Ciao a tutti,

come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando
un po' e spero di configurarlo quanto prima; per SSH non dovrebbero esserci eccessivi problemi vista la mole di documentazione esistente, diverso sarà configurare la jail per motion e le telecamere di cui non trovo
documentazione.

Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non
risolverebbe il problema? reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio?

Potrei risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta?
Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma
intanto mi chiedevo se è una strada ragionevole da percorrere o una
cavolata.

Grazie, ciao,
Giuliano

<div dir="auto"><div dir="auto">Ciao a tutti,</div><div dir="auto"><br></div><div dir="auto">come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando un po&#39; e spero di configurarlo quanto prima; per SSH non dovrebbero esserci
eccessivi problemi vista la mole di documentazione esistente, diverso sarà configurare la jail per motion e le telecamere di cui non trovo documentazione.</div><div dir="auto"><br></div><div dir="auto">Ho pensato però un&#39;altra soluzione e volevo
sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non risolverebbe il problema? reputo difficile per un eventuale malintenzionato scoprire la chiave o sbaglio?</div><div dir="auto"><br></div><div dir="auto">Potrei
risolvere la parte motion / telecamere con openssl perché motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta?</div><div dir="auto">Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma
intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata.</div><div dir="auto"><br></div><div dir="auto">Grazie, ciao,</div><div dir="auto">Giuliano</div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 04/10/21 19:19, Giuliano Curti wrote:

come da consiglio di Giancarlo ho installato fail2ban; mi sto documentando
un po' e spero di configurarlo quanto prima;

ma file2ban dovrebbe essere sufficiente installarlo, poi si occupa lui
di chiudere fuori, temporaneamente, gli indirizzi che fanno troppi tentativi

Ho pensato però un'altra soluzione e volevo sentire i vostri consigli: la configurazione di SSH per lavorare con chiavi senza password non
risolverebbe il problema?

non ho seguito tutto il discorso e forse non ho capito quale sia il
problema.
Usando una coppia di chiavi pubblica/privata puoi impostarlo per avere,
ad esempio, l'accesso da remoto direttamente.

reputo difficile per un eventuale malintenzionato
scoprire la chiave o sbaglio?

se entrambi i sistemi sono sicuri e non accessibili dall'attaccante è difficile indovinare la chiave privata... naturalmente dipende
dall'algoritmo usato, dalla lunghezza della chiave, di come viene
utilizzato, ...

Se l'attaccante fa tentativi da remoto, hai installato file2ban e
l'attaccante usa sempre lo stesso IP di partenza, allora riesce a fare
pochi tentativi.

le stream con modalità TLS

ripeto non ho seguito il discorso e non sono pratico dei sistemi di telecamere.
Ma in generale se espone lo stream in TLS, cioè penso tu voglia dire TLS
over HTTP == HTTPS, allora dipende dal metodo di autenticazione usato e dall'algoritmo utilizzato per creare il canale cifrato.
Tieni presente che l'HTTPS non è eccezionalmente intrinsecamente sicuro. Dovresti usare l'ultima versione TLS 1.3, impedire che si possa
rinegoziare verso versioni precedenti, ...

Forse, se è una cosa ad hoc, sarebbe più sicuro crearsi due coppie di
chiavi pubblica/privata, ognuna per un end point. Usi queste coppie di
chiavi per autenticare i due end point. Cifri da un end point con la
chiave pubblica dell'altro e gli invii il flusso cifrato e l'altro
decifra con la sua chiave privata.

In questo modo decidi tu lunghezza chiavi (naturalmente dipende anche
dalle prestazioni), quando rigenerarle, ..., su che porta esporre, ...
evitare l'hanshake e la negoziazione, ...

E tutto questo presupponendo che i due end point non abbiano altri
problemi di sicurezza che potrebbero rendere vane queste misure.

Ciao
Davide
--
Sistema operativo: http://www.debian.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 04/10/21 21:37, Davide Prina wrote:

ma file2ban dovrebbe essere sufficiente installarlo

non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
ma poi va tarato per le proprie necessita', altrimenti garantisco che le
rogne sono superiori ai benefici.

il suo funzionamento e' semplice: controlla che che passa nei log, in
base a una serie di regex  verifica chi fa il cattivo e superata la
soglia indicata lo mette in punizione, bannandolo o segnalandolo.

Proprio il passaggio delle regole di filtro insieme al tempo di ban sono critiche perche' se iniziano i falsi positivi o se le maglie sono troppo strette le soprese diventano interessanti.


M.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il lun 4 ott 2021, 22:04 Mauro <mauro@teppisti.it> ha scritto:

On 04/10/21 21:37, Davide Prina wrote:

ma file2ban dovrebbe essere sufficiente installarlo

non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, ........

Ciao Davide e Mauro,

grazie delle risposte;

Mauro ha chiarito i limiti e le difficoltà di fail2ban.

Aggiungo per Davide che l'oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e basato sul solo motion);
ho previsto l'apertura della porta 22 per l'amministrazione del sistema via SSH, occorre poi aprire le porte per l'uso di motion, una per il webcontrol
(un controllo limitato dei parametri di motion) ed una per ogni telecamera.

Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi
approfondire i temi della rete e della sicurezza; l'unica cosa fastidiosa sarebbe l'uso della mia macchina per attività criminose.

Riassumo, senza ripetere, le domande che avevo posto:
1) la disabilitazione dell'accesso per password rende SSH ragionevolmente sicuro?
2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte
di pmotion e telecamerep?
con "ragionevolmente sicuro" intendo che possa fare a meno di fail2ban.

Grazie, ciao,
Giuliano

PS: ho qualche problema su openssl; mi sa che tornerò all'attacco :-)

<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il lun 4 ott 2021, 22:04 Mauro &lt;<a href="mailto:mauro@teppisti.it">mauro@teppisti.it</a>&gt; ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;
border-left:1px #ccc solid;padding-left:1ex"><br>
On 04/10/21 21:37, Davide Prina wrote:<br>
&gt;<br>
&gt; ma file2ban dovrebbe essere sufficiente installarlo<br>


non esattamente. Fail2ban si presenta con una sfilza di filtri da paura, <br>........</blockquote></div></div><div dir="auto"><br></div><div dir="auto">Ciao Davide e Mauro,</div><div dir="auto"><br></div><div dir="auto">grazie delle risposte;</div><div
dir="auto"><br></div><div dir="auto">Mauro ha chiarito i limiti e le difficoltà di fail2ban.</div><div dir="auto"><br></div><div dir="auto">Aggiungo per Davide che l&#39;oggetto è la sicurezza di un sistema di videosorveglianza (abbastanza naif e
basato sul solo motion);</div><div dir="auto">ho previsto l&#39;apertura della porta 22 per l&#39;amministrazione del sistema via SSH, occorre poi aprire le porte per l&#39;uso di motion, una per il webcontrol (un controllo limitato dei parametri di
motion) ed una per ogni telecamera.</div><div dir="auto"><br></div><div dir="auto">Ovviamente i dati (visualizzazione di un paio di prati) non hanno alcuna importanza e segretezza, sono più che altro un pretesto per farmi approfondire i temi della rete
e della sicurezza; l&#39;unica cosa fastidiosa sarebbe l&#39;uso della mia macchina per attività criminose.</div><div dir="auto"><br></div><div dir="auto">Riassumo, senza ripetere, le domande che avevo posto:</div><div dir="auto">1) la disabilitazione
dell&#39;accesso per password rende SSH ragionevolmente sicuro?</div><div dir="auto">2) l&#39;uso di SSL/TLS rende ragionevolmente sicura la connessione alle porte di pmotion e telecamerep?</div><div dir="auto">con &quot;ragionevolmente sicuro&quot;
intendo che possa fare a meno di fail2ban.</div><div dir="auto"><br></div><div dir="auto">Grazie, ciao,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div><div dir="auto">PS: ho qualche problema su openssl; mi sa che tornerò all&#39;attacco :-)
</div><div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 04/10/21 19:19, Giuliano Curti ha scritto:

Potrei risolvere la parte motion / telecamere con openssl perché
motion gestisce sia il webcontrol che le stream con modalità TLS: vi
sembra una soluzione adatta?
Su openssl devo studiare tutto, quindi tornerò a chiedere consigli, ma intanto mi chiedevo se è una strada ragionevole da percorrere o una cavolata.

Ciao Giuliano, non conosco l'argomento motion, cam ip ecc... ma fail2ban
un po' si. Il problema è l'autenticazione: chi si occupa
dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce l'autenticazione in quale file di log, motion o chi per lui, scrive il tentativo fallito? Una volta che lo hai scoperto poi devi analizzare la
riga relativa al failing log e devi trovare una espressione regolare per riconoscerla e per identificare l'ip del pc da cui è partita
l'autenticazione; se non ricordo male quando hai queste informazioni
devi creare una nuova jail con questi valori e a questo punto fail2ban
sa contare quanti tentativi sono stati fatti e banna dopo un certo
numero di tentativi falliti l'ip che li ha prodotti per un certo periodo
di tempo.

Più o meno il processo è quello quindi come prima cosa devi scoprire in
quale file di log vengono scritti i failing auth.

Spero di esser stato chiaro

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il mar 5 ott 2021, 15:58 Mario Vittorio Guenzi <jclark@tiscali.it> ha
scritto:

Buongiorno

......

Lorenzo e Mario Vittorio, grazie dei vostri suggerimenti, mi serviranno per approfondire l'argomento.

Ciao,
Giuliano

<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il mar 5 ott 2021, 15:58 Mario Vittorio Guenzi &lt;<a href="mailto:jclark@tiscali.it" target="_blank" rel="noreferrer">jclark@tiscali.it</a>&gt; ha scritto:<br></div><
blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Buongiorno<br>
<br>......</blockquote></div></div><div dir="auto"><br></div><div dir="auto">Lorenzo e Mario Vittorio, grazie dei vostri suggerimenti, mi serviranno per approfondire l&#39;argomento.</div><div dir="auto"><br></div><div dir="auto">Ciao,</div><div dir="
auto">Giuliano</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il mar 5 ott 2021, 18:47 Piviul <piviul@riminilug.it> ha scritto:

Ciao Piviul,
grazie della risposta (in coda un chiarimento del contesto).

Il 04/10/21 19:19, Giuliano Curti ha scritto:

Potrei risolvere la parte motion / telecamere con openssl perché
motion gestisce sia il webcontrol che le stream con modalità TLS: vi sembra una soluzione adatta?
Su openssl .......

Ciao Giuliano, non conosco l'argomento motion, cam ip ecc...

Se vuoi ti dico brevemente cosa fa motion, poi cmq saltare a piè pari.
Motion contiene un mini server web che trasmette una pagina di controllo (default porta 8080) ed il flusso video di ogni telecamera su una porta dedicata (tipicamente 8081, 8082, ecc.).

........ ma fail2ban

un po' si. Il problema è l'autenticazione: chi si occupa dell'autenticazione? Motion tramite TLS? Ma se un utente fallisce l'autenticazione in quale file di log, motion o chi per lui, scrive il tentativo fallito? Una volta che lo hai

......

Più o meno il processo è quello quindi come prima cosa devi scoprire in quale file di log vengono scritti i failing auth.

L'autenticazione può essere fatta in due modi: o con la copia user:passwd o con TLS.
MOTION ha un file di log (/bar/log/motion.log) e dovrò controllare lì
quello che dici.

Approfitto per una domanda su openSSL che era il mio oggetto di studio
attuale; dal poco che ho letto ho il dubbio che openSSL miri a garantire l'autenticità del server, non alla sicurezza del sistema; fosse così
lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è
autenticato o meno.

Spero di esser stato chiaro


Piviul


Sei stato chiarissimo e ti ringrazio, ciao,
Giuliano
---
Sono cresciuto con il "personal" computer, nel vero senso della parola; ora
mi trovo spaesato con le reti, che non conosco, e soprattutto la sicurezza; tutto il thread è la traccia del mio tentativo di risalire la china.
I miei dati, immagini e foto di una casa di campagna non sono importanti, quindi sono poco interessato a soluzioni di crittografia del traffico; sono piuttosto interessato a far si che il mio sistema non possa essere
utilizzato per attività malevole da terzi.

<div dir="auto"><div dir="auto"></div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il mar 5 ott 2021, 18:47 Piviul &lt;<a href="mailto:piviul@riminilug.it" rel="noreferrer noreferrer" target="_blank">piviul@riminilug.it</a>&gt; ha scritto:<

</div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr"><div dir="ltr" class="gmail_attr">Ciao Piviul,</div><div dir="ltr" class="gmail_attr">grazie della risposta (in coda un chiarimento del contesto).</div></div><div dir="

ltr" class="gm

Il mer 6 ott 2021, 13:29 Diego Zuccato <diego.zuccato@unibo.it> ha scritto:

Ciao Diego, grazie;

Il 06/10/2021 11:16, Giuliano Curti ha scritto:

.......

user:passwd o con TLS.

Opinione personale: lascia perdere user+pass e punta solo su TLS.

Bene, terrò presente.
Aggiungo, correggendo quando detto prima, che MOTION consente anche l'autenticazione MD5 Digest;

......... fosse così

lascerei perdere perché non è questo il mio obbiettivo e un malintenzionato non sarebbe assolutamente interessato a sapere se il mio server è autenticato o meno.

Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette
di garantire che le parti sono chi dicono di essere e che i pacchetti
non sono stati alterati in transito.

Penso sia la prima parte che mi interessa: la garanzia che le parti, in particolare il client, sono chi dicono di essere mi dovrebbe mettere al
sicuro da malintenzionati; mi sembra quello che diceva Lorenzo, devo capire dove approfondire;

Chiaramente, se esponi un servizio insicuro (p.e. che permette

esecuzione di codice arbitrario da parte di un utente non autenticato)
questo rimarrà insicuro.

Questi lo capisco, ma questo dipende dalla qualità dell'applicativo
(MOTION); io temo di poter fare poco;

..... Inizia quindi pensando a cosa ti serve fare e a quanto

vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport. Non è il massimo della comodità, però un malintenzionato dovrebbe poter bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro servizio che si possa far girare...

Grazie di questa indicazione; non la conosco, cercherò di approfondire. Intanto ho disabilitato la connessione con password;


Diego Zuccato


Grazie, ciao,
Giuliano




<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il mer 6 ott 2021, 13:29 Diego Zuccato &lt;<a href="mailto:diego.zuccato@unibo.it">diego.zuccato@unibo.it</a>&gt; ha scritto:<br></div><div dir="ltr" class="gmail_attr"><br></

<div dir="ltr" class="gmail_attr">Ciao Diego, grazie;</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 06/10/2021 11:16, Giuliano Curti ha

scritto:<br>
<br>.......<br>
&gt; user:passwd o con TLS.<br>
Opinione personale: lascia perdere user+pass e punta solo su TLS.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Bene, terrò presente.</div><div dir="auto">Aggiungo, correggendo quando detto prima, che MOTION consente anche l&#39;
autenticazione MD5 Digest;</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">&gt; ......... fosse così <br>
&gt; lascerei perdere perché non è questo il mio obbiettivo e un <br>
&gt; malintenzionato non sarebbe assolutamente interessato a sapere se il mio <br>
&gt; server è autenticato o meno.<br>
Dipende cosa intendi per sicurezza. SSL cripta le connessioni, permette <br>
di garantire che le parti sono chi dicono di essere e che i pacchetti <br>
non sono stati alterati in transito.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Penso sia la prima parte che mi interessa: la garanzia che le parti, in particolare il client, sono chi dicono di essere mi dovrebbe mettere al
sicuro da malintenzionati; mi sembra quello che diceva Lorenzo, devo capire dove approfondire;</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;
padding-left:1ex">
Chiaramente, se esponi un servizio insicuro (p.e. che permette <br>
esecuzione di codice arbitrario da parte di un utente non autenticato) <br> questo rimarrà insicuro.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Questi lo capisco, ma questo dipende dalla qualità dell&#39;applicativo (MOTION); io temo di poter fare poco;</div><div dir="auto"><br></div><div dir="auto"><
div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">..... Inizia quindi pensando a cosa ti serve fare e a quanto <br>
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto <br>
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi <br> vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua <br>
chiave) e apri un tunnel (&quot;-L localport:remotehost:remoteport&quot;) per <br>
poter accedere a remotehost:remoteport collegandoti a localhost:localport.<br> Non è il massimo della comodità, però un malintenzionato dovrebbe poter <br> bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro <br> servizio che si possa far girare...<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Grazie di questa indicazione; non la conosco, cercherò di approfondire.</div><div dir="auto">Intanto ho disabilitato la connessione con password;</

<div dir="auto"><br></div><div dir="auto"><br></div><div dir="auto"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Diego Zuccato</blockquote></div><div dir="auto"><br></div><div dir="auto">Grazie,

ciao,</div><div dir="auto">Giuliano</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br></blockquote></div></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il mer 6 ott 2021, 12:05 MAURIZI Lorenzo <l.maurizi@comune.jesi.an.it> ha scritto:

Ciao Lorenzo, grazie;


.......

· Autenticazione del client più crittografia della comunicazione
con il server web

.....

Spero di aver risposto al tuo dubbio e di non avere detto inesattezze e/o
cose inutili, o già note, il che significherebbe che non ho capito la
domanda :-P

È proprio l'autenticazione del client che mi interessa; non hai qualche
hint per poter indirizzare in modo produttivo la mia lettura?

Grazie infinite, ciao,
Giuliano

<div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Il mer 6 ott 2021, 12:05 MAURIZI Lorenzo &lt;<a href="mailto:l.maurizi@comune.jesi.an.it">l.maurizi@comune.jesi.an.it</a>&gt; ha scritto:<br></div><div dir="ltr" class="
gmail_attr"><br></div><div dir="ltr" class="gmail_attr">Ciao Lorenzo, grazie;</div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr"><div style="font-family:sans-serif" dir="auto"><p>
 .......</p></div><div style="font-family:sans-serif" dir="auto"><p><u></u><span style="font-size:11pt;font-family:&#39;symbol&#39;;color:rgb(31,73,125)">·<span style="font-variant-numeric:normal;font-variant-east-asian:normal;font-stretch:normal;font-
size:7pt;line-height:normal;font-family:&quot;times new roman&quot;">         </span></span><u></u><span style="font-size:11pt;font-family:&#39;calibri&#39;,sans-serif;color:rgb(31,73,125)">Autenticazione del client più crittografia della
comunicazione con il server web</span></p><p><span style="font-size:11pt;font-family:&#39;calibri&#39;,sans-serif;color:rgb(31,73,125)">.....</span></p><p><span style="font-size:11pt;font-family:&#39;calibri&#39;,sans-serif;color:rgb(31,73,125)">Spero di
aver risposto al tuo dubbio e di non avere detto inesattezze e/o cose inutili, o già note, il che significherebbe che non ho capito la domanda :-P</span></p></div></div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr">È
proprio l&#39;autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura?</div><div dir="ltr" class="gmail_attr"><br></div><div dir="ltr" class="gmail_attr">Grazie infinite, ciao,</div><div
dir="ltr" class="gmail_attr">Giuliano</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="IT" link="blue" vlink="purple"><div class="m_
9057342690021211708WordSection1"><div><div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d"><u></u><u></u></span></p>
</div>
</div>
</div>
</div>

</blockquote></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il gio 7 ott 2021, 08:16 MAURIZI Lorenzo <l.maurizi@comune.jesi.an.it> ha scritto:

.......

È proprio l'autenticazione del client che mi interessa; non hai qualche
hint per poter indirizzare in modo produttivo la mia lettura?

Su questo punto non sono molto preparato, non mi è mai capitato di dover implementare una autenticazione del genere.

Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve
anche arrivare all’applicazione, in modo da rilevare chi è che si collega e
dare le giuste autorizzazioni a quel tale utente.
..........

si mette davanti a Motion un server web (Apache, nginx) che fa da reverse proxy, si configura per fare autenticazione con certificato, poi viene presentata l’autenticazione di motion e lì si dovrà fare un altro login con
user e password.

..azz... L'affare si complica; verrebbe da dire "piatto ricco, mi ci
ficco", ma non sono un pockerista 😥

Questa potrebbe essere una guida per configurare l’autenticazione SSL in

Apache: http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/

Oppure per nginx: https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication

Ciao da Lorenzo

Grazie infinite Lorenzo; appena in grado seguirò le tue indicazioni, ciao, Giuliano



<div dir="auto"><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Il gio 7 ott 2021, 08:16 MAURIZI Lorenzo &lt;<a href="mailto:l.maurizi@comune.jesi.an.it">l.maurizi@comune.jesi.an.it</a>&gt; ha scritto:<br></div><blockquote class="
gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="IT" link="blue" vlink="purple">
<div class="m_4622295427560510906WordSection1">
<div>
<div>
<div>
<p class="MsoNormal" style="margin-left:35.4pt"><u></u> .......</p></div> <div>
<p class="MsoNormal" style="margin-left:35.4pt">È proprio l&#39;autenticazione del client che mi interessa; non hai qualche hint per poter indirizzare in modo produttivo la mia lettura?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><span style="color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d">Su questo punto non sono molto preparato, non mi è mai capitato di dover implementare una autenticazione del genere.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d">Però qui, secondo me, esce anche un’altra questione: l’autenticazione deve anche arrivare all’applicazione, in modo da rilevare chi è che
si collega e dare le
giuste autorizzazioni a quel tale utente.<br>..........<u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d">si mette davanti a Motion un server web (Apache, nginx) che fa da reverse proxy, si configura per fare autenticazione con certificato, poi viene
presentata l’autenticazione
di motion e lì si dovrà fare un altro login con user e password.</span></p></div></div></div></div></div></blockquote></div><div dir="auto">..azz... L&#39;affare si complica; verrebbe da dire &quot;piatto ricco, mi ci ficco&quot;, ma non sono un
pockerista 😥</div><div dir="auto"><br></div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="IT" link="blue" vlink="purple"><div class="m_
4622295427560510906WordSection1"><p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d"><u></u> </span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:11pt">Questa potrebbe essere una guida per configurare
l’autenticazione SSL in Apache:
</span><a href="http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/" target="_blank" rel="noreferrer" style="font-family:Calibri,sans-serif;font-size:11pt">
http://www.stefanocapitanio.com/configuring-two-way-authentication-ssl-with-apache/</a></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d">Oppure per nginx:
<a href="https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication" target="_blank" rel="noreferrer">
https://www.ssltrust.com.au/help/setup-guides/client-certificate-authentication</a></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d"><u></u> Ciao da Lorenzo</span></p></div></div></blockquote></div><div dir="auto"><br></div><div dir="auto">Grazie infinite Lorenzo; appena in
grado seguirò le tue indicazioni, ciao,</div><div dir="auto">Giuliano</div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="IT" link="blue" vlink="purple"

<div class="m_4622295427560510906WordSection1"><div><div><div><p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,sans-serif;color:#1f497d"><u></u></span></p>

</div>
</div>
</div>
</div>
</div>

</blockquote></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 07/10/21 20:36, Piviul wrote:

Il 07/10/21 20:10, Davide Prina ha scritto:

[...]
ma in /var/log/auth.log non vi è neanche una riga relativa ad un
accesso ssh alla macchina...

ma il pc espone la porta 22 in internet?

dipende da cosa intendi per esporre
# netstat -putan
mi dice che non c'è nulla in ascolto su quella porta

Se faccio partire sshd
# systemctl start ssh

poi la c'è sshd in ascolto sulla porta 22

Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece
non c'è nessun IP con il comando:
# fail2ban-client status sshd

Ciao
Davide
--
Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo
Non autorizzo la memorizzazione del mio indirizzo su outlook

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 07/10/21 20:10, Davide Prina ha scritto:

[...]
ma in /var/log/auth.log non vi è neanche una riga relativa ad un
accesso ssh alla macchina...

ma il pc espone la porta 22 in internet?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 04/10/21 22:04, Mauro ha scritto:

non esattamente. Fail2ban si presenta con una sfilza di filtri da
paura, ma poi va tarato per le proprie necessita', altrimenti
garantisco che le rogne sono superiori ai benefici.

io l'ho sempre usato e non ho mai toccato nulla se non creato alcune
jail per servizi non gestiti da fail2ban e non ho mai avuto alcun minimo problema. Certo, se uno sbaglia la password per non ricordo quante volte
(3/5?) viene bannato per un certo numero di minuti (5/10?) che aumentano
mano a mano che vengono aumentati i fails log. Ad esser sincero non vedo nemmeno quali rogne si debbano incontrare...

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 04/10/21 22:04, Mauro wrote:

On 04/10/21 21:37, Davide Prina wrote:

ma file2ban dovrebbe essere sufficiente installarlo

non esattamente. Fail2ban si presenta con una sfilza di filtri da paura,
ma poi va tarato per le proprie necessita', altrimenti garantisco che le rogne sono superiori ai benefici.

io lo sto usando su PC ad uso desktop, per ora non ho notato problemi, o
per lo meno, non mi sono accorto che eventuali problematiche avute erano
causa sua. Per questo avevo detto così...

guardando ora (ho guardato il man/l'help in questo momento)
$ zgrep Jail /var/log/fail2ban.log*
[...]
[...] fail2ban.jail [762]: INFO Jail 'sshd' uses pyinotify {}
[...] fail2ban.jail [762]: INFO Jail 'sshd' started
[...] fail2ban.jail [762]: INFO Jail 'sshd' stopped
[...]

se interpreto correttamente sembra che mi metta costantemente in jail sshd

Strano perché io mi ricordavo di averlo disabilitato, in modo da averlo installato e poterlo avviare alla bisogna.

Infatti
$ systemctl status ssh
mi dice che è disabilitato

# fail2ban-client status
Status
|- Number of jail: 1
`- Jail list: sshd

# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
| |- Currently failed: 0
| |- Total failed: 0
| `- File list: /var/log/auth.log
`- Actions
|- Currently banned: 0
|- Total banned: 0
`- Banned IP list:

ma in /var/log/auth.log non vi è neanche una riga relativa ad un accesso
ssh alla macchina...

Ma i comandi che ho dato sono corretti per verificare ciò che è stato
messo in ban?

Appena posso proverò a guardare l'altro PC su cui l'ho installato

Ciao
Davide
--
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 07/10/21 20:48, Davide Prina ha scritto:

dipende da cosa intendi per esporre
# netstat -putan
mi dice che non c'è nulla in ascolto su quella porta

Se faccio partire sshd
# systemctl start ssh

poi la c'è sshd in ascolto sulla porta 22

Ma comunque non doveva indicarmi anche quali IP aveva bloccato? Invece
non c'è nessun IP con il comando:
# fail2ban-client status sshd

esposto intendo se la porta 22 è raggiungibile da Internet. Se non è raggiungibile ovviamente non ci possono nemmeno essere tentativi di
accesso e ip bloccati... a meno di avere qualcuno in LAN di poco
affidabile...

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 08/10/21 09:31, Diego Zuccato ha scritto:

Neanche io ho mai fatto particolari modifiche, se non le poche
necessarie per l'installazione di ISPConfig.

Un problema che può essere grosso col setup di default è se si deve
dare accesso ad un server "pubblico" da un laboratorio nattato. Se ci
sono diversi utenti correttamente collegati e qualche studente
ritardatario sbaglia la pass (anche se non è sempre lo stesso),
vengono tutti butati fuori. E se non si pensa al NAT si perdono ore a
cercare un problema inesistente. Chissà come l'ho scoperto... :)

Capisco il problema ma diciamo che sia un caso moolto particolare; certo
lui banna l'ip e se molti utenti accedono con lo stesso ip basta che
venga bannato uno perché siano bannati tutti... è coerente.

Comunque grazie Diego per aver chiarito e ribadisco che fail2ban sia un
bel progetto, semplice ed efficace.

Un saluto

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ciao a tutti,

scusate se riprendo questo discorso, ma nel mio faticoso viaggio nelle reti ogni tanto mi imbatto in qualche ostacolo ostico;

ho deciso di sperimentare, prima di approcciare il reverse proxy, il
tunneling SSH, come suggerito da

On 10/6/21, Diego Zuccato <diego.zuccato@unibo.it> wrote:

Il 06/10/2021 11:16, Giuliano Curti ha scritto:

.......

..... Inizia quindi pensando a cosa ti serve fare e a quanto
vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto
alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi
vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua
chiave) e apri un tunnel ("-L localport:remotehost:remoteport") per
poter accedere a remotehost:remoteport collegandoti a localhost:localport. Non è il massimo della comodità, però un malintenzionato dovrebbe poter bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro servizio che si possa far girare...

ho fatto una prova (in locale) e sembra funzionare, solo però per la porta
del webcontrol di motion, non riesco a reindirizzare le porte delle
telecamere, ammesso sia possibile;

ho provato anche a reindirizzare le porte delle una camere una alla volta,
ma purtroppo qui il metodo fallisce, non riesco a visualizzare lo stream
della camera: non capisco quale sia la differenza che rende possibile uno e impossibile l'altro.

Ho fatto anche un altro esperimento: ho fatto l'X forwarding e riesco a lanciare il browser di rPi4 e vedo tutto (finora ho sperimentato in
locale); per metterlo a regime dovrò installare un X server su Android e
iOS; pensate sia una soluzione praticabile? Avete suggerimenti su Xserver
da installare nei due casi?

O forse è meglio che mi oriento subito sul reverse proxy che suggeriva qualcuno?

spero di aver formulato con chiarezza contesto e quesiti; grazie dell'attenzione, saluti,
giuliano

<div dir="auto">Ciao a tutti,<br>

scusate se riprendo questo discorso, ma nel mio faticoso viaggio nelle reti ogni tanto mi imbatto in qualche ostacolo ostico;<br>

ho deciso di sperimentare, prima di approcciare il reverse proxy, il tunneling SSH, come suggerito da<br>

On 10/6/21, Diego Zuccato &lt;<a href="mailto:diego.zuccato@unibo.it" target="_blank" rel="noreferrer">diego.zuccato@unibo.it</a>&gt; wrote:<br>
&gt; Il 06/10/2021 11:16, Giuliano Curti ha scritto:<br>
&gt; <br>
&gt; .......<br>
&gt;<br>
&gt; ..... Inizia quindi pensando a cosa ti serve fare e a quanto <br>
&gt; vuoi che sia comodo. P.e. se devi solo poter accedere *tu* da remoto <br> &gt; alle telecamere, ti conviene esporre solo il servizio SSH. Quando vuoi <br>
&gt; vedere qualcosa, ti colleghi via SSH (che ti autentica con la tua <br> &gt; chiave) e apri un tunnel (&quot;-L localport:remotehost:remoteport&quot;) per <br>
&gt; poter accedere a remotehost:remoteport collegandoti a localhost:localport.<br>
&gt; Non è il massimo della comodità, però un malintenzionato dovrebbe poter <br>
&gt; bucare ssh, che è molto più blindato (credo e spero :) ) di ogni altro <br>
&gt; servizio che si possa far girare...<br>

ho fatto una prova (in locale) e sembra funzionare, solo però per la porta del webcontrol di motion, non riesco a reindirizzare le porte delle telecamere, ammesso sia possibile; <div dir="auto"><br></div><div dir="auto">ho provato anche a reindirizzare
le porte delle una camere una alla volta, ma purtroppo qui il metodo fallisce, non riesco a visualizzare lo stream della camera: non capisco quale sia la differenza che rende possibile uno e impossibile l&#39;altro.</div><div dir="auto"><br></div><div
dir="auto">Ho fatto anche un altro esperimento: ho fatto l&#39;X forwarding e riesco a lanciare il browser di rPi4 e vedo tutto (finora ho sperimentato in locale); per metterlo a regime dovrò installare un X server su Android e iOS; pensate sia una
soluzione praticabile? Avete suggerimenti su Xserver da installare nei due casi? </div><div dir="auto"><br></div><div dir="auto">O forse è meglio che mi oriento subito sul reverse proxy che suggeriva qualcuno?<br>

spero di aver formulato con chiarezza contesto e quesiti; grazie dell&#39;attenzione, saluti,<br>
giuliano<br></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

..oopss.... sul primo punto mi rispondo da solo

Il ven 8 ott 2021, 23:11 Giuliano Curti <giulianc51@gmail.com> ha scritto:

.......

On 10/6/21, Diego Zuccato <diego.zuccato@unibo.it> wrote:

Il 06/10/2021 11:16, Giuliano Curti ha scritto:
........

ho fatto una prova (in locale) e sembra funzionare, solo però per la porta del webcontrol di motion, non riesco a reindirizzare le porte delle telecamere, ammesso sia possibile;

ho visto che nella stessa istruzione si possono reindirizzare più porte; vedrò se questo risolve il problema.

Chiedo scusa dell'inutile disturbo, grazie, saluti,
Giuliano

<div dir="auto">..oopss.... sul primo punto mi rispondo da solo<br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Il ven 8 ott 2021, 23:11 Giuliano Curti &lt;<a href="mailto:giulianc51@gmail.com">giulianc51@gmail.com</a>&gt; ha
scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">.......<br>

On 10/6/21, Diego Zuccato &lt;<a href="mailto:diego.zuccato@unibo.it" rel="noreferrer noreferrer" target="_blank">diego.zuccato@unibo.it</a>&gt; wrote:<br>
&gt; Il 06/10/2021 11:16, Giuliano Curti ha scritto:<br>
&gt; ........<br>

ho fatto una prova (in locale) e sembra funzionare, solo però per la porta del webcontrol di motion, non riesco a reindirizzare le porte delle telecamere, ammesso sia possibile; </div></blockquote></div><div dir="auto"><br></div><div dir="auto">ho
visto che nella stessa istruzione si possono reindirizzare più porte; vedrò se questo risolve il problema.</div><div dir="auto"><br></div><div dir="auto">Chiedo scusa dell&#39;inutile disturbo, grazie, saluti,</div><div dir="auto">Giuliano</div><div
dir="auto"><br></div><div class="gmail_quote" dir="auto"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il 05-10-2021 10:23 Giuliano Curti ha scritto:

Il lun 4 ott 2021, 22:04 Mauro <mauro@teppisti.it> ha scritto:

.

Riassumo, senza ripetere, le domande che avevo posto:
1) la disabilitazione dell'accesso per password rende SSH
ragionevolmente
sicuro?
2) l'uso di SSL/TLS rende ragionevolmente sicura la connessione alle
porte
di pmotion e telecamerep?
con "ragionevolmente sicuro" intendo che possa fare a meno di
fail2ban-)

Te la butto lì. E se a ssh ci affiancassi una VPN?

Paride

--
http://keys.gnupg.net/pks/lookup?op=get&search=0xCC6CA35C690431D3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per
comprarsi briciole di temporanea sicurezza non merita ne' la liberta'
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore,
Assemblea della Pennsylvania, 11 novembre 1755)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Il dom 17 ott 2021, 00:04 Paride Desimone <huan@autistici.org> ha scritto:

Ciao Paride, grazie del suggerimento;

Il 05-10-2021 10:23 Giuliano Curti ha scritto:

Il lun 4 ott 2021, 22:04 Mauro <mauro@teppisti.it> ha scritto:

.

Riassumo, senza ripetere, le domande che avevo posto:
1) la disabilitazione dell'accesso per password rende SSH
.........

Te la butto lì. E se a ssh ci affiancassi una VPN?

Francamente era l'idea di partenza, ma la rete per me è un terreno
sconosciuto ed ogni passo in più è terribilmente faticoso.
Dovrei aver chiuso SSH accettando solo connessioni con chiave; ho messo fail2ban a guardia con le regole di default su SSHD e con una regola autocostruita per MOTION che mi dovrebbero tenere al riparo da attacchi
brute force.
Al momento ho rinunciato ad attivare OpenSSL perché l'impressione che ho
avuto è che MOTION se ne serve solo per autenticare il server, non il
client (studierò il reverse proxy tramite apache/nginxcome suggerito da qualcuno).
Se non ci sono problemi particolarmente critici sperimenterei così, senza disdegnare ovviamente miglioramenti futuri quando avrò una maggiore
padronanza della rete.


Paride


Grazie, ciao,
Giuliano




<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il dom 17 ott 2021, 00:04 Paride Desimone &lt;<a href="mailto:huan@autistici.org">huan@autistici.org</a>&gt; ha scritto:<br></div><div dir="ltr" class="gmail_attr"><br></div><
div dir="ltr" class="gmail_attr">Ciao Paride, grazie del suggerimento;</div><div dir="ltr" class="gmail_attr"><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 05-10-2021 10:23 Giuliano
Curti ha scritto:<br>
&gt; Il lun 4 ott 2021, 22:04 Mauro &lt;<a href="mailto:mauro@teppisti.it" target="_blank" rel="noreferrer">mauro@teppisti.it</a>&gt; ha scritto:<br>
&gt; <br>
&gt;&gt; .<br>
&gt; <br>
&gt; Riassumo, senza ripetere, le domande che avevo posto:<br>
&gt; 1) la disabilitazione dell&#39;accesso per password rende SSH <br>
&gt; .........<br>

Te la butto lì. E se a ssh ci affiancassi una VPN?<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Francamente era l&#39;idea di partenza, ma la rete per me è un terreno sconosciuto ed ogni passo in più è terribilmente faticoso.<
/div><div dir="auto"><div dir="auto">Dovrei aver chiuso SSH accettando solo connessioni con chiave; ho messo fail2ban a guardia con le regole di default su SSHD e con una regola autocostruita per MOTION che mi dovrebbero tenere al riparo da attacchi
brute force.</div><div dir="auto">Al momento ho rinunciato ad attivare OpenSSL perché l&#39;impressione che ho avuto è che MOTION se ne serve solo per autenticare il server, non il client (studierò il reverse proxy tramite apache/nginxcome suggerito
da qualcuno).</div><div dir="auto">Se non ci sono problemi particolarmente critici sperimenterei così, senza disdegnare ovviamente miglioramenti futuri quando avrò una maggiore padronanza della rete.</div></div><div dir="auto"><br></div><div dir="auto">
<blockquote style="font-family:sans-serif;margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>Paride<br></blockquote><br></div><div dir="auto">Grazie, ciao,</div><div dir="auto">Giuliano</div><div dir="auto"><br></div><
div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote style="font-family:sans-serif;margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);
padding-left:1ex"><br></blockquote></blockquote></div></div></div>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)