[LUG.ro] Re: [LUG.ro] Denegación de servicio en pop3 por mala configuración en inetd.conf

Sebastián D. Criado lugro@lugro.org.ar
Tue, 5 Dec 2006 14:10:33 -0300 

--nextPart1198866.iXCYTWlZH0
Content-Type: text/plain;
  charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

El Martes 05 Diciembre 2006 12:28, Horacio Castellini escribi=F3:
> Me extra=F1a.... basicamente se aconseja nunca se dejar al inetd para
> que atienda solicitudes masivas, sino que se deja al demonio que las
> atienda...


Depnde para que, estoy de acuerdo en servicios como sendmail el cual le lle=
gan=20
solicitudes de cualquier parte, pero con un pop3 interno, como es este caso=
=20
en particular, no hace falta. No tenes que andar lidiando con configuracion=
es=20
para cada uno de los servicios (en cuanto a como son atendidos).

> Como por ejemplo el sendmail... uno puede activarlo por inetd, pero si
> deb=E9s atender mas de 10 solicitudes el manual te recomienda que lo
> ejecutes como demonio sin pasar por el inetd. Ya que lo dej=E1s
> tontorulo m=E1s si deb=E9s extremar las medidas de seguridad con el
> tcpwaper!!
> Que veo que no lo usas y confias en la solidez del servidor=20
> pop.

No es un problema del servidor pop3. El problema es el de la configuraci=F3=
n por=20
defecto del inet.d y ese es el espiritu de la nota.

Por supuesto que para una mayor cantidad de peticiones podemos querer usar =
al=20
servidor de pop3 atendiendo directamente el puerto en lugar que se encargue=
=20
el inet.d, pero este no es el caso.=20

Lo que quise mostrar con esta medida es como se puede hacer una DoS por la=
=20
simple mala configuraci=F3n del inet.d.


>
> Reiniciar el inetd cada 10 minutos puede ser una soluci=F3n de
> emergencia al estilo la "gran window". Pero seguro que se debe existir
> otras m=E1s profeciona

Si, puede sonar a una soluci=F3n poco profecional. Es verdad  y pienso lo m=
ismo,=20
pero es una soluci=F3n viable y de simple configuraci=F3n para cualquiera q=
ue=20
sepa usar el vi. Consume muy pocos recursos la recarga y te protege de una=
=20
caida del inet.d. KISS principle ;)

Saludos.-

=2D-=20

Sebasti=E1n D. Criado - scriado{en}ciudad.com.ar
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
=2D------------------------------------------------------------------
"Si el Universo fuera un programa estar=EDa hecho en C, y correr=EDa sobre
un sistema UNIX"
                                                   An=F3nimo.

		=09

--nextPart1198866.iXCYTWlZH0
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBFdagS8hmHQ8ZCg0IRApAvAKC4jZ4GWDy2VdTaKBlbdAAELgRNPwCffguw
SYBw5D2tQZompK2dH4tJH2E=
=i1A1
-----END PGP SIGNATURE-----

--nextPart1198866.iXCYTWlZH0--