semplice come credi, perché questa autenticazione deve anche essere sicura contro un utente malintenzionato che annusa la comunicazione e la riproduce più tardi. Una volta aggiunte tutte le protezioni al tuo dispositivo, diventa più complesso, quindi la semplicità originale del tuo approccio non è più lì.

it would be VERY hard for a remote hacker to intrude.

Se si pensa a un utente malintenzionato remoto che accede a un dispositivo all'interno della propria rete, non importa se si dispone di TCP o UDP purché il dispositivo non sia raggiungibile dall'esterno. Ma se il dispositivo è raggiungibile dall'esterno o se l'hacker è riuscito a entrare nella propria rete (come quando si naviga sul web e si ottiene un exploit drive-by-download), non sarebbe un problema per l'hacker fare del male un dispositivo non protetto, non importa se utilizza TCP o solo UDP.

    
risposta data 25.02.2015 - 20:27
fonte

Leggi altre domande sui tag