Budget illimitato per la sicurezza!

[lucas84]

Guarda, non mi pare di aver detto che kaspersky ha un bug e il bagle lo sfrutta, ho solo detto che una variante del bagle termina il kaspersky e aggiungo altri 500 eseguibili collegati a software di sicurezza mi sono collegato all'affermazione di g.m.c

Ciao

Quote:

Originariamente inviato da lucas84

Guarda, non mi pare di aver detto quello che hai detto tu, ho solo detto che una variante del bagle termina il kaspersky e aggiungo altri 500 eseguibili collegati a software di sicurezza

Ciao

Finchè "lo dici tu" e non porti documentazione a riguardo è difficile discutere su qualcosa di concreto... al contrario se vuoi io posso portarti documentazione su quelli di Comodo

P.S.
Ma non dovevi chiudere una pagina fa?

[W.S.]

Quote:

Originariamente inviato da ekerazha

Evitiamo di cercare vanamente l'iperuranio in terra e guardiamo alla sostanza: attualmente non ci sono metodi noti (ma se ne trovi fammi sapere ) per terminare l'ultima versione di KIS/KAV. Inoltre dai un'occhiata qua: http://www.firewallleaktester.com/te...n_overview.php

Qui non ti capisco, tu stesso dici che i sw non sono inattaccabili e poi insisti a non accettare che il personal firewall che preferisci possa essere bucato. Se c'è un rischio perchè non devo prevenirlo?

Quote:

Originariamente inviato da ekerazha

Come già detto... credi che il software degli apparati hardware sia infallibile?

Mai detto. Sei tu a dire che KIS/KAV è inattaccabile. (ok, dici che per ora non ci son attacchi, ma il fatto che ti fideresti ad affidargli completamente tutto il lavoro parla chiaro). Immagino la scelta sia dovuta al fatto che ti fidi ancora meno dei firewall "hw" ma qui non si parla di sostituire i personal firewall con i firewall, stiam parlando di usarli entrambi. Chissà, magari ci va bene e l'eventuale attacco a KIS/KAV viene bloccato dal firewall prima di raggiungere i client.

Quote:

Originariamente inviato da ekerazha

Il fatto di "segare il traffico indesiderato ancora prima che arrivi nella LAN" evidenzia una visione un po' "fantasy" dell'informatica che non ha molti riscontri a livello tecnico: se rifiuto un pacchetto lo rifiuto e basta, non ha molta importanza "prima o dopo".

Non ha molta importanza? preferisci scartare un pacchetto dopo che è già stato ricevuto o non farlo proprio entrare nel sistema?
Se una macchina interna viene compromessa tu gli lasci arrivare qualsiasi cosa?

Per la possibilità di introdurre delle falle se ci si affida a firewall scadenti non lo nego, anzi è un bel problema, così come se ci si affida a personal firewall e altri sw scadenti.

Quote:

Originariamente inviato da W.S.

Qui non ti capisco, tu stesso dici che i sw non sono inattaccabili e poi insisti a non accettare che il personal firewall che preferisci possa essere bucato. Se c'è un rischio perchè non devo prevenirlo?

Io dico che non esistono falle note. Comunque se non possiamo escludere da software "di una certa complessità" ogni possibile bug, per "piccoli campi" non è detto che non si raggiunga fino in fondo la "correttezza": se ci sono in assoluto 15 modi per terminare un software ed io pongo rimedio a tutti e 15... diamine poi "effettivamente" non posso terminarlo. La "verità" esiste, può essere difficile raggiungerla, ma esiste. Inoltre non hai modo di "prevenire tutto", proprio partendo dal presupposto che ogni software potrebbe contenere bug: si deve trovare il miglior compromesso.

Quote:

Mai detto. Sei tu a dire che KIS/KAV è inattaccabile. (ok, dici che per ora non ci son attacchi, ma il fatto che ti fideresti ad affidargli completamente tutto il lavoro parla chiaro).

Perchè tu conosci qualche software di sicurezza nel quale sei assolutamente certo che non esistano bug e del quale sei certo di poterti fidare ciecamente? Come già detto di cerca il "miglior compromesso", soprattutto in base ai dati disponibili più che ad ipotesi campate in aria.

Quote:

Immagino la scelta sia dovuta al fatto che ti fidi ancora meno dei firewall "hw" ma qui non si parla di sostituire i personal firewall con i firewall, stiam parlando di usarli entrambi. Chissà, magari ci va bene e l'eventuale attacco a KIS/KAV viene bloccato dal firewall prima di raggiungere i client.

E magari l'attacco blocca il tuo firewall "hardware" provocando un DoS e sarebbe stato invece innocuo sul solo firewall personale. Le cose non si fanno con i "se", si fanno con i fatti e come già detto si cerca un compromesso, anche relativamente all'usabilità e anche relativamente alle richieste dell'utente che come già detto ha parlato di "software" e non di apparati hardware.

Quote:

Non ha molta importanza? preferisci scartare un pacchetto dopo che è già stato ricevuto o non farlo proprio entrare nel sistema?
Se una macchina interna viene compromessa tu gli lasci arrivare qualsiasi cosa?

Il punto è che la "macchina interna" non deve essere compromessa Inoltre vedi risposta precedente e vedi risposte in post precedenti.

Quote:

Per la possibilità di introdurre delle falle se ci si affida a firewall scadenti non lo nego, anzi è un bel problema, così come se ci si affida a personal firewall e altri sw scadenti.

Certo... però se ci si affida a personal firewall validi (e costantemente aggiornati) il problema non dovrebbe porsi.

Seguendo il vostro ragionamento se io usassi 3000 firewall "hardware" diversi dovrei essere "sicuro": il punto è che non è un buon compromesso.

[ThE_RaV[3]N]

Quote:

Originariamente inviato da ekerazha

Come già detto... oltre a frasette del tipo "io dubito questo e quello" "tu non sai questo e quello" etc. hai anche qualcosa di concreto da dire e sul quale possiamo discutere? Sono pronto a rispondere ad ogni tua obiezione seria e non temo smentite...

Ringrazio perchè mi è stata concessa la possibilità di replicare completamente visto che non propongo niente di concreto sul quale discutere. Proprio il contrario del nostro caro collega Ingegnere Informatico.

Cominciamo dal principio, perchè purtroppo il problema è che una cronistoria lunga fa perdere di vista le tracce dei mille giri rifatti negli infiniti botta e risposta avvenuti.......

Quote:

Originariamente inviato da ekerazha

Posso anche averla vista, ma è ridondante
Firewall "hardware" è un concetto "fumoso": non è altro che un sistema "a parte" con un software firewall installato... non ci sono meccanismi di filtraggio "meccanici" tipo rotelle che girano e bloccano i pacchetti... quindi non aggiunge nulla di particolarmente utile alla combinazione "firewall software" + router. Tra l'altro alcuni firewall (non Comodo comunque) integrano già funzionalità di IDS, quindi Snort potrebbe risultare a sua volta ridondante (anche se come IDS è piuttosto valido).

Innanzitutto spiegaci, sommo ekerazha, cosa intendi per rindondante perchè mi sembra che anche le tue risposte siano infinitesimamente rindondanti; però al di là di questo vorrei proprio chiarire perchè una struttura FW_SW+FW_HD+ROUTER è rindondante se abbinata ad un IDS; perchè se un IDS è rindondante rispetto ad un FW_SW ti do ragione, ma rispetto a quanto trattato prima direi che ci possano stare tranquillamente bene assieme: proprio come i sette nani con biancaneve.
Per quanto riguarda le rotelle meccaniche che girano ti do ragione perchè effettivamente un FW_HD non è un tornio meccanico e quindi non girano rapporti o ingranaggi di vario tipo; ma bensì una piattaforma dedicata con un vero e proprio SO che gestisce gli stati e gli eventi macchina, e se per te questo è un semplice firewall software installato sopra ad una macchina allora sbagli tutto. Infatti proprio per questo hanno inventato FW_SW e sistemi gateway diversi; proprio quei sistemi gateway a micro-kernel che scommetto che non hai mai testato e scalato in una infrastruttura.
Ebbene questi bellissimi e leggerissimi sistemi,(dovresti conoscerli questi derivati visto che all'uni si propone Linux) non montano software su una macchina dedicata; ma bensì integrano dei demoni che gestiscono le comunicazioni analizzando sia il livello applicativo, e restando sempre orientati allo strato trasporto e quindi orientati alla connessione.

Quote:

Originariamente inviato da ekerazha

Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.
Come già detto un firewall "hardware" (tra l'altro senza particolari funzionalità di routing visto che si è parlato di associarlo ad un router) non è altro che un normalissimo "software" installato su una macchina dedicata. Questo può essere comodo se ad esempio disponiamo di una vasta LAN da proteggere, ma a livello di sicurezza non fa nulla che non possa fare un firewall installato sulla propria macchina. Forse l'unica eccezione è se vogliamo settare un "transparent firewall" (come ho fatto io su una mia macchina OpenBSD), ma l'incremento del livello di sicurezza è davvero relativo ed il gioco non vale la candela.
Vorrei inoltre sottolineare come l'autore del thread abbia parlato di "software" e non abbia menzionato l'acquisto di apparati hardware.

Quoto la tua affermazione che esponga quanto l'autore del thread non abbia menzionato apparati hardware, ma visto che è giusto citarli per corretteza professionale quando si parla di security, direi che possiamo continuare la discussione in merito ai FW_HD visto che l'hai diretta e animata proprio tu fino ad adesso.
Intanto premetto che io vedo molte piccole realtà aziendali che comincano ad integrare reti a dominio su reti da quattro, cinque o anche sei PC(assurdo vero quanto si cerchi la stabilità e la centralizzazione?? ) e che richiedono apparati hardware oppure macchine dedicate a questo specifico compito e basta. Se tu affermi che nessun firewall software non possa fare quello che può fare un firewall hardware allora mi sa che siamo un pò OUT.
Infatti così è come mi dicessi che soluzioni come netfilter, content filterning e trsparent proxy si possano fare anche su prodotti software e anzi, non siano proprio utili da integrare su macchine dedicate che permettono la centralizzazione delle policies e dei criteri di firewalling(anche su aziende da pochi client se si richiede un controllo o il rispetto di procedure ISO che integrano processi gestionali di controllo della produzione)..
Poi se per te il trasparent firewalling non vale la candela, direi che ti conviene pensare e orientarti al content filtering su trasparent proxy e vedrai che rende molto ma molto meglio e con molti meno problemi oltre ad aprirti gli occhi ad orizzonti molto più ampi sul mondo del routing-firewalling.

Quote:

Originariamente inviato da ekerazha

E secondo te queste cose le fa il software installato (su quell'hardware) o le fa l'hardware? Tutto quello che puoi fare su una macchina dedicata lo puoi fare come già detto anche sul tuo sistema con il relativo software... forse con l'unica eccezione, come già detto, del "transparent firewalling" che ho appena menzionato, poichè si utilizza una macchina alla quale non viene assegnato un proprio indirizzo IP ma la si usa come una sorta di filtro "fisico" sul cavo di rete. La differenza sostanziale sta come già detto nella possibilità di avere un firewall "centralizzato" in una LAN, ma non perchè questo comporti particolari incrementi a livello di sicurezza.
Al limite un vantaggio potrebbe esservi se tale sistema dovesse ospitare qualche particolare server, poichè l'eventuale violazione di questo server sfruttando una qualche vulnerabilità del relativo daemon, diminuirebbe il rischio di poter compromettere anche il firewall... ma questo potrebbe anche non essere necessario se usassimo particolari accorgimenti (es. in Solaris le "zones") creando aree "isolate" all'interno del sistema. Comunque forse mi sto spingendo troppo oltre... l'autore del thread non ha menzionato ne' server ne' sistemi operativi come Solaris.

Ma diciamo che il firewall-hadrware è stato pensato per dividere le aree di una rete, e quindi un firewall che ospita anche un server dedicato direi che sia una scelta poco azzeccata perchè caricherebbe la macchina di una gestione che non va molto d'accordo come per esempio dei web-services con le regole di port-forwarding. Finora i server WEB che ho mantenuto avevano il loro firewall, e erano programmati a livello di Server-WEB per andare a gestire le richieste sulla porta/e del webservice. Comunque al di là di questo, i piccoli accorgimenti che menzioni sono un pò OUT e poco usati ora come ora su questo mercato ITC; perchè le care DMZ si sfruttano relativamente se non su aree server di media consistenza, e molto spesso su aree ad intenso traffico e con strutture che devono essere fisicamente distinte(e di questo se ne occuperà il firewall hardware fatalità!!!). Il problema, e cioè il compito di un FW, è di proteggere mentre la questione delle DMZ e delle aree separate che correttamente hai definito zones in Solaris(nei tracciati teorici di progettazione però) sono soluzioni scalari che vengono fatte per evitare il link down sui servizi WEB e sui servizi LAN in caso di problemi hardware o di sicurezza....E comunque nel bene e nel male sarà sempre un firewall a decidere quali reti instradare anche su infrastrutture con DMZ.

Quote:

Originariamente inviato da ekerazha

I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).

Intanto il miglior personal firewall non è di certo quello che hai consigliato tu, anzi; ma comunque ricordati che un user appartenente al gruppo administrator, nel momento che si deve affidare al proprio browser(visto che consigli solo FW_SW senza accennare ai problemi dello scripting host che ne possano derivare dalla errata configurazione decentralizzata) può essere messo in ginocchio tramite un semplice OCX, creato in VBScript, che cancella la chiave del FW dalla sezione RunOnce e quindiecco che il tuo firewall te lo puoi attaccare alla sedia della tua scrivania, e girartelo attorno anche quando vai in bagno per vedere se ora quello è l'unico posto dove renderebbe bene. Oltre a questo intanto i files di un ipotetico malware verranno già copiati ed eseguiti al riavvio successivo.(Excuse me for this OT)

Comunque al di là di questo piccolo commentino sui FW_SW direi che ci tenevo a riprendere in mano, per concludere il discorso dei FW_HD; che tu hai affermato come uguali a quelli software, e portare i tuoi tanto sospirati ESEMPI CONCRETI.....:

DNS-SPEED_UP, Content FIltering, NetFilter, L7 sono esempi poco concreti che si possono fare anche su un firewall software? Oppure appliabili su un normale client(il famosissimo client-side che hai nominato ma non chiarito agli altri utenti)??? Non penso proprio che queste siano scelte fattibili dal lato client.....Anzi debbano sempre dipendere da un sistema centrale.

P:S:> Concludo il mio pensiero dicendo che se ora mi dimostri qualcosa tu magari; oppure mi trovi una tesi non confutabile, che sostenga il contrario del mio pensiero, in maniera rigida allora smetto di programmare i router Cisco, e i PIX , e dato che sono in vena strappo anche in due i miei due diplomi CNAPONLINE su CCNA 1 e CCNA2, oltre al mio certificato di qualità sempre targato CNAPONLINE e alla certificazione MS in Windows Server 2003 R1 che ho sudato tantissimo in questi ultimi due anni e mezzo quasi tre(per essere precisi)....

Con affetto ....Tuo ThE_RaV[3]N

[W.S.]

Quote:

Originariamente inviato da ekerazha

Io dico che non esistono falle note. Comunque se non possiamo escludere da software "di una certa complessità" ogni possibile bug, per "piccoli campi" non è detto che non si raggiunga fino in fondo la "correttezza": se ci sono in assoluto 15 modi per terminare un software ed io pongo rimedio a tutti e 15... diamine poi "effettivamente" non posso terminarlo. La "verità" esiste, può essere difficile raggiungerla, ma esiste. Inoltre non hai modo di "prevenire tutto", proprio partendo dal presupposto che ogni software potrebbe contenere bug: si deve trovare il miglior compromesso.

No, così non va, prima mi dici che con i "se" e le "cose campate in aria" non possiamo discutere e poi mi parli di una "verità" che non puoi dimostrare formalmente?? Se una regola vale per me, allora vale pure per te.
Escludiamo qualche "se": poniamo che i sw sono imperfetti. Questa è una verità, sei d'accordo con me?

Immagino di si visto che giustamente parli di compromessi. Siam perfettamente in linea, la sicurezza è un compromesso. (Io non ho mai parlato di sw infallibile)

Quote:

Originariamente inviato da ekerazha

Il punto è che la "macchina interna" non deve essere compromessa Inoltre vedi risposta precedente e vedi risposte in post precedenti.

Proprio perchè stiamo parlando di compromessi, non possiamo partire dal presupposto che i client siano a posto. Dai, è proprio dove l'utente ci lavora, son i punti + "caldi" al giorno d'oggi. Infatti ci mettiamo antivirus, antispy, antiTuttoQuellocheVuoi, limitiamo il + possibile l'utente e tutto il resto.

Quote:

Originariamente inviato da ekerazha

Certo... però se ci si affida a personal firewall validi (e costantemente aggiornati) il problema non dovrebbe porsi.

E ridagli con i "se" che io non posso usare (non prenderla come offesa, non lo è, voglio solo "sdrammatizzare" un po )

[W.S.]

Quote:

Originariamente inviato da ekerazha

Seguendo il vostro ragionamento se io usassi 3000 firewall "hardware" diversi dovrei essere "sicuro": il punto è che non è un buon compromesso.

L'hai seguito un po male il ragionamento. Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.

Quote:

Originariamente inviato da ThE_RaV[3]N

Ringrazio perchè mi è stata concessa la possibilità di replicare completamente visto che non propongo niente di concreto sul quale discutere. Proprio il contrario del nostro caro collega Ingegnere Informatico.

Cominciamo dal principio, perchè purtroppo il problema è che una cronistoria lunga fa perdere di vista le tracce dei mille giri rifatti negli infiniti botta e risposta avvenuti.......

Bla bla bla... 3 2 1 partiamo!

P.S.
Non capisco perchè tirate fuori la storia dell'Ingegnere Informatico che io non ho minimamente menzionato (proprio perchè a differenza di qualcun'altro solitamente non mi piace giocare al "lei non sa chi sono io") e che evidentemente avete letto nel mio profilo. Comunque alcune cose si studiano anche all'università

Quote:

Innanzitutto spiegaci, sommo ekerazha, cosa intendi per rindondante perchè mi sembra che anche le tue risposte siano infinitesimamente rindondanti; però al di là di questo vorrei proprio chiarire perchè una struttura FW_SW+FW_HD+ROUTER è rindondante se abbinata ad un IDS; perchè se un IDS è rindondante rispetto ad un FW_SW ti do ragione, ma rispetto a quanto trattato prima direi che ci possano stare tranquillamente bene assieme: proprio come i sette nani con biancaneve.

Se continuate a dire le stesse cose purtroppo io non posso che continuare a dare le stesse risposte. Un firewall software è ridondante rispetto ad un firewall "hardware" (che è un software installato su una macchina dedicata) poichè le funzionalità di sicurezza che mettono a disposizione si sovrappongo (volendo fare una piccola eccezione: il caso del "trasparent firewalling" che ho precedentemente menzionato).

Inoltre anche relativamente ad IDS e firewall "software" sul quale "mi daresti ragione" è tutto da vedere: potrei avere un firewall "software" che possiede funzionalità di IDS ma anche no, potrei avere un firewall "hardware" che contiene anche un software di IDS insomma dipende... certamente consigliare alla rinfusa firewall software, "hardware", IDS etc. senza menzione di casi specifici non è molto significativo.

Quote:

Per quanto riguarda le rotelle meccaniche che girano ti do ragione perchè effettivamente un FW_HD non è un tornio meccanico e quindi non girano rapporti o ingranaggi di vario tipo; ma bensì una piattaforma dedicata con un vero e proprio SO che gestisce gli stati e gli eventi macchina, e se per te questo è un semplice firewall software installato sopra ad una macchina allora sbagli tutto. Infatti proprio per questo hanno inventato FW_SW e sistemi gateway diversi; proprio quei sistemi gateway a micro-kernel che scommetto che non hai mai testato e scalato in una infrastruttura.
Ebbene questi bellissimi e leggerissimi sistemi,(dovresti conoscerli questi derivati visto che all'uni si propone Linux) non montano software su una macchina dedicata; ma bensì integrano dei demoni che gestiscono le comunicazioni analizzando sia il livello applicativo, e restando sempre orientati allo strato trasporto e quindi orientati alla connessione.

Ma che stai dicendo? Un firewall "hardware" è una macchina che generalmente possiede un sistema operativo ed un software di firewalling. In passato si usavano sistemi operativi o comunque software proprietari sviluppati dai singoli produttori, ma ultimamente stanno migrando quasi tutti a soluzioni Linux-based, nei quali mi spiace deluderti ma vi è proprio installato (e non solo in questo caso comunque) un "semplice firewall" (spesso "iptables").

Inoltre mi piacerebbe che ci illustrassi nei dettagli il significato di "orientato alla connessione" o altre espressioni che fanno molto "cool" ma dietro alle quali non vedo significati particolarmente sensati se non pura retorica e demagogia "fuffosa".

P.S.
Linux non è un microkernel.

Quote:

Quoto la tua affermazione che esponga quanto l'autore del thread non abbia menzionato apparati hardware, ma visto che è giusto citarli per corretteza professionale quando si parla di security, direi che possiamo continuare la discussione in merito ai FW_HD visto che l'hai diretta e animata proprio tu fino ad adesso.

Non mi sembra sia particolarmente "giusto citarli" dato che appunto non sono stati richiesti: sarebbe sempre buona cosa rimanere "on-topic". Io non ho animato proprio nulla, io mi limito a rispondere a vostre affermazioni... quando queste affermazioni termineranno (o meglio, quando termineranno quelle a mio parere scorrette) terminerò anche di replicare: come potrai ben capire io sono solo un "attore secondario" e non dirigo proprio nulla di questo "off-topic".

Quote:

Intanto premetto che io vedo molte piccole realtà aziendali che comincano ad integrare reti a dominio su reti da quattro, cinque o anche sei PC(assurdo vero quanto si cerchi la stabilità e la centralizzazione?? ) e che richiedono apparati hardware oppure macchine dedicate a questo specifico compito e basta.

Stiamo parlando di firewall o sbaglio? Evita di tirare in ballo discorsi che non c'entrano nulla e che vanno ulteriormente off-topic.

Quote:

Se tu affermi che nessun firewall software non possa fare quello che può fare un firewall hardware allora mi sa che siamo un pò OUT.
Infatti così è come mi dicessi che soluzioni come netfilter, content filterning e trsparent proxy si possano fare anche su prodotti software e anzi, non siano proprio utili da integrare su macchine dedicate che permettono la centralizzazione delle policies e dei criteri di firewalling(anche su aziende da pochi client se si richiede un controllo o il rispetto di procedure ISO che integrano processi gestionali di controllo della produzione)..

Tutto quello che hai citato si può fare anche su un "personal firewall". Se poi mi parli di "centralizzazione delle policy" etc. allora è vero, ma questo rientra nel discorso che io ho definito di "comodità" (es. non devo creare e gestire le regole su ogni singolo client) e non su quello "sicurezza".

Quote:

Poi se per te il trasparent firewalling non vale la candela, direi che ti conviene pensare e orientarti al content filtering su trasparent proxy e vedrai che rende molto ma molto meglio e con molti meno problemi oltre ad aprirti gli occhi ad orizzonti molto più ampi sul mondo del routing-firewalling.

Ma che stai dicendo? Stai veramente dicendo cose che non hanno alcun senso... sai almeno cos'è un transparent firewall? Che c'entra con il resto della roba "cool" che hai provato a "rifilarmi"?

Quote:

Ma diciamo che il firewall-hadrware è stato pensato per dividere le aree di una rete, e quindi un firewall che ospita anche un server dedicato direi che sia una scelta poco azzeccata perchè caricherebbe la macchina di una gestione che non va molto d'accordo come per esempio dei web-services con le regole di port-forwarding. Finora i server WEB che ho mantenuto avevano il loro firewall, e erano programmati a livello di Server-WEB per andare a gestire le richieste sulla porta/e del webservice.

Che c'entra? Basta che non fai il forwarding sulle porte utilizzare per il serving Per il carico è vero, ma ancora una volta non è una questione correlata alla sicurezza

Quote:

Comunque al di là di questo, i piccoli accorgimenti che menzioni sono un pò OUT e poco usati ora come ora su questo mercato ITC; perchè le care DMZ si sfruttano relativamente se non su aree server di media consistenza, e molto spesso su aree ad intenso traffico e con strutture che devono essere fisicamente distinte(e di questo se ne occuperà il firewall hardware fatalità!!!).

Chi ha mai parlato di DMZ?

Quote:

Il problema, e cioè il compito di un FW, è di proteggere mentre la questione delle DMZ e delle aree separate che correttamente hai definito zones in Solaris(nei tracciati teorici di progettazione però) sono soluzioni scalari che vengono fatte per evitare il link down sui servizi WEB e sui servizi LAN in caso di problemi hardware o di sicurezza....E comunque nel bene e nel male sarà sempre un firewall a decidere quali reti instradare anche su infrastrutture con DMZ.

Chi ha mai parlato di DMZ? Che c'entrano le DMZ con le zones di Solaris?

Quote:

Intanto il miglior personal firewall non è di certo quello che hai consigliato tu, anzi;

Ah be'... se lo dici tu Fatti? Prove? Argomentazioni? Su su... attendo...

Quote:

ma comunque ricordati che un user appartenente al gruppo administrator, nel momento che si deve affidare al proprio browser(visto che consigli solo FW_SW senza accennare ai problemi dello scripting host che ne possano derivare dalla errata configurazione decentralizzata) può essere messo in ginocchio tramite un semplice OCX, creato in VBScript, che cancella la chiave del FW dalla sezione RunOnce e quindiecco che il tuo firewall te lo puoi attaccare alla sedia della tua scrivania, e girartelo attorno anche quando vai in bagno per vedere se ora quello è l'unico posto dove renderebbe bene. Oltre a questo intanto i files di un ipotetico malware verranno già copiati ed eseguiti al riavvio successivo.(Excuse me for this OT)

Per la seconda volta: ma che stai dicendo? Affidare il browser per cosa? Lo sai che per avviare un VBScript (che poi funziona solo in IE) nel browser serve un'autorizzazione esplicita? Lo sai che con KAV/KIS (ma anche altri software) ci sono sistemi di protezione anche relativamente alla voce di registro che hai citato? Eddai...

Quote:

Comunque al di là di questo piccolo commentino sui FW_SW direi che ci tenevo a riprendere in mano, per concludere il discorso dei FW_HD; che tu hai affermato come uguali a quelli software, e portare i tuoi tanto sospirati ESEMPI CONCRETI.....:

DNS-SPEED_UP, Content FIltering, NetFilter, L7 sono esempi poco concreti che si possono fare anche su un firewall software? Oppure appliabili su un normale client(il famosissimo client-side che hai nominato ma non chiarito agli altri utenti)??? Non penso proprio che queste siano scelte fattibili dal lato client.....Anzi debbano sempre dipendere da un sistema centrale.

Sicuro che le cose che dici abbiano tutte a che fare con la sicurezza? Comunque si, questo è fattibile anche sui singoli client senza necessità di apparati hardware esterni

Quote:

P:S:> Concludo il mio pensiero dicendo che se ora mi dimostri qualcosa tu magari; oppure mi trovi una tesi non confutabile, che sostenga il contrario del mio pensiero, in maniera rigida allora smetto di programmare i router Cisco, e i PIX , e dato che sono in vena strappo anche in due i miei due diplomi CNAPONLINE su CCNA 1 e CCNA2, oltre al mio certificato di qualità sempre targato CNAPONLINE e alla certificazione MS in Windows Server 2003 R1 che ho sudato tantissimo in questi ultimi due anni e mezzo quasi tre(per essere precisi)....

Et voila.
Comunque se vogliamo metterla sul "lei non sa chi sono io" (cosa alla quale non aspiro particolarmente poichè preferisco i fatti) ti consiglio di riflettere un po' su alcuni punti, del tipo che forse il tuo interlocutore potrebbe avere, tra le altre cose, anche una certificazione Cisco di terzo livello, o qualcosa del genere...

Quote:

Con affetto ....Tuo ThE_RaV[3]N

Bacioni mon amour.

Quote:

Originariamente inviato da W.S.

No, così non va, prima mi dici che con i "se" e le "cose campate in aria" non possiamo discutere e poi mi parli di una "verità" che non puoi dimostrare formalmente?? Se una regola vale per me, allora vale pure per te.
Escludiamo qualche "se": poniamo che i sw sono imperfetti. Questa è una verità, sei d'accordo con me?

Immagino di si visto che giustamente parli di compromessi. Siam perfettamente in linea, la sicurezza è un compromesso. (Io non ho mai parlato di sw infallibile)

Lo riassumo così magari ti risulta più chiaro:
Per software semplici, essere privi di bug è possibile e probabile.
Per software complessi, essere privi di bug è possibile ma improbabile.
Per aspetti "parziali" di software complessi, essere privi di bug è possibile e discretamente probabile, soprattutto dopo un certo periodo (qualche mese?) di "collaudo".

Quote:

Proprio perchè stiamo parlando di compromessi, non possiamo partire dal presupposto che i client siano a posto. Dai, è proprio dove l'utente ci lavora, son i punti + "caldi" al giorno d'oggi. Infatti ci mettiamo antivirus, antispy, antiTuttoQuellocheVuoi, limitiamo il + possibile l'utente e tutto il resto.

Come non è detto che aggiungendo firewall "hardware" la situazione migliori (teoricamente potrebbe anche peggiorare, come illustrato).

Quote:

E ridagli con i "se" che io non posso usare (non prenderla come offesa, non lo è, voglio solo "sdrammatizzare" un po )

Mah......

Quote:

Originariamente inviato da W.S.

L'hai seguito un po male il ragionamento. Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.

Il punto è che come sto dicendo da varie pagine, senza che mi sia dimostrato il contrario, a livello di "sicurezza" (e non di comodità) le funzionalità messe a disposizione dai due sistemi si sovrappongono (sempre con l'eccezione che io stesso avevo citato del "transparent firewall"). Se invece come state facendo voi la buttiamo sul "questo software ha bug e quindi ne aggiungo N diversi", allora è corretta l'osservazione che avevo fatto relativamente al vostro "ragionamento" Come già detto interviene la questione "usabilità" e quella "nessuno vi ha chiesto apparati hardware".

[W.S.]

Quote:

Originariamente inviato da ekerazha

Lo riassumo così magari ti risulta più chiaro:
Per software semplici, essere privi di bug è possibile e probabile.
Per software complessi, essere privi di bug è possibile ma improbabile.
Per aspetti "parziali" di software complessi, essere privi di bug è possibile e discretamente probabile, soprattutto dopo un certo periodo (qualche mese?) di "collaudo".

Ancora "probabile", "possibile", "discretamente probabile" ... "certo periodo" questa si che è fuffa, non si può dimostrare formalmente.

Riassumiamo senza usare i "forse":
- non possiamo dimostrare la sicurezza del sw, quindi diamo per scontato il caso peggiore: qualsiasi sw è insicuro.
- i firewall e i personal firewall hanno alcune proprietà che si sovrappongono ma anche altre che non lo fanno. Per i personal firewall mi sembra che siamo d'accordo. Per i firewall:
Non mi hai ancora dimostrato perchè non è meglio fermare i pacchetti prima (un "hai una visione fantasy" non mi basta, voglio sapere perchè preferisci che un pacchetto arrivi al client, venga elaborato sia dal sistema destinatario che dal firewall e poi venga scartato rispetto a fermarlo prima).
Siccome i sw sono insicuri e siccome gli utenti possono fare casini, io non mi fido a lasciare tutte le soluzioni solo sul client (che ritengo molto esposto) quindi mi piace avere un firewall. Cosa c'è di male? (non usare "se" e "forse", non accetto la risposta "il firewall può avere bachi" perchè (pur essendo vera) posso ribattere "anche tutti gli altri anelli della catena li hanno").

Quote:

Originariamente inviato da ekerazha

Come non è detto che aggiungendo firewall "hardware" la situazione migliori (teoricamente potrebbe anche peggiorare, come illustrato).

Se è per questo anche aggiungendo antivirus, p. firewall e tutto il resto la situazione POTREBBE peggiorare... ma noi non usiamo i "potrebbe".

Quote:

Originariamente inviato da ekerazha

Se invece come state facendo voi la buttiamo sul "questo software ha bug e quindi ne aggiungo N diversi", allora è corretta l'osservazione che avevo fatto relativamente al vostro "ragionamento" Come già detto interviene la questione "usabilità" e quella "nessuno vi ha chiesto apparati hardware".

No, questo è un ragionamento tuo, ripeto, io (credo noi) ho detto:
Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.

Quote:

Originariamente inviato da W.S.

Ancora "probabile", "possibile", "discretamente probabile" ... "certo periodo" questa si che è fuffa, non si può dimostrare formalmente.

Nulla è certo nel mondo e nell'universo... è sempre una questione di probabilità Ma questo è un altro discorso...

Quote:

Riassumiamo senza usare i "forse":
- non possiamo dimostrare la sicurezza del sw, quindi diamo per scontato il caso peggiore: qualsiasi sw è insicuro.

Puoi farlo... ma devi essere consapevole che potresti sbagliarti, proprio perchè per dimostrare il contrario serve una "prova contraria".

Quote:

- i firewall e i personal firewall hanno alcune proprietà che si sovrappongono ma anche altre che non lo fanno. Per i personal firewall mi sembra che siamo d'accordo.

No... in quanto un firewall "hardware" non è altro che un software installato su una macchina dedicata e questo software potrei installarlo anche sul client, qualsiasi sua funzione si sovrappone, tranne quelle per le quali si rende necessaria una macchina dedicata (ad esempio il "transparent firewall" del quale avevo parlato).

Quote:

Per i firewall:
Non mi hai ancora dimostrato perchè non è meglio fermare i pacchetti prima (un "hai una visione fantasy" non mi basta, voglio sapere perchè preferisci che un pacchetto arrivi al client, venga elaborato sia dal sistema destinatario che dal firewall e poi venga scartato rispetto a fermarlo prima).

Per il semplicissimo motivo che se lo scopo è "scartarlo" non ha importanza "chi" lo scarta ma ha importanza che venga scartato.

Quote:

Siccome i sw sono insicuri e siccome gli utenti possono fare casini, io non mi fido a lasciare tutte le soluzioni solo sul client (che ritengo molto esposto) quindi mi piace avere un firewall. Cosa c'è di male? (non usare "se" e "forse", non accetto la risposta "il firewall può avere bachi" perchè (pur essendo vera) posso ribattere "anche tutti gli altri anelli della catena li hanno").

Se hai paura che "gli utenti possano fare casini" evidentemente stiamo parlando di sistemi ai quali hanno accesso "altri utenti" e quindi nei quali dovresti utilizzare account limitati, impedendo quindi materialmente a questi utenti di "fare casini". Certamente "anche tutti gli altri anelli della catena" possono avere bug però io non andrei ad aggiungere, dove non necessario per altre ragioni (comodità etc.) soluzione ridondanti, in quanto non sarebbero un buon "compromesso".

Quote:

Se è per questo anche aggiungendo antivirus, p. firewall e tutto il resto la situazione POTREBBE peggiorare... ma noi non usiamo i "potrebbe".

No in realtà no... perchè il p. firewall è a valle di un ipotetico "firewall hardware" e quindi un suo malfunzionamento comprometterebbe solo il sistema su cui è installato... mentre il malfunzionamento di uno centralizzato potrebbe compromettere l'intera rete.

Quote:

No, questo è un ragionamento tuo, ripeto, io (credo noi) ho detto:
Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.

Puoi non dirlo però dici di farlo Devi ancora trovarmi una funzionalità di sicurezza (non di "comodità" per una grande LAN) che un firewall installato sul client non potrebbe avere e uno su una macchina dedicata ha ("transparent firewall" a parte).

[W.S.]

Quote:

Originariamente inviato da ekerazha

Puoi farlo... ma devi essere consapevole che potresti sbagliarti, proprio perchè per dimostrare il contrario serve una "prova contraria".

Quindi non puoi farlo.

Quote:

Originariamente inviato da ekerazha

Per il semplicissimo motivo che se lo scopo è "scartarlo" non ha importanza "chi" lo scarta ma ha importanza che venga scartato.

Su questo non siamo d'accordo, cmq mi sembra inutile ripetere sempre le proprie ragioni.

Quote:

Originariamente inviato da ekerazha

No in realtà no... perchè il p. firewall è a valle di un ipotetico "firewall hardware" e quindi un suo malfunzionamento comprometterebbe solo il sistema su cui è installato... mentre il malfunzionamento di uno centralizzato potrebbe compromettere l'intera rete.

Bha, secondo me "il gioco vale la candela" secondo te no. E comunque anche il tuo "transparent-firewall" ha lo stesso problema, ok è meno attaccabile visto che non ha indirizzo ma non è immune.

Quote:

Originariamente inviato da ekerazha

Puoi non dirlo però dici di farlo Devi ancora trovarmi una funzionalità di sicurezza (non di "comodità" per una grande LAN) che un firewall installato sul client non potrebbe avere e uno su una macchina dedicata ha ("transparent firewall" a parte).

Io le ho trovate e te le ho scritte, solo che tu non ne accetti la validità, contrapponendo spiegazioni che (a mia volta) non accetto. A questo punto credo sia inutile continuare a ripeterci le stesse cose "muro contro muro".
Io non ho convinto te e tu non hai convinto me. Amici come prima

Quote:

Originariamente inviato da W.S.

Quindi non puoi farlo.

Non puoi sapere con certezza alcuna delle due cose... ammenochè tu non preveda il futuro.

Quote:

Su questo non siamo d'accordo, cmq mi sembra inutile ripetere sempre le proprie ragioni.

Quindi secondo te se lo scopo è "tagliare una mela" fa differenza che la tagli io o tu? L'importante è che venga tagliata...

Quote:

Bha, secondo me "il gioco vale la candela" secondo te no. E comunque anche il tuo "transparent-firewall" ha lo stesso problema, ok è meno attaccabile visto che non ha indirizzo ma non è immune.

Io te l'ho spiegato perchè "non vale la candela", sei tu che non mi spieghi perchè la varrebbe. Inoltre io non ho mai detto che il "transparent firewall" sarebbe immune, anzi c'è una corposa letteratura sui metodi per tentare di attaccare un transparent firewall

Quote:

Io le ho trovate e te le ho scritte, solo che tu non ne accetti la validità, contrapponendo spiegazioni che (a mia volta) non accetto. A questo punto credo sia inutile continuare a ripeterci le stesse cose "muro contro muro".
Io non ho convinto te e tu non hai convinto me. Amici come prima

No no... tu non hai scritto un bel niente... l'unico che ha "provato" a scrivere qualcosa di concreto è stato "ThE_RaV[3]N" solo che ha scritto delle sciocchezze.

[W.S.]

Quote:

Originariamente inviato da ekerazha

Non puoi sapere con certezza alcuna delle due cose... ammenochè tu non preveda il futuro.

e per questo prendiamo per vera la situazione peggiore. Quante volte lo devo ripetere????

Quote:

Originariamente inviato da ekerazha

Quindi secondo te se lo scopo è "tagliare una mela" fa differenza che la tagli io o tu? L'importante è che venga tagliata...

Per restare sul tuo esempio (un po troppo semplicistico) se posso evitare che tu usi un coltello che qualcun altro ha avvelenato, certo che fa differenza. E' dall'inizio del post (aggià, io non ho detto nulla) che ripeto che i client sono i + esposti e quindi ci si può fidare un gran poco di quello che ci sta sopra.

Quote:

Originariamente inviato da ekerazha

Io te l'ho spiegato perchè "non vale la candela", sei tu che non mi spieghi perchè la varrebbe. Inoltre io non ho mai detto che il "transparent firewall" sarebbe immune, anzi c'è una corposa letteratura sui metodi per tentare di attaccare un transparent firewall

Vedi sopra.

Quote:

Originariamente inviato da ekerazha

No no... tu non hai scritto un bel niente... l'unico che ha "provato" a scrivere qualcosa di concreto è stato "ThE_RaV[3]N" solo che ha scritto delle sciocchezze.

Guarda, la sciocchezza + grande che è stata scritta qui sopra è che è possibile dimostrare la sicurezza di un software (infatti poi ti sei corretto da solo). Se solo accenni questa cosa a qualcuno che si occupa un minimo di sicurezza ti ride in faccia per mesi.

Quote:

Originariamente inviato da W.S.

e per questo prendiamo per vera la situazione peggiore. Quante volte lo devo ripetere????

Puoi farlo benissimo... ma come già detto devi essere consapevole che è una scelta arbitraria E che deve essere relativa anche alle cose che dici tu e non solo a quelle che dico io

Quote:

Per restare sul tuo esempio (un po troppo semplicistico) se posso evitare che tu usi un coltello che qualcun altro ha avvelenato, certo che fa differenza. E' dall'inizio del post (aggià, io non ho detto nulla) che ripeto che i client sono i + esposti e quindi ci si può fidare un gran poco di quello che ci sta sopra.

Il fatto è che 1) è tuo preciso dovere fare in modo che non venga avvelenato prendendo determinate precauzioni a livello del sistema 2) sono coltelli con tecnologie anti-avvelenamento, che "possono" avere bug (ma tu non ne sai trovare alcuno) ma come già detto anche il software su una macchina dedicata può averne e potrebbe anche peggiorare la situazione (come già illustrato). 3) Non hai saputo ancora dirmi una funzionalità di sicurezza che un firewall "hardware" potrebbe svolgere e uno "personale" no

Quote:

Guarda, la sciocchezza + grande che è stata scritta qui sopra è che è possibile dimostrare la sicurezza di un software (infatti poi ti sei corretto da solo). Se solo accenni questa cosa a qualcuno che si occupa un minimo di sicurezza ti ride in faccia per mesi.

Io non ho corretto un bel niente... la sicurezza di un software è dimostrabilissima nelle situazioni precedentemente illustrate e poi ulteriormente "riassunte": se vuoi ti faccio un programma che scrive "Hello World" e ti assicuro che è 100% esente da bug

[W.S.]

Quote:

Originariamente inviato da ekerazha

Io non ho corretto un bel niente... la sicurezza di un software è dimostrabilissima nelle situazioni precedentemente illustrate e poi ulteriormente "riassunte": se vuoi ti faccio un programma che scrive "Hello World" e ti assicuro che è 100% esente da bug

HAHAHAHAHA, dopo questa poi!!!
Se continui ad affermare che puoi dimostrare al 100% (quindi anche formalmente) che un sw è sicuro possiamo chiudere qui il discorso.
Forse posso passarti che un sw "semplice" come un hello world è + probabile che sia sicuro rispetto ad uno complesso (ma anche questa è solo una deduzione logica/statistica, niente di dimostrabile formalmente).
Pensi che un programma sia composto solo dalle righe di codice che scrivi tu??? andiamo... e la printf() è sicura al 100%? E il modo in cui la utilizzi chi ti dice che non sia errato? (prima dei format string un "printf(var);" era ben visto). E le altre librerie? E il compilatore che usi chi ti dice cha faccia una transposizione pulita??? ...
Eppoi te la prendi con ThE_RaV[3]N, ma ti rendi conto di quello che hai scritto? Il fatto che io non sappia come trovare un bug non significa che questo non ci sia.

Quote:

Originariamente inviato da W.S.

HAHAHAHAHA, dopo questa poi!!!
Se continui ad affermare che puoi dimostrare al 100% (quindi anche formalmente) che un sw è sicuro possiamo chiudere qui il discorso.
Forse posso passarti che un sw "semplice" come un hello world è + probabile che sia sicuro rispetto ad uno complesso (ma anche questa è solo una deduzione logica/statistica, niente di dimostrabile formalmente).
Pensi che un programma sia composto solo dalle righe di codice che scrivi tu??? andiamo... e la printf() è sicura al 100%? E il modo in cui la utilizzi chi ti dice che non sia errato? (prima dei format string un "printf(var);" era ben visto). E le altre librerie? E il compilatore che usi chi ti dice cha faccia una transposizione pulita??? ...

La stampa di "Hello World" è già sicura per il semplice motivo che non riceve input dall'utente. Non puoi mettere in dubbio sempre tutto ed il contrario di tutto, questa non è fanta-informatica un computer funziona attraverso meccanismi fisici che sono realtà oggettive. Studiati qualche linguaggio di programmazione, magari assembly o magari anche il microcodice di qualche architettura e poi ne riparleremo... se in assembly prendi i dati da due registri e li sommo e non faccio altro, stai sicuro che di bug non ce ne sono

Quote:

Eppoi te la prendi con ThE_RaV[3]N, ma ti rendi conto di quello che hai scritto? Il fatto che io non sappia come trovare un bug non significa che questo non ci sia.

Già... come quelli che dicono che Dio esiste perchè non puoi dimostrare il contrario

[W.S.]

certo, ma per stampare a video devo sollevare un interrupt al sistema, non mi basta sommare 2 registri (o conosci talmente bene l'asm da esserti dimenticato l'istruzione int?). Quindi anche in questo caso ricorro a codice scritto da altri. Non è fanta-informatica, è la realtà, non siamo in grado di dimostrare FORMALMENTE la sicurezza di un software e se tu leggessi qualche trattato di sicurezza informatica ti renderesti conto che qualcosina non quadra in quello che dici.

Bhe, è un po diverso, la dimostrazione che non siamo capaci di scrivere sw corretto ce l'abbiamo davanti agli occhi ogni giorno, Dio no.