Devo proteggermi dagli inconvenienti della rete (Antidialer, antispyware, antivirus, fireware, ecc… ). Voglio il miglior software (o i migliori software) presenti sul mercato. Budget illimitato!
Sono sicuro che esistono milioni di risposte a questa domanda per cui ognuno di voi provi a proporre la propria soluzione. Rispondete numerosi.

Grazie

P.S.: Quando dico budget illimitato non mi interessa il rapporto qualità prezzo ma solo il meglio del meglio.

io mi astengo dal risponderti visto come ti sei comportato l'ultima volta. credo che un dio non si debba abbassare a chiedere a noi comuni mortali, che non capiamo nulla, quello che è meglio per te.
per rinfrescarti la memoria casomai lo hai dimenticato:

http://www.hwupgrade.it/forum/showthread.php?t=1427017&highlight=comodo+antivirus :read:


comunque compra il norton! :D :ciapet:

io mi astengo dal risponderti visto come ti sei comportato l'ultima volta. credo che un dio non si debba abbassare a chiedere a noi comuni mortali, che non capiamo nulla, quello che è meglio per te.
per rinfrescarti la memoria casomai lo hai dimenticato:

http://www.hwupgrade.it/forum/showthread.php?t=1427017&highlight=comodo+antivirus :read:


comunque compra il norton! :D :ciapet:

concordo in pieno con c.m.g su tutto..........anche per il norton.:D

Kaspersky(pay)
Comodo firewall(free)
Firewall hardware(pay)
Router(pay)
Spyswepper(pay)
Software hips(pay se vuoi i migliori)
Software ids tipo snort(snort è free)

:sofico: :sofico: :sofico: :sofico: :sofico:

Software ids tipo snort(snorton è free)

:sofico: :sofico: :sofico: :sofico: :sofico:

cos'è una parola in codice symantec? :D
con tanto di rispetto, volevo solo strapparti un sorriso, un pò di ironia non guasta mai, spero non te la prenda!

cos'è una parola in codice symantec? :D
con tanto di rispetto, volevo solo strapparti un sorriso, un pò di ironia non guasta mai, spero non te la prenda!

:banned: :banned: :banned:

:banned: :banned: :banned:

comunque buone palme!

comunque buone palme!
Sono Ateo:ciapet: :ciapet: :ciapet:
Credo in un solo Dio che sarei IO

Sono Ateo:ciapet: :ciapet: :ciapet:
Credo in un solo Dio che sarei IO

che per caso sei il fratello di "doremi"? :asd:

No, sono figlio unico, i miei genitori, hanno pensato che un solo genio bastava in famiglia:D altrimenti poi l'italia aveva troppe menti sopranaturali allora meglio la tiratura limitata:Prrr: :Prrr:

No, sono figlio unico, i miei genitori, hanno pensato che un solo genio bastava in famiglia:D altrimenti poi l'italia aveva troppe menti sopranaturali allora meglio la tiratura limitata:Prrr: :Prrr:
come siamo modesti! hehehe

mi ha fatto ridere la battuta della tiratura limitata!

Kaspersky Internet Security 6 potrebbe tranquillamente bastare... al limite puoi affiancare anche un programma antispyware dedicato, ma calcola che KIS6 se la cava già discretamente anche con gli spyware...

P.S.
Volendo potrei aggiungere anche altro ma secondo me non ne vale la pena, quello che ti ho già detto ha un eccellente rapporto sicurezza/usabilità, con altre cose comprometteresti l'usabilità incrementando relativamente la sicurezza

Kaspersky(pay)
Comodo firewall(free)
Firewall hardware(pay)
Router(pay)
Spyswepper(pay)
Software hips(pay se vuoi i migliori)
Software ids tipo snort(snort è free)

:sofico: :sofico: :sofico: :sofico: :sofico:

C'è troppa ridondanza... firewall "software" + firewall "hardware" + router? :D

C'è troppa ridondanza... firewall "software" + firewall "hardware" + router? :D

perchè, non hai mai visto una rete con firewall+router+ firewall software + snort?

Mha:D

perchè, non hai mai visto una rete con firewall+router+ firewall software + snort?

Mha:D

Posso anche averla vista, ma è ridondante ;)

Firewall "hardware" è un concetto "fumoso": non è altro che un sistema "a parte" con un software firewall installato... non ci sono meccanismi di filtraggio "meccanici" tipo rotelle che girano e bloccano i pacchetti... quindi non aggiunge nulla di particolarmente utile alla combinazione "firewall software" + router. Tra l'altro alcuni firewall (non Comodo comunque) integrano già funzionalità di IDS, quindi Snort potrebbe risultare a sua volta ridondante (anche se come IDS è piuttosto valido).

Posso anche averla vista, ma è ridondante ;)

Firewall "hardware" è un concetto "fumoso": non è altro che un sistema "a parte" con un software firewall installato... non ci sono meccanismi di filtraggio "meccanici" tipo rotelle che girano e bloccano i pacchetti... quindi non aggiunge nulla di particolarmente utile alla combinazione "firewall software" + router. Tra l'altro alcuni firewall (non Comodo comunque) integrano già funzionalità di IDS, quindi Snort potrebbe risultare a sua volta ridondante (anche se come IDS è piuttosto valido).

Non sapevo che oggi ci fossero delle lezioni:rolleyes:

Non sapevo che oggi ci fossero delle lezioni:rolleyes:

Ho solo spiegato perchè secondo me è ridondante visto che ne avevi dubitato ;) Comunque se oltre a frasette sterili hai anche qualcosa da argomentare possiamo discuterne...

Non ho niente da discutere quello che dovevo dire ho detto:) non aggiungo altro ;)

Non ho niente da discutere quello che dovevo dire ho detto:) non aggiungo altro ;)

Eh... data la ridondanza (come ho abbondantemente argomentato) più che aggiungere dovresti togliere :p

Eh... data la ridondanza (come ho abbondantemente argomentato) più che aggiungere dovresti togliere :p
non capisco cosa hai spiegato, un firewall hardware e router in una rete va + che bene, per maggior sicurezza se una vuole può aggiungere un firewall software e un software tipo snort non ci vedo niente di strano, chiudo qui, mi conosco, e tra 2/3 risposte ti manderei a fanculo senza problemi

Regards

non capisco cosa hai spiegato, un firewall hardware e router in una rete va + che bene, per maggior sicurezza se una vuole può aggiungere un firewall software e un software tipo snort non ci vedo niente di strano, chiudo qui, mi conosco, e tra 2/3 risposte ti manderei a fanculo senza problemi

Regards
Il fatto è che più che "maggior sicurezza" aggiungi ridondanza nella misura illustrata. Se poi essere smentito ti porta ad insultare l'interlocutore, allora è effettivamente meglio che tu chiuda.

Sai cosa mi ha dato fastidio che sei entrato subito a razzo, hai letto la discussione? hai dato il tuo parere? no, hai risposto "criticando" le risposte date senza dire la tua, allora, di la tua e poi critica, non ti ho insultato:) ma se vuoi posso iniziare subito:D

Ciao

Sai cosa mi ha dato fastidio che sei entrato subito a razzo, hai letto la discussione? hai dato il tuo parere? no, hai risposto "criticando" le risposte date senza dire la tua, allora, di la tua e poi critica, non ti ho insultato:) ma se vuoi posso iniziare subito:D

Ciao
Come no? E questo cos'è? http://www.hwupgrade.it/forum/showpost.php?p=16585722&postcount=12
Presta più attenzione per cortesia.

Hai segnalato un eventuale antispyware?no
Hai consigliato una suite, se crasha la suite sei completamente sprotetto:D bella scelta:)

Ciao

PS:per me finisce qui

Hai segnalato un eventuale antispyware?no
Hai consigliato una suite, se crasha la suite sei completamente sprotetto:D bella scelta:)

Ciao

PS:per me finisce qui

budget illimitato? Buono, allora ti consiglio anche dei corsi periodici per mantenere aggiornato il personale sull'uso consapevole e sicuro dei pc.

Anche una persona che si occupa solo di sicurezza non è una brutta idea.

P.S.: la soluzione router/firewall/Nids/Personal firewall/Antivirus/Antispy/Anti* mi sembra ottima, non è ridondante, ogni segmento ha funzioni diverse. (firewall e personal firewall possono essere impiegati per coprire segmenti diversi che uno solo di loro non potrebbe trattare esausivamente)

Se hai budget illimitato assumimi, e ci penso io alla sicurezza del tuo pc :D

Se hai budget illimitato assumimi, e ci penso io alla sicurezza del tuo pc :D


:asd:

Se hai budget illimitato assumimi, e ci penso io alla sicurezza del tuo pc :D

assumi anche me così ti installo il norton!!! :asd:

assumi anche me così ti installo il norton!!! :asd:

io ti metto anche il mcafee

io ti metto anche il mcafee

......e io ti faccio anche il caffè....:D :ciapet: :D

Posso anche averla vista, ma è ridondante ;)

Firewall "hardware" è un concetto "fumoso": non è altro che un sistema "a parte" con un software firewall installato... non ci sono meccanismi di filtraggio "meccanici" tipo rotelle che girano e bloccano i pacchetti... quindi non aggiunge nulla di particolarmente utile alla combinazione "firewall software" + router. Tra l'altro alcuni firewall (non Comodo comunque) integrano già funzionalità di IDS, quindi Snort potrebbe risultare a sua volta ridondante (anche se come IDS è piuttosto valido).

Be insomma, forse perchè non hai mai provato a implementare un firewall hardware visto che ormai molti fanno certe cose sopraffine e sublimi anche a livello di pacchetti.....

Kaspersky + ZOne Alarm + Spybot + Adaware + reg cleaner.
LAscia perdere norton.

visto il post in cui hai fatto sperticati elogi al nostro forum un bel norton invece lo vedrei proprio bene :Prrr:

visto il post in cui hai fatto sperticati elogi al nostro forum un bel norton invece lo vedrei proprio bene :Prrr:

esatto, come punizione ti installiamo tutti il norton!!! :Prrr: :D

Hai segnalato un eventuale antispyware?no
Hai consigliato una suite, se crasha la suite sei completamente sprotetto:D bella scelta:)

Ciao

PS:per me finisce qui
Se fossi informato sapresti anche che KIS e più precisamente il software antivirus che contiene (KAV) possiede anche ottime funzionalità anti-spyware, il consiglio di un anti-spyware "a parte", a scelta tra i più blasonati, per controlli saltuari, è uno scrupolo.

Inoltre la considerazione sul crash è una grossa sciocchezza: in primo luogo un crash è un comportamento anomalo e non è su ipotetici crash (KIS è oltretutto molto stabile) che si regolano i canoni per la scelta del software da utilizzare, bensì sulla sua bontà e stabilità (potrei avere una suite stabilissima o due software separati che crashano di continuo, magari andando in conflitto tra loro) quindi ogni caso va valutato singolarmente e non ci si affida ai luoghi comuni. In terzo luogo se il software crasha solitamente lo si riavvia prima di fare altro. In quarto luogo la temporanea mancanza di un software di sicurezza non dovrebbe creare particolari problemi se come andrebbe fatto il sistema venisse mantenuto costantemente aggiornato. In quinto luogo... quante volte ancora sarà "l'ultima volta"?

;)

molti dicono che la suite può essere terminata da malware ma si dimenticano tutti che il kaspersky ha la difesa proattiva! :D
e vi dirò di più: se questo non vi dovesse bastare c'è anche la protezione con password.

OT: scrivendo dal cell ci sono problemi col quoting, quindi rispondo a tutti stasera da casa altrimenti non si capisce nulla

OT: scrivendo dal cell ci sono problemi col quoting, quindi rispondo a tutti stasera da casa altrimenti non si capisce nulla

hai provato opera :D ?

hai provato opera :D ?

:D :D

OT: scrivendo dal cell ci sono problemi col quoting, quindi rispondo a tutti stasera da casa altrimenti non si capisce nulla

OT: Ok ho sistemato un po' la risposta a lucas84, ora rispondo agli altri.

P.S.: la soluzione router/firewall/Nids/Personal firewall/Antivirus/Antispy/Anti* mi sembra ottima, non è ridondante, ogni segmento ha funzioni diverse. (firewall e personal firewall possono essere impiegati per coprire segmenti diversi che uno solo di loro non potrebbe trattare esausivamente)

Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.

Come già detto un firewall "hardware" (tra l'altro senza particolari funzionalità di routing visto che si è parlato di associarlo ad un router) non è altro che un normalissimo "software" installato su una macchina dedicata. Questo può essere comodo se ad esempio disponiamo di una vasta LAN da proteggere, ma a livello di sicurezza non fa nulla che non possa fare un firewall installato sulla propria macchina. Forse l'unica eccezione è se vogliamo settare un "transparent firewall" (come ho fatto io su una mia macchina OpenBSD), ma l'incremento del livello di sicurezza è davvero relativo ed il gioco non vale la candela.

Vorrei inoltre sottolineare come l'autore del thread abbia parlato di "software" e non abbia menzionato l'acquisto di apparati hardware.

N;16611764']Be insomma, forse perchè non hai mai provato a implementare un firewall hardware visto che ormai molti fanno certe cose sopraffine e sublimi anche a livello di pacchetti.....

E secondo te queste cose le fa il software installato (su quell'hardware) o le fa l'hardware? ;) Tutto quello che puoi fare su una macchina dedicata lo puoi fare come già detto anche sul tuo sistema con il relativo software... forse con l'unica eccezione, come già detto, del "transparent firewalling" che ho appena menzionato, poichè si utilizza una macchina alla quale non viene assegnato un proprio indirizzo IP ma la si usa come una sorta di filtro "fisico" sul cavo di rete. La differenza sostanziale sta come già detto nella possibilità di avere un firewall "centralizzato" in una LAN, ma non perchè questo comporti particolari incrementi a livello di sicurezza.

Al limite un vantaggio potrebbe esservi se tale sistema dovesse ospitare qualche particolare server, poichè l'eventuale violazione di questo server sfruttando una qualche vulnerabilità del relativo daemon, diminuirebbe il rischio di poter compromettere anche il firewall... ma questo potrebbe anche non essere necessario se usassimo particolari accorgimenti (es. in Solaris le "zones") creando aree "isolate" all'interno del sistema. Comunque forse mi sto spingendo troppo oltre... l'autore del thread non ha menzionato ne' server ne' sistemi operativi come Solaris.

:)

Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.

Se secondo te la differenza tra firewall e personal firewall è una divagazione fumosa...

Un personal firewall ha la capacità (ad esempio) di controllare quali applicazioni e quali librerie stanno tentando di instaurare una connessione, cosa che un firewall installato su una macchina di frontiera (magari dedicata come un router) non può fare visto che queste info non son contenute nei livelli 2-3-4.
D'altro canto il firewall ha (sempre ad esempio) il compito di separare fisicamente le macchine (sia tra quelle interne che tra interno e esterno) e non rischia di essere messo fuori uso dal primo attacco web client-side portato a termine grazie all'ultimo bug del nostro bellissimo browser visto che è su un'altra macchina.
Questi ti sembrano casi abbastanza concreti?

Tu stesso dici che può essere utile per proteggere una vasta LAN, perchè in una piccola non dovrebbe aiutare?

Dove si parla di apparati hardware? (ok, un router con firewall integrato ma non mi sembra ste gran acquisto)

E secondo te queste cose le fa il software installato (su quell'hardware) o le fa l'hardware? ;) Tutto quello che puoi fare su una macchina dedicata lo puoi fare come già detto anche sul tuo sistema con il relativo software... forse con l'unica eccezione, come già detto, del "transparent firewalling" che ho appena menzionato, poichè si utilizza una macchina alla quale non viene assegnato un proprio indirizzo IP ma la si usa come una sorta di filtro "fisico" sul cavo di rete. La differenza sostanziale sta come già detto nella possibilità di avere un firewall "centralizzato" in una LAN, ma non perchè questo comporti particolari incrementi a livello di sicurezza.

Al limite un vantaggio potrebbe esservi se tale sistema dovesse ospitare qualche particolare server, poichè l'eventuale violazione di questo server sfruttando una qualche vulnerabilità del relativo daemon, diminuirebbe il rischio di poter compromettere anche il firewall... ma questo potrebbe anche non essere necessario se usassimo particolari accorgimenti (es. in Solaris le "zones") creando aree "isolate" all'interno del sistema. Comunque forse mi sto spingendo troppo oltre... l'autore del thread non ha menzionato ne' server ne' sistemi operativi come Solaris.

:)

:eek: ...Visto che mi sembri tanto preparato in materia che ne dici di un proxy trasparente? E' una cosa che puoi fare anche a livello software sul client? :confused:

Se secondo te la differenza tra firewall e personal firewall è una divagazione fumosa...

Un personal firewall ha la capacità (ad esempio) di controllare quali applicazioni e quali librerie stanno tentando di instaurare una connessione, cosa che un firewall installato su una macchina di frontiera (magari dedicata come un router) non può fare visto che queste info non son contenute nei livelli 2-3-4.
D'altro canto il firewall ha (sempre ad esempio) il compito di separare fisicamente le macchine (sia tra quelle interne che tra interno e esterno) e non rischia di essere messo fuori uso dal primo attacco web client-side portato a termine grazie all'ultimo bug del nostro bellissimo browser visto che è su un'altra macchina.
Questi ti sembrano casi abbastanza concreti?

Tu stesso dici che può essere utile per proteggere una vasta LAN, perchè in una piccola non dovrebbe aiutare?

Dove si parla di apparati hardware? (ok, un router con firewall integrato ma non mi sembra ste gran acquisto)

Quoto....Grande collega!! ;)

ekerazha hai ragione, io non mi informo e di conseguenza non so niente, per quello che riguarda i malware che terminano gli av, l' "ultima" variante del bagle con funzione di rookit ha spento kaspersky tranquillamente anche con il pdm attivo, ma, certe cose dovete provarle per credere:D

Ciao

Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.

Come già detto un firewall "hardware" (tra l'altro senza particolari funzionalità di routing visto che si è parlato di associarlo ad un router) non è altro che un normalissimo "software" installato su una macchina dedicata. Questo può essere comodo se ad esempio disponiamo di una vasta LAN da proteggere, ma a livello di sicurezza non fa nulla che non possa fare un firewall installato sulla propria macchina.


Se tu pensi che un firewall hardware faccia quello che fa un firewall software ti sbagli benissimo; e ora dubito molto sui tuoi concetti di routing e di firewalling che possiedi. Al di là di questo, se affermi di avere OpenBSD come firewall, direi che hai una visione grossolana del mondo del firewalling e ti consiglio di rivedere alcuni concetti fondamentali della base dei SO prima di affermare certe cose.... ;)

Se secondo te la differenza tra firewall e personal firewall è una divagazione fumosa...

Un personal firewall ha la capacità (ad esempio) di controllare quali applicazioni e quali librerie stanno tentando di instaurare una connessione, cosa che un firewall installato su una macchina di frontiera (magari dedicata come un router) non può fare visto che queste info non son contenute nei livelli 2-3-4.

Vero... infatti ho consigliato un "personal firewall".


D'altro canto il firewall ha (sempre ad esempio) il compito di separare fisicamente le macchine (sia tra quelle interne che tra interno e esterno) e non rischia di essere messo fuori uso dal primo attacco web client-side portato a termine grazie all'ultimo bug del nostro bellissimo browser visto che è su un'altra macchina.
Questi ti sembrano casi abbastanza concreti?

I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).


Tu stesso dici che può essere utile per proteggere una vasta LAN, perchè in una piccola non dovrebbe aiutare?

Perchè è una questione più di comodità che di sicurezza (per i motivi già illustrati nei casi già illustrati) in una piccola LAN (3-4 PC?) di pc personali puoi anche limitarti ad installare un personal firewall su ogni macchina. Su una LAN di 200 PC la cosa sarebbe già più complicata da gestire. In questi casi più che un personal firewall si abbina un firewall "centralizzato" ad altre policy di sicurezza (es. si utilizzano account limitati etc.) cosa che in genere è di routine nelle realtà aziendali con decine/centinaia di client.


Dove si parla di apparati hardware? (ok, un router con firewall integrato ma non mi sembra ste gran acquisto)
???

N;16626090']:eek: ...Visto che mi sembri tanto preparato in materia che ne dici di un proxy trasparente? E' una cosa che puoi fare anche a livello software sul client? :confused:

Possiamo anche parlarne ma che c'entra con questa discussione?

Vero... infatti ho consigliato un "personal firewall".


I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).


Perchè è una questione più di comodità che di sicurezza (per i motivi già illustrati nei casi già illustrati) in una piccola LAN (3-4 PC?) di pc personali puoi anche limitarti ad installare un personal firewall su ogni macchina. Su una LAN di 200 PC la cosa sarebbe già più complicata da gestire. In questi casi più che un personal firewall si abbina un firewall "centralizzato" ad altre policy di sicurezza (es. si utilizzano account limitati etc.) cosa che in genere è di routine nelle realtà aziendali con decine/centinaia di client.


???

Forse cè qualcosa che non è chiaro......Secondo me sei abbastanza OT ;)

Possiamo anche parlarne ma che c'entra con questa discussione?

Centra con il tuo discorso sul fatto che quello che fa un firewall hadrware lo fa anche uno software...
Quindi penso che o il tuo OpenBSD è messo uno specchietto per le allodole, oppure non sai cosa dici proprio ;) .
Questo è il mio parere perchè molto spesso un firewall hardware centralizzato funge anche da proxy, oppure è abbinato ad una macchina che svolga solo questo compito e proprio per dterminati motivi che contraddicono le tue tesi(anch'io ho un FW HD a casa, e me lo sono fatto io con santa pazienza perchè sono paranoico per queste cose :muro: ).
Ti sembra che presso il client-side si possano fare cose come si possono fare attraverso un firewall/transparent proxy?

Riflettici un attimo e pensa a cosa si può realmente fare con un firewall hardware(se conosci molto bene questo mondo come dici); altrimenti prova a guardarti attorno a 360 gradi e cercare di vedere cose strabilianti che si fanno in questo ramo sistemistico.

In aggiunta a questo, penso che anche i tuoi concetti di SO siano un pò contorti perchè se mi definisci(non esplicitamente per fortuna) un daemon come un programma di firewall software sullo stesso livello allora qualcosa è contorto secondo me.

Concludo dicendo che non sia molto corretta l'affermazione che i nuovi firewall software non si facciano bloccare facilmente; perchè ricordo che fino a due anni fa il famoso vsmon.exe di ZA era bacatissimo, ricordandoti che molti firewall software vengono gabbati proprio attraverso lo scripting host che passa da browser proprio su client-side.....non ti dice nulla il comando runas con il quale hanno gabbato ZA per molto tempo??

ekerazha hai ragione, io non mi informo e di conseguenza non so niente, per quello che riguarda i malware che terminano gli av, l' "ultima" variante del bagle con funzione di rookit ha spento kaspersky tranquillamente anche con il pdm attivo, ma, certe cose dovete provarle per credere:D

Ciao
Ho cercato notizie a riguardo ma non ho trovato nulla ;)

Comunque senza andare tanto lontani, la maggior parte dei nuovi virus (Beagle e non) non viene riconosciuta dagli antivirus: è per questo che esistono gli aggiornamenti. Se ricevo un nuovo virus e va in esecuzione (Beagle o non) e l'antivirus non lo riconosce, allora può compromettere il sistema. Quando poi l'antivirus verrà aggiornato, riconoscerà Beagle, la sua variante e Pinco Pallino.

Comunque per dovere di cronaca, "Comodo Firewall" che hai consigliato è tranquillamente bypassabile attraverso alcuni bug ben noti.

;)

P.S. Ma non dovevi chiudere?

N;16626168']Se tu pensi che un firewall hardware faccia quello che fa un firewall software ti sbagli benissimo; e ora dubito molto sui tuoi concetti di routing e di firewalling che possiedi. Al di là di questo, se affermi di avere OpenBSD come firewall, direi che hai una visione grossolana del mondo del firewalling e ti consiglio di rivedere alcuni concetti fondamentali della base dei SO prima di affermare certe cose.... ;)

Come già detto... oltre a frasette del tipo "io dubito questo e quello" "tu non sai questo e quello" etc. hai anche qualcosa di concreto da dire e sul quale possiamo discutere? Sono pronto a rispondere ad ogni tua obiezione seria e non temo smentite...

I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).
Sappiamo entrambi che può non essere abbastanza e che qualsiasi soluzione può essere aggirata.
Perchè è una questione più di comodità che di sicurezza (per i motivi già illustrati nei casi già illustrati) in una piccola LAN (3-4 PC?) di pc personali puoi anche limitarti ad installare un personal firewall su ogni macchina.
Certo, su reti vaste l'utilità è sicuramente maggiore. Cmq, a mio parere, è meglio avere un firewall anche su reti piccole, principalmente per il motivo detto sopra. Poi il fatto di segare il traffico indesiderato ancora prima che arrivi nella LAN mi da una sicurezza maggiore ad un prezzo ridicolo. Ok, se tutte le macchine interne avessero un personal firewall inattaccabile il discorso cambierebbe (bhe, io la mia rete interna la vorrei comunque + pulita possibile), ma 1) un sw del genere non esiste 2) anche se esistesse, c'è sempre il rischio che un utente lo disabiliti seguendo il suggerimento di qualche mail di spam. ;)

???
tu hai scritto Vorrei inoltre sottolineare come l'autore del thread abbia parlato di "software" e non abbia menzionato l'acquisto di apparati hardware.
e io ho chiesto quali sarebbero questi apparati hardware visto che l'acquisto di un router con firewall integrato non mi pare ste gran spesa.
Ma tanto abbiamo budget illimitato :D

N;16626343']Centra con il tuo discorso sul fatto che quello che fa un firewall hadrware lo fa anche uno software...
Quindi penso che o il tuo OpenBSD è messo uno specchietto per le allodole, oppure non sai cosa dici proprio ;) .

Vedi la parte sui "discorsi concreti" ;)


Questo è il mio parere perchè molto spesso un firewall hardware centralizzato funge anche da proxy, oppure è abbinato ad una macchina che svolga solo questo compito e proprio per dterminati motivi che contraddicono le tue tesi(anch'io ho un FW HD a casa, e me lo sono fatto io con santa pazienza perchè sono paranoico per queste cose :muro: ).
Ti sembra che presso il client-side si possano fare cose come si possono fare attraverso un firewall/transparent proxy?

Un transparent proxy che funzioni di sicurezza svolgerebbe? ;)


Riflettici un attimo e pensa a cosa si può realmente fare con un firewall hardware(se conosci molto bene questo mondo come dici); altrimenti prova a guardarti attorno a 360 gradi e cercare di vedere cose strabilianti che si fanno in questo ramo sistemistico.

Io non ho detto un bel niente... io espongo fatti concreti e come già detto attendo discussioni su "dati di fatto" e non divagazioni superficiali e ultra-generalizzate. Su su citami qualcosa di concreto per la quale mi serve per forza un firewall "hardware" dedicato (transparent firewall a parte del quale mi sono già preventivamente occupato).


In aggiunta a questo, penso che anche i tuoi concetti di SO siano un pò contorti perchè se mi definisci(non esplicitamente per fortuna) un daemon come un programma di firewall software sullo stesso livello allora qualcosa è contorto secondo me.

Eh??? ma che stai dicendo? Riformula la frase perchè non si capisce cosa vuoi dire (o almeno io non ho capito).


Concludo dicendo che non sia molto corretta l'affermazione che i nuovi firewall software non si facciano bloccare facilmente; perchè ricordo che fino a due anni fa il famoso vsmon.exe di ZA era bacatissimo, ricordandoti che molti firewall software vengono gabbati proprio attraverso lo scripting host che passa da browser proprio su client-side.....non ti dice nulla il comando runas con il quale hanno gabbato ZA per molto tempo??
Scegliere soluzioni software appropriate è fondamentale. Personalmente non ho mai consigliato ZoneAlarm oppure se sono consapevole che il mio software ha dei limiti corro ai ripari (es. utilizzo un account limitato). Credi che il software solitamente utilizzato sui sistemi firewall dedicati non abbia vulnerabilità? Credi ad esempio che iptables (per citarne uno) sia perfetto? Suvvia...

Sappiamo entrambi che può non essere abbastanza e che qualsiasi soluzione può essere aggirata.

Evitiamo di cercare vanamente l'iperuranio in terra e guardiamo alla sostanza: attualmente non ci sono metodi noti (ma se ne trovi fammi sapere ;) ) per terminare l'ultima versione di KIS/KAV. Inoltre dai un'occhiata qua: http://www.firewallleaktester.com/termination_overview.php


Certo, su reti vaste l'utilità è sicuramente maggiore. Cmq, a mio parere, è meglio avere un firewall anche su reti piccole, principalmente per il motivo detto sopra. Poi il fatto di segare il traffico indesiderato ancora prima che arrivi nella LAN mi da una sicurezza maggiore ad un prezzo ridicolo. Ok, se tutte le macchine interne avessero un personal firewall inattaccabile il discorso cambierebbe (bhe, io la mia rete interna la vorrei comunque + pulita possibile), ma 1) un sw del genere non esiste 2) anche se esistesse, c'è sempre il rischio che un utente lo disabiliti seguendo il suggerimento di qualche mail di spam. ;)

Come già detto... credi che il software degli apparati hardware sia infallibile? Anzi... sugli apparati meno costosi gli aggiornamenti al firmware sono tutt'altro che giornalieri, quindi il rischio potrebbe essere addirittura maggiore. Il fatto di "segare il traffico indesiderato ancora prima che arrivi nella LAN" evidenzia una visione un po' "fantasy" dell'informatica che non ha molti riscontri a livello tecnico: se rifiuto un pacchetto lo rifiuto e basta, non ha molta importanza "prima o dopo". Per il resto vedi mie risposte precedenti (eventuale utilizzo dei permessi, soluzioni "attuabili" per la terminazione del software etc.).


tu hai scritto
e io ho chiesto quali sarebbero questi apparati hardware visto che l'acquisto di un router con firewall integrato non mi pare ste gran spesa.
Ma tanto abbiamo budget illimitato :D
Non hai capito... rileggi la mia frase... io ho detto che l'autore del thread ha chiesto informazioni relativamente a software e non relativamente ad apparati hardware, quindi consigliare apparati hardware (firewall "hardware" etc.) non era proprio "on-topic". Ma magari l'autore del thread potrebbe illuminarci a riguardo con altre precisazioni...

Ho cercato notizie a riguardo ma non ho trovato nulla ;)

Comunque senza andare tanto lontani, la maggior parte dei nuovi virus (Beagle e non) non viene riconosciuta dagli antivirus: è per questo che esistono gli aggiornamenti. Se ricevo un nuovo virus e va in esecuzione (Beagle o non) e l'antivirus non lo riconosce, allora può compromettere il sistema. Quando poi l'antivirus verrà aggiornato, riconoscerà Beagle, la sua variante e Pinco Pallino.

Comunque per dovere di cronaca, "Comodo Firewall" che hai consigliato è tranquillamente bypassabile attraverso alcuni bug ben noti.

;)

P.S. Ma non dovevi chiudere?

Se lo dici tu, si comodo ha dei bugs corretti come li ha kaspersky che poi ha coretto, studi ingegneria informatica e non sai che i sotware possono essere affetti da bugs?mha, si chiudo

Ciao

Toh vi allego anche una immagine del mio transparent firewall OpenBSD just for fun (dopo un riavvio... se guardate bene c'è la richiesta di login).

Se lo dici tu, si comodo ha dei bugs corretti come li ha kaspersky che poi ha coretto, studi ingegneria informatica e non sai che i sotware possono essere affetti da bugs?mha, si chiudo

Ciao

Ti faccio notare che sei stato tu a venirmi a dire che Kaspersky avrebbe avuto un bug che una presunta variante di Beagle sfruttava per terminarlo... e proprio io ti ho fatto notare che anche Comodo ha bug (e quelli noti non sono stati tutti corretti tra l'altro ;) ). Forse sei stato tu a scordarti che tutti i software (non banali... un Hello World può anche non avere bug :D ) hanno bug quando sei venuto a farmi i conti su quelli presunti di Kaspersky e "dimenticandoti" quelli di Comodo ;)

Guarda, non mi pare di aver detto che kaspersky ha un bug e il bagle lo sfrutta, ho solo detto che una variante del bagle termina il kaspersky e aggiungo altri 500 eseguibili collegati a software di sicurezza:D mi sono collegato all'affermazione di g.m.c

Ciao

Guarda, non mi pare di aver detto quello che hai detto tu, ho solo detto che una variante del bagle termina il kaspersky e aggiungo altri 500 eseguibili collegati a software di sicurezza:D

Ciao

Finchè "lo dici tu" e non porti documentazione a riguardo è difficile discutere su qualcosa di concreto... al contrario se vuoi io posso portarti documentazione su quelli di Comodo :D

P.S.
Ma non dovevi chiudere una pagina fa? :D

Evitiamo di cercare vanamente l'iperuranio in terra e guardiamo alla sostanza: attualmente non ci sono metodi noti (ma se ne trovi fammi sapere ;) ) per terminare l'ultima versione di KIS/KAV. Inoltre dai un'occhiata qua: http://www.firewallleaktester.com/termination_overview.php
Qui non ti capisco, tu stesso dici che i sw non sono inattaccabili e poi insisti a non accettare che il personal firewall che preferisci possa essere bucato. Se c'è un rischio perchè non devo prevenirlo?

Come già detto... credi che il software degli apparati hardware sia infallibile?
Mai detto. Sei tu a dire che KIS/KAV è inattaccabile. (ok, dici che per ora non ci son attacchi, ma il fatto che ti fideresti ad affidargli completamente tutto il lavoro parla chiaro). Immagino la scelta sia dovuta al fatto che ti fidi ancora meno dei firewall "hw" ma qui non si parla di sostituire i personal firewall con i firewall, stiam parlando di usarli entrambi. Chissà, magari ci va bene e l'eventuale attacco a KIS/KAV viene bloccato dal firewall prima di raggiungere i client.

Il fatto di "segare il traffico indesiderato ancora prima che arrivi nella LAN" evidenzia una visione un po' "fantasy" dell'informatica che non ha molti riscontri a livello tecnico: se rifiuto un pacchetto lo rifiuto e basta, non ha molta importanza "prima o dopo".
Non ha molta importanza? preferisci scartare un pacchetto dopo che è già stato ricevuto o non farlo proprio entrare nel sistema?
Se una macchina interna viene compromessa tu gli lasci arrivare qualsiasi cosa?

Per la possibilità di introdurre delle falle se ci si affida a firewall scadenti non lo nego, anzi è un bel problema, così come se ci si affida a personal firewall e altri sw scadenti.

Qui non ti capisco, tu stesso dici che i sw non sono inattaccabili e poi insisti a non accettare che il personal firewall che preferisci possa essere bucato. Se c'è un rischio perchè non devo prevenirlo?

Io dico che non esistono falle note. Comunque se non possiamo escludere da software "di una certa complessità" ogni possibile bug, per "piccoli campi" non è detto che non si raggiunga fino in fondo la "correttezza": se ci sono in assoluto 15 modi per terminare un software ed io pongo rimedio a tutti e 15... diamine poi "effettivamente" non posso terminarlo. La "verità" esiste, può essere difficile raggiungerla, ma esiste. Inoltre non hai modo di "prevenire tutto", proprio partendo dal presupposto che ogni software potrebbe contenere bug: si deve trovare il miglior compromesso.


Mai detto. Sei tu a dire che KIS/KAV è inattaccabile. (ok, dici che per ora non ci son attacchi, ma il fatto che ti fideresti ad affidargli completamente tutto il lavoro parla chiaro).

Perchè tu conosci qualche software di sicurezza nel quale sei assolutamente certo che non esistano bug e del quale sei certo di poterti fidare ciecamente? Come già detto di cerca il "miglior compromesso", soprattutto in base ai dati disponibili più che ad ipotesi campate in aria.


Immagino la scelta sia dovuta al fatto che ti fidi ancora meno dei firewall "hw" ma qui non si parla di sostituire i personal firewall con i firewall, stiam parlando di usarli entrambi. Chissà, magari ci va bene e l'eventuale attacco a KIS/KAV viene bloccato dal firewall prima di raggiungere i client.

E magari l'attacco blocca il tuo firewall "hardware" provocando un DoS e sarebbe stato invece innocuo sul solo firewall personale. Le cose non si fanno con i "se", si fanno con i fatti e come già detto si cerca un compromesso, anche relativamente all'usabilità e anche relativamente alle richieste dell'utente che come già detto ha parlato di "software" e non di apparati hardware.


Non ha molta importanza? preferisci scartare un pacchetto dopo che è già stato ricevuto o non farlo proprio entrare nel sistema?
Se una macchina interna viene compromessa tu gli lasci arrivare qualsiasi cosa?

Il punto è che la "macchina interna" non deve essere compromessa ;) Inoltre vedi risposta precedente e vedi risposte in post precedenti.


Per la possibilità di introdurre delle falle se ci si affida a firewall scadenti non lo nego, anzi è un bel problema, così come se ci si affida a personal firewall e altri sw scadenti.
Certo... però se ci si affida a personal firewall validi (e costantemente aggiornati) il problema non dovrebbe porsi.

Seguendo il vostro ragionamento se io usassi 3000 firewall "hardware" diversi dovrei essere "sicuro": il punto è che non è un buon compromesso.

Come già detto... oltre a frasette del tipo "io dubito questo e quello" "tu non sai questo e quello" etc. hai anche qualcosa di concreto da dire e sul quale possiamo discutere? Sono pronto a rispondere ad ogni tua obiezione seria e non temo smentite...

:eek: :eek: Ringrazio perchè mi è stata concessa la possibilità di replicare completamente visto che non propongo niente di concreto sul quale discutere. Proprio il contrario del nostro caro collega Ingegnere Informatico. ;)

Cominciamo dal principio, perchè purtroppo il problema è che una cronistoria lunga fa perdere di vista le tracce dei mille giri rifatti negli infiniti botta e risposta avvenuti.......:(


Posso anche averla vista, ma è ridondante
Firewall "hardware" è un concetto "fumoso": non è altro che un sistema "a parte" con un software firewall installato... non ci sono meccanismi di filtraggio "meccanici" tipo rotelle che girano e bloccano i pacchetti... quindi non aggiunge nulla di particolarmente utile alla combinazione "firewall software" + router. Tra l'altro alcuni firewall (non Comodo comunque) integrano già funzionalità di IDS, quindi Snort potrebbe risultare a sua volta ridondante (anche se come IDS è piuttosto valido).


Innanzitutto spiegaci, sommo ekerazha, cosa intendi per rindondante perchè mi sembra che anche le tue risposte siano infinitesimamente rindondanti; però al di là di questo vorrei proprio chiarire perchè una struttura FW_SW+FW_HD+ROUTER è rindondante se abbinata ad un IDS; perchè se un IDS è rindondante rispetto ad un FW_SW ti do ragione, ma rispetto a quanto trattato prima direi che ci possano stare tranquillamente bene assieme: proprio come i sette nani con biancaneve.:D
Per quanto riguarda le rotelle meccaniche che girano ti do ragione perchè effettivamente un FW_HD non è un tornio meccanico e quindi non girano rapporti o ingranaggi di vario tipo; ma bensì una piattaforma dedicata con un vero e proprio SO che gestisce gli stati e gli eventi macchina, e se per te questo è un semplice firewall software installato sopra ad una macchina allora sbagli tutto. Infatti proprio per questo hanno inventato FW_SW e sistemi gateway diversi; proprio quei sistemi gateway a micro-kernel che scommetto che non hai mai testato e scalato in una infrastruttura.
Ebbene questi bellissimi e leggerissimi sistemi,(dovresti conoscerli questi derivati visto che all'uni si propone Linux) non montano software su una macchina dedicata; ma bensì integrano dei demoni che gestiscono le comunicazioni analizzando sia il livello applicativo, e restando sempre orientati allo strato trasporto e quindi orientati alla connessione.


Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.
Come già detto un firewall "hardware" (tra l'altro senza particolari funzionalità di routing visto che si è parlato di associarlo ad un router) non è altro che un normalissimo "software" installato su una macchina dedicata. Questo può essere comodo se ad esempio disponiamo di una vasta LAN da proteggere, ma a livello di sicurezza non fa nulla che non possa fare un firewall installato sulla propria macchina. Forse l'unica eccezione è se vogliamo settare un "transparent firewall" (come ho fatto io su una mia macchina OpenBSD), ma l'incremento del livello di sicurezza è davvero relativo ed il gioco non vale la candela.
Vorrei inoltre sottolineare come l'autore del thread abbia parlato di "software" e non abbia menzionato l'acquisto di apparati hardware.


Quoto la tua affermazione che esponga quanto l'autore del thread non abbia menzionato apparati hardware, ma visto che è giusto citarli per corretteza professionale quando si parla di security, direi che possiamo continuare la discussione in merito ai FW_HD visto che l'hai diretta e animata proprio tu fino ad adesso.
Intanto premetto che io vedo molte piccole realtà aziendali che comincano ad integrare reti a dominio su reti da quattro, cinque o anche sei PC(assurdo vero quanto si cerchi la stabilità e la centralizzazione??;) ) e che richiedono apparati hardware oppure macchine dedicate a questo specifico compito e basta. Se tu affermi che nessun firewall software non possa fare quello che può fare un firewall hardware allora mi sa che siamo un pò OUT.
Infatti così è come mi dicessi che soluzioni come netfilter, content filterning e trsparent proxy si possano fare anche su prodotti software e anzi, non siano proprio utili da integrare su macchine dedicate che permettono la centralizzazione delle policies e dei criteri di firewalling(anche su aziende da pochi client se si richiede un controllo o il rispetto di procedure ISO che integrano processi gestionali di controllo della produzione)..
Poi se per te il trasparent firewalling non vale la candela, direi che ti conviene pensare e orientarti al content filtering su trasparent proxy e vedrai che rende molto ma molto meglio e con molti meno problemi oltre ad aprirti gli occhi ad orizzonti molto più ampi sul mondo del routing-firewalling.


E secondo te queste cose le fa il software installato (su quell'hardware) o le fa l'hardware? Tutto quello che puoi fare su una macchina dedicata lo puoi fare come già detto anche sul tuo sistema con il relativo software... forse con l'unica eccezione, come già detto, del "transparent firewalling" che ho appena menzionato, poichè si utilizza una macchina alla quale non viene assegnato un proprio indirizzo IP ma la si usa come una sorta di filtro "fisico" sul cavo di rete. La differenza sostanziale sta come già detto nella possibilità di avere un firewall "centralizzato" in una LAN, ma non perchè questo comporti particolari incrementi a livello di sicurezza.
Al limite un vantaggio potrebbe esservi se tale sistema dovesse ospitare qualche particolare server, poichè l'eventuale violazione di questo server sfruttando una qualche vulnerabilità del relativo daemon, diminuirebbe il rischio di poter compromettere anche il firewall... ma questo potrebbe anche non essere necessario se usassimo particolari accorgimenti (es. in Solaris le "zones") creando aree "isolate" all'interno del sistema. Comunque forse mi sto spingendo troppo oltre... l'autore del thread non ha menzionato ne' server ne' sistemi operativi come Solaris.


Ma diciamo che il firewall-hadrware è stato pensato per dividere le aree di una rete, e quindi un firewall che ospita anche un server dedicato direi che sia una scelta poco azzeccata perchè caricherebbe la macchina di una gestione che non va molto d'accordo come per esempio dei web-services con le regole di port-forwarding. Finora i server WEB che ho mantenuto avevano il loro firewall, e erano programmati a livello di Server-WEB per andare a gestire le richieste sulla porta/e del webservice. Comunque al di là di questo, i piccoli accorgimenti che menzioni sono un pò OUT e poco usati ora come ora su questo mercato ITC; perchè le care DMZ si sfruttano relativamente se non su aree server di media consistenza, e molto spesso su aree ad intenso traffico e con strutture che devono essere fisicamente distinte(e di questo se ne occuperà il firewall hardware fatalità!!!). Il problema, e cioè il compito di un FW, è di proteggere mentre la questione delle DMZ e delle aree separate che correttamente hai definito zones in Solaris(nei tracciati teorici di progettazione però) sono soluzioni scalari che vengono fatte per evitare il link down sui servizi WEB e sui servizi LAN in caso di problemi hardware o di sicurezza....E comunque nel bene e nel male sarà sempre un firewall a decidere quali reti instradare anche su infrastrutture con DMZ.


I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).


Intanto il miglior personal firewall non è di certo quello che hai consigliato tu, anzi; ma comunque ricordati che un user appartenente al gruppo administrator, nel momento che si deve affidare al proprio browser(visto che consigli solo FW_SW senza accennare ai problemi dello scripting host che ne possano derivare dalla errata configurazione decentralizzata) può essere messo in ginocchio tramite un semplice OCX, creato in VBScript, che cancella la chiave del FW dalla sezione RunOnce e quindiecco che il tuo firewall te lo puoi attaccare alla sedia della tua scrivania, e girartelo attorno anche quando vai in bagno per vedere se ora quello è l'unico posto dove renderebbe bene. Oltre a questo intanto i files di un ipotetico malware verranno già copiati ed eseguiti al riavvio successivo.(Excuse me for this OT)

Comunque al di là di questo piccolo commentino sui FW_SW direi che ci tenevo a riprendere in mano, per concludere il discorso dei FW_HD; che tu hai affermato come uguali a quelli software, e portare i tuoi tanto sospirati ESEMPI CONCRETI.....:

DNS-SPEED_UP, Content FIltering, NetFilter, L7 sono esempi poco concreti che si possono fare anche su un firewall software? Oppure appliabili su un normale client(il famosissimo client-side che hai nominato ma non chiarito agli altri utenti)??? Non penso proprio che queste siano scelte fattibili dal lato client.....Anzi debbano sempre dipendere da un sistema centrale.

P:S:> Concludo il mio pensiero dicendo che se ora mi dimostri qualcosa tu magari; oppure mi trovi una tesi non confutabile, che sostenga il contrario del mio pensiero, in maniera rigida allora smetto di programmare i router Cisco, e i PIX , e dato che sono in vena strappo anche in due i miei due diplomi CNAPONLINE su CCNA 1 e CCNA2, oltre al mio certificato di qualità sempre targato CNAPONLINE e alla certificazione MS in Windows Server 2003 R1 che ho sudato tantissimo in questi ultimi due anni e mezzo quasi tre(per essere precisi)....



Con affetto:D :D ;) ....Tuo ThE_RaV[3]N

Io dico che non esistono falle note. Comunque se non possiamo escludere da software "di una certa complessità" ogni possibile bug, per "piccoli campi" non è detto che non si raggiunga fino in fondo la "correttezza": se ci sono in assoluto 15 modi per terminare un software ed io pongo rimedio a tutti e 15... diamine poi "effettivamente" non posso terminarlo. La "verità" esiste, può essere difficile raggiungerla, ma esiste. Inoltre non hai modo di "prevenire tutto", proprio partendo dal presupposto che ogni software potrebbe contenere bug: si deve trovare il miglior compromesso.
No, così non va, prima mi dici che con i "se" e le "cose campate in aria" non possiamo discutere e poi mi parli di una "verità" che non puoi dimostrare formalmente?? Se una regola vale per me, allora vale pure per te.
Escludiamo qualche "se": poniamo che i sw sono imperfetti. Questa è una verità, sei d'accordo con me?

Immagino di si visto che giustamente parli di compromessi. Siam perfettamente in linea, la sicurezza è un compromesso. (Io non ho mai parlato di sw infallibile)

Il punto è che la "macchina interna" non deve essere compromessa ;) Inoltre vedi risposta precedente e vedi risposte in post precedenti.

Proprio perchè stiamo parlando di compromessi, non possiamo partire dal presupposto che i client siano a posto. Dai, è proprio dove l'utente ci lavora, son i punti + "caldi" al giorno d'oggi. Infatti ci mettiamo antivirus, antispy, antiTuttoQuellocheVuoi, limitiamo il + possibile l'utente e tutto il resto.

Certo... però se ci si affida a personal firewall validi (e costantemente aggiornati) il problema non dovrebbe porsi.
E ridagli con i "se" che io non posso usare :) (non prenderla come offesa, non lo è, voglio solo "sdrammatizzare" un po :D )

Seguendo il vostro ragionamento se io usassi 3000 firewall "hardware" diversi dovrei essere "sicuro": il punto è che non è un buon compromesso.

L'hai seguito un po male il ragionamento. Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.

N;16627229']:eek: :eek: Ringrazio perchè mi è stata concessa la possibilità di replicare completamente visto che non propongo niente di concreto sul quale discutere. Proprio il contrario del nostro caro collega Ingegnere Informatico. ;)

Cominciamo dal principio, perchè purtroppo il problema è che una cronistoria lunga fa perdere di vista le tracce dei mille giri rifatti negli infiniti botta e risposta avvenuti.......:(

Bla bla bla... 3 2 1 partiamo!

P.S.
Non capisco perchè tirate fuori la storia dell'Ingegnere Informatico che io non ho minimamente menzionato (proprio perchè a differenza di qualcun'altro solitamente non mi piace giocare al "lei non sa chi sono io") e che evidentemente avete letto nel mio profilo. Comunque alcune cose si studiano anche all'università ;)


Innanzitutto spiegaci, sommo ekerazha, cosa intendi per rindondante perchè mi sembra che anche le tue risposte siano infinitesimamente rindondanti; però al di là di questo vorrei proprio chiarire perchè una struttura FW_SW+FW_HD+ROUTER è rindondante se abbinata ad un IDS; perchè se un IDS è rindondante rispetto ad un FW_SW ti do ragione, ma rispetto a quanto trattato prima direi che ci possano stare tranquillamente bene assieme: proprio come i sette nani con biancaneve.:D

Se continuate a dire le stesse cose purtroppo io non posso che continuare a dare le stesse risposte. Un firewall software è ridondante rispetto ad un firewall "hardware" (che è un software installato su una macchina dedicata) poichè le funzionalità di sicurezza che mettono a disposizione si sovrappongo (volendo fare una piccola eccezione: il caso del "trasparent firewalling" che ho precedentemente menzionato).

Inoltre anche relativamente ad IDS e firewall "software" sul quale "mi daresti ragione" è tutto da vedere: potrei avere un firewall "software" che possiede funzionalità di IDS ma anche no, potrei avere un firewall "hardware" che contiene anche un software di IDS insomma dipende... certamente consigliare alla rinfusa firewall software, "hardware", IDS etc. senza menzione di casi specifici non è molto significativo.


Per quanto riguarda le rotelle meccaniche che girano ti do ragione perchè effettivamente un FW_HD non è un tornio meccanico e quindi non girano rapporti o ingranaggi di vario tipo; ma bensì una piattaforma dedicata con un vero e proprio SO che gestisce gli stati e gli eventi macchina, e se per te questo è un semplice firewall software installato sopra ad una macchina allora sbagli tutto. Infatti proprio per questo hanno inventato FW_SW e sistemi gateway diversi; proprio quei sistemi gateway a micro-kernel che scommetto che non hai mai testato e scalato in una infrastruttura.
Ebbene questi bellissimi e leggerissimi sistemi,(dovresti conoscerli questi derivati visto che all'uni si propone Linux) non montano software su una macchina dedicata; ma bensì integrano dei demoni che gestiscono le comunicazioni analizzando sia il livello applicativo, e restando sempre orientati allo strato trasporto e quindi orientati alla connessione.

Ma che stai dicendo? :doh: Un firewall "hardware" è una macchina che generalmente possiede un sistema operativo ed un software di firewalling. In passato si usavano sistemi operativi o comunque software proprietari sviluppati dai singoli produttori, ma ultimamente stanno migrando quasi tutti a soluzioni Linux-based, nei quali mi spiace deluderti ma vi è proprio installato (e non solo in questo caso comunque) un "semplice firewall" (spesso "iptables").

Inoltre mi piacerebbe che ci illustrassi nei dettagli il significato di "orientato alla connessione" o altre espressioni che fanno molto "cool" ma dietro alle quali non vedo significati particolarmente sensati se non pura retorica e demagogia "fuffosa".

P.S.
Linux non è un microkernel.


Quoto la tua affermazione che esponga quanto l'autore del thread non abbia menzionato apparati hardware, ma visto che è giusto citarli per corretteza professionale quando si parla di security, direi che possiamo continuare la discussione in merito ai FW_HD visto che l'hai diretta e animata proprio tu fino ad adesso.

Non mi sembra sia particolarmente "giusto citarli" dato che appunto non sono stati richiesti: sarebbe sempre buona cosa rimanere "on-topic". Io non ho animato proprio nulla, io mi limito a rispondere a vostre affermazioni... quando queste affermazioni termineranno (o meglio, quando termineranno quelle a mio parere scorrette) terminerò anche di replicare: come potrai ben capire io sono solo un "attore secondario" e non dirigo proprio nulla di questo "off-topic".


Intanto premetto che io vedo molte piccole realtà aziendali che comincano ad integrare reti a dominio su reti da quattro, cinque o anche sei PC(assurdo vero quanto si cerchi la stabilità e la centralizzazione??;) ) e che richiedono apparati hardware oppure macchine dedicate a questo specifico compito e basta.

Stiamo parlando di firewall o sbaglio? Evita di tirare in ballo discorsi che non c'entrano nulla e che vanno ulteriormente off-topic.


Se tu affermi che nessun firewall software non possa fare quello che può fare un firewall hardware allora mi sa che siamo un pò OUT.
Infatti così è come mi dicessi che soluzioni come netfilter, content filterning e trsparent proxy si possano fare anche su prodotti software e anzi, non siano proprio utili da integrare su macchine dedicate che permettono la centralizzazione delle policies e dei criteri di firewalling(anche su aziende da pochi client se si richiede un controllo o il rispetto di procedure ISO che integrano processi gestionali di controllo della produzione)..

Tutto quello che hai citato si può fare anche su un "personal firewall". Se poi mi parli di "centralizzazione delle policy" etc. allora è vero, ma questo rientra nel discorso che io ho definito di "comodità" (es. non devo creare e gestire le regole su ogni singolo client) e non su quello "sicurezza".


Poi se per te il trasparent firewalling non vale la candela, direi che ti conviene pensare e orientarti al content filtering su trasparent proxy e vedrai che rende molto ma molto meglio e con molti meno problemi oltre ad aprirti gli occhi ad orizzonti molto più ampi sul mondo del routing-firewalling.

Ma che stai dicendo? :confused: Stai veramente dicendo cose che non hanno alcun senso... sai almeno cos'è un transparent firewall? Che c'entra con il resto della roba "cool" che hai provato a "rifilarmi"?


Ma diciamo che il firewall-hadrware è stato pensato per dividere le aree di una rete, e quindi un firewall che ospita anche un server dedicato direi che sia una scelta poco azzeccata perchè caricherebbe la macchina di una gestione che non va molto d'accordo come per esempio dei web-services con le regole di port-forwarding. Finora i server WEB che ho mantenuto avevano il loro firewall, e erano programmati a livello di Server-WEB per andare a gestire le richieste sulla porta/e del webservice.

Che c'entra? Basta che non fai il forwarding sulle porte utilizzare per il serving ;) Per il carico è vero, ma ancora una volta non è una questione correlata alla sicurezza ;)


Comunque al di là di questo, i piccoli accorgimenti che menzioni sono un pò OUT e poco usati ora come ora su questo mercato ITC; perchè le care DMZ si sfruttano relativamente se non su aree server di media consistenza, e molto spesso su aree ad intenso traffico e con strutture che devono essere fisicamente distinte(e di questo se ne occuperà il firewall hardware fatalità!!!).

Chi ha mai parlato di DMZ? :D


Il problema, e cioè il compito di un FW, è di proteggere mentre la questione delle DMZ e delle aree separate che correttamente hai definito zones in Solaris(nei tracciati teorici di progettazione però) sono soluzioni scalari che vengono fatte per evitare il link down sui servizi WEB e sui servizi LAN in caso di problemi hardware o di sicurezza....E comunque nel bene e nel male sarà sempre un firewall a decidere quali reti instradare anche su infrastrutture con DMZ.

Chi ha mai parlato di DMZ? :D Che c'entrano le DMZ con le zones di Solaris? :doh:


Intanto il miglior personal firewall non è di certo quello che hai consigliato tu, anzi;

Ah be'... se lo dici tu :rolleyes: Fatti? Prove? Argomentazioni? Su su... attendo...


ma comunque ricordati che un user appartenente al gruppo administrator, nel momento che si deve affidare al proprio browser(visto che consigli solo FW_SW senza accennare ai problemi dello scripting host che ne possano derivare dalla errata configurazione decentralizzata) può essere messo in ginocchio tramite un semplice OCX, creato in VBScript, che cancella la chiave del FW dalla sezione RunOnce e quindiecco che il tuo firewall te lo puoi attaccare alla sedia della tua scrivania, e girartelo attorno anche quando vai in bagno per vedere se ora quello è l'unico posto dove renderebbe bene. Oltre a questo intanto i files di un ipotetico malware verranno già copiati ed eseguiti al riavvio successivo.(Excuse me for this OT)

Per la seconda volta: ma che stai dicendo? :asd: Affidare il browser per cosa? Lo sai che per avviare un VBScript (che poi funziona solo in IE) nel browser serve un'autorizzazione esplicita? Lo sai che con KAV/KIS (ma anche altri software) ci sono sistemi di protezione anche relativamente alla voce di registro che hai citato? Eddai...


Comunque al di là di questo piccolo commentino sui FW_SW direi che ci tenevo a riprendere in mano, per concludere il discorso dei FW_HD; che tu hai affermato come uguali a quelli software, e portare i tuoi tanto sospirati ESEMPI CONCRETI.....:

DNS-SPEED_UP, Content FIltering, NetFilter, L7 sono esempi poco concreti che si possono fare anche su un firewall software? Oppure appliabili su un normale client(il famosissimo client-side che hai nominato ma non chiarito agli altri utenti)??? Non penso proprio che queste siano scelte fattibili dal lato client.....Anzi debbano sempre dipendere da un sistema centrale.

Sicuro che le cose che dici abbiano tutte a che fare con la sicurezza? Comunque si, questo è fattibile anche sui singoli client senza necessità di apparati hardware esterni ;)


P:S:> Concludo il mio pensiero dicendo che se ora mi dimostri qualcosa tu magari; oppure mi trovi una tesi non confutabile, che sostenga il contrario del mio pensiero, in maniera rigida allora smetto di programmare i router Cisco, e i PIX , e dato che sono in vena strappo anche in due i miei due diplomi CNAPONLINE su CCNA 1 e CCNA2, oltre al mio certificato di qualità sempre targato CNAPONLINE e alla certificazione MS in Windows Server 2003 R1 che ho sudato tantissimo in questi ultimi due anni e mezzo quasi tre(per essere precisi)....

Et voila.
Comunque se vogliamo metterla sul "lei non sa chi sono io" (cosa alla quale non aspiro particolarmente poichè preferisco i fatti) ti consiglio di riflettere un po' su alcuni punti, del tipo che forse il tuo interlocutore potrebbe avere, tra le altre cose, anche una certificazione Cisco di terzo livello, o qualcosa del genere...


Con affetto:D :D ;) ....Tuo ThE_RaV[3]N
Bacioni mon amour.

No, così non va, prima mi dici che con i "se" e le "cose campate in aria" non possiamo discutere e poi mi parli di una "verità" che non puoi dimostrare formalmente?? Se una regola vale per me, allora vale pure per te.
Escludiamo qualche "se": poniamo che i sw sono imperfetti. Questa è una verità, sei d'accordo con me?

Immagino di si visto che giustamente parli di compromessi. Siam perfettamente in linea, la sicurezza è un compromesso. (Io non ho mai parlato di sw infallibile)

Lo riassumo così magari ti risulta più chiaro:
Per software semplici, essere privi di bug è possibile e probabile.
Per software complessi, essere privi di bug è possibile ma improbabile.
Per aspetti "parziali" di software complessi, essere privi di bug è possibile e discretamente probabile, soprattutto dopo un certo periodo (qualche mese?) di "collaudo".


Proprio perchè stiamo parlando di compromessi, non possiamo partire dal presupposto che i client siano a posto. Dai, è proprio dove l'utente ci lavora, son i punti + "caldi" al giorno d'oggi. Infatti ci mettiamo antivirus, antispy, antiTuttoQuellocheVuoi, limitiamo il + possibile l'utente e tutto il resto.

Come non è detto che aggiungendo firewall "hardware" la situazione migliori (teoricamente potrebbe anche peggiorare, come illustrato).


E ridagli con i "se" che io non posso usare :) (non prenderla come offesa, non lo è, voglio solo "sdrammatizzare" un po :D )
Mah......

L'hai seguito un po male il ragionamento. Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.
Il punto è che come sto dicendo da varie pagine, senza che mi sia dimostrato il contrario, a livello di "sicurezza" (e non di comodità) le funzionalità messe a disposizione dai due sistemi si sovrappongono (sempre con l'eccezione che io stesso avevo citato del "transparent firewall"). Se invece come state facendo voi la buttiamo sul "questo software ha bug e quindi ne aggiungo N diversi", allora è corretta l'osservazione che avevo fatto relativamente al vostro "ragionamento" ;) Come già detto interviene la questione "usabilità" e quella "nessuno vi ha chiesto apparati hardware".

Lo riassumo così magari ti risulta più chiaro:
Per software semplici, essere privi di bug è possibile e probabile.
Per software complessi, essere privi di bug è possibile ma improbabile.
Per aspetti "parziali" di software complessi, essere privi di bug è possibile e discretamente probabile, soprattutto dopo un certo periodo (qualche mese?) di "collaudo".
Ancora "probabile", "possibile", "discretamente probabile" ... "certo periodo" questa si che è fuffa, non si può dimostrare formalmente.

Riassumiamo senza usare i "forse":
- non possiamo dimostrare la sicurezza del sw, quindi diamo per scontato il caso peggiore: qualsiasi sw è insicuro.
- i firewall e i personal firewall hanno alcune proprietà che si sovrappongono ma anche altre che non lo fanno. Per i personal firewall mi sembra che siamo d'accordo. Per i firewall:
Non mi hai ancora dimostrato perchè non è meglio fermare i pacchetti prima (un "hai una visione fantasy" non mi basta, voglio sapere perchè preferisci che un pacchetto arrivi al client, venga elaborato sia dal sistema destinatario che dal firewall e poi venga scartato rispetto a fermarlo prima).
Siccome i sw sono insicuri e siccome gli utenti possono fare casini, io non mi fido a lasciare tutte le soluzioni solo sul client (che ritengo molto esposto) quindi mi piace avere un firewall. Cosa c'è di male? (non usare "se" e "forse", non accetto la risposta "il firewall può avere bachi" perchè (pur essendo vera) posso ribattere "anche tutti gli altri anelli della catena li hanno").

Come non è detto che aggiungendo firewall "hardware" la situazione migliori (teoricamente potrebbe anche peggiorare, come illustrato).
Se è per questo anche aggiungendo antivirus, p. firewall e tutto il resto la situazione POTREBBE peggiorare... ma noi non usiamo i "potrebbe".

Se invece come state facendo voi la buttiamo sul "questo software ha bug e quindi ne aggiungo N diversi", allora è corretta l'osservazione che avevo fatto relativamente al vostro "ragionamento" Come già detto interviene la questione "usabilità" e quella "nessuno vi ha chiesto apparati hardware".
No, questo è un ragionamento tuo, ripeto, io (credo noi) ho detto:
Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.

Ancora "probabile", "possibile", "discretamente probabile" ... "certo periodo" questa si che è fuffa, non si può dimostrare formalmente.

Nulla è certo nel mondo e nell'universo... è sempre una questione di probabilità ;) Ma questo è un altro discorso...


Riassumiamo senza usare i "forse":
- non possiamo dimostrare la sicurezza del sw, quindi diamo per scontato il caso peggiore: qualsiasi sw è insicuro.

Puoi farlo... ma devi essere consapevole che potresti sbagliarti, proprio perchè per dimostrare il contrario serve una "prova contraria".


- i firewall e i personal firewall hanno alcune proprietà che si sovrappongono ma anche altre che non lo fanno. Per i personal firewall mi sembra che siamo d'accordo.

No... in quanto un firewall "hardware" non è altro che un software installato su una macchina dedicata e questo software potrei installarlo anche sul client, qualsiasi sua funzione si sovrappone, tranne quelle per le quali si rende necessaria una macchina dedicata (ad esempio il "transparent firewall" del quale avevo parlato).


Per i firewall:
Non mi hai ancora dimostrato perchè non è meglio fermare i pacchetti prima (un "hai una visione fantasy" non mi basta, voglio sapere perchè preferisci che un pacchetto arrivi al client, venga elaborato sia dal sistema destinatario che dal firewall e poi venga scartato rispetto a fermarlo prima).

Per il semplicissimo motivo che se lo scopo è "scartarlo" non ha importanza "chi" lo scarta ma ha importanza che venga scartato.


Siccome i sw sono insicuri e siccome gli utenti possono fare casini, io non mi fido a lasciare tutte le soluzioni solo sul client (che ritengo molto esposto) quindi mi piace avere un firewall. Cosa c'è di male? (non usare "se" e "forse", non accetto la risposta "il firewall può avere bachi" perchè (pur essendo vera) posso ribattere "anche tutti gli altri anelli della catena li hanno").

Se hai paura che "gli utenti possano fare casini" evidentemente stiamo parlando di sistemi ai quali hanno accesso "altri utenti" e quindi nei quali dovresti utilizzare account limitati, impedendo quindi materialmente a questi utenti di "fare casini". Certamente "anche tutti gli altri anelli della catena" possono avere bug però io non andrei ad aggiungere, dove non necessario per altre ragioni (comodità etc.) soluzione ridondanti, in quanto non sarebbero un buon "compromesso".


Se è per questo anche aggiungendo antivirus, p. firewall e tutto il resto la situazione POTREBBE peggiorare... ma noi non usiamo i "potrebbe".

No in realtà no... perchè il p. firewall è a valle di un ipotetico "firewall hardware" e quindi un suo malfunzionamento comprometterebbe solo il sistema su cui è installato... mentre il malfunzionamento di uno centralizzato potrebbe compromettere l'intera rete.


No, questo è un ragionamento tuo, ripeto, io (credo noi) ho detto:
Noi diciamo di introdurre sia un fw "hw" che un personal fw perchè si occupano di cose diverse e hanno peculiarità diverse. Non abbiamo detto di installare + firewall che si occupano delle stesse cose.
Puoi non dirlo però dici di farlo :D Devi ancora trovarmi una funzionalità di sicurezza (non di "comodità" per una grande LAN) che un firewall installato sul client non potrebbe avere e uno su una macchina dedicata ha ("transparent firewall" a parte).

Puoi farlo... ma devi essere consapevole che potresti sbagliarti, proprio perchè per dimostrare il contrario serve una "prova contraria".
Quindi non puoi farlo. :D

Per il semplicissimo motivo che se lo scopo è "scartarlo" non ha importanza "chi" lo scarta ma ha importanza che venga scartato.
Su questo non siamo d'accordo, cmq mi sembra inutile ripetere sempre le proprie ragioni. :)

No in realtà no... perchè il p. firewall è a valle di un ipotetico "firewall hardware" e quindi un suo malfunzionamento comprometterebbe solo il sistema su cui è installato... mentre il malfunzionamento di uno centralizzato potrebbe compromettere l'intera rete.
Bha, secondo me "il gioco vale la candela" secondo te no. E comunque anche il tuo "transparent-firewall" ha lo stesso problema, ok è meno attaccabile visto che non ha indirizzo ma non è immune.

Puoi non dirlo però dici di farlo :D Devi ancora trovarmi una funzionalità di sicurezza (non di "comodità" per una grande LAN) che un firewall installato sul client non potrebbe avere e uno su una macchina dedicata ha ("transparent firewall" a parte).
Io le ho trovate e te le ho scritte, solo che tu non ne accetti la validità, contrapponendo spiegazioni che (a mia volta) non accetto. A questo punto credo sia inutile continuare a ripeterci le stesse cose "muro contro muro".
Io non ho convinto te e tu non hai convinto me. Amici come prima :)

Quindi non puoi farlo. :D
Non puoi sapere con certezza alcuna delle due cose... ammenochè tu non preveda il futuro.


Su questo non siamo d'accordo, cmq mi sembra inutile ripetere sempre le proprie ragioni. :)

Quindi secondo te se lo scopo è "tagliare una mela" fa differenza che la tagli io o tu? L'importante è che venga tagliata...


Bha, secondo me "il gioco vale la candela" secondo te no. E comunque anche il tuo "transparent-firewall" ha lo stesso problema, ok è meno attaccabile visto che non ha indirizzo ma non è immune.

Io te l'ho spiegato perchè "non vale la candela", sei tu che non mi spieghi perchè la varrebbe. Inoltre io non ho mai detto che il "transparent firewall" sarebbe immune, anzi c'è una corposa letteratura sui metodi per tentare di attaccare un transparent firewall :D


Io le ho trovate e te le ho scritte, solo che tu non ne accetti la validità, contrapponendo spiegazioni che (a mia volta) non accetto. A questo punto credo sia inutile continuare a ripeterci le stesse cose "muro contro muro".
Io non ho convinto te e tu non hai convinto me. Amici come prima :)
No no... tu non hai scritto un bel niente... l'unico che ha "provato" a scrivere qualcosa di concreto è stato "ThE_RaV[3]N" solo che ha scritto delle sciocchezze.

Non puoi sapere con certezza alcuna delle due cose... ammenochè tu non preveda il futuro.
e per questo prendiamo per vera la situazione peggiore. Quante volte lo devo ripetere????

Quindi secondo te se lo scopo è "tagliare una mela" fa differenza che la tagli io o tu? L'importante è che venga tagliata...
Per restare sul tuo esempio (un po troppo semplicistico) se posso evitare che tu usi un coltello che qualcun altro ha avvelenato, certo che fa differenza. E' dall'inizio del post (aggià, io non ho detto nulla) che ripeto che i client sono i + esposti e quindi ci si può fidare un gran poco di quello che ci sta sopra.

Io te l'ho spiegato perchè "non vale la candela", sei tu che non mi spieghi perchè la varrebbe. Inoltre io non ho mai detto che il "transparent firewall" sarebbe immune, anzi c'è una corposa letteratura sui metodi per tentare di attaccare un transparent firewall :D
Vedi sopra.

No no... tu non hai scritto un bel niente... l'unico che ha "provato" a scrivere qualcosa di concreto è stato "ThE_RaV[3]N" solo che ha scritto delle sciocchezze.

Guarda, la sciocchezza + grande che è stata scritta qui sopra è che è possibile dimostrare la sicurezza di un software (infatti poi ti sei corretto da solo). Se solo accenni questa cosa a qualcuno che si occupa un minimo di sicurezza ti ride in faccia per mesi.

e per questo prendiamo per vera la situazione peggiore. Quante volte lo devo ripetere????

Puoi farlo benissimo... ma come già detto devi essere consapevole che è una scelta arbitraria ;) E che deve essere relativa anche alle cose che dici tu e non solo a quelle che dico io ;)


Per restare sul tuo esempio (un po troppo semplicistico) se posso evitare che tu usi un coltello che qualcun altro ha avvelenato, certo che fa differenza. E' dall'inizio del post (aggià, io non ho detto nulla) che ripeto che i client sono i + esposti e quindi ci si può fidare un gran poco di quello che ci sta sopra.

Il fatto è che 1) è tuo preciso dovere fare in modo che non venga avvelenato prendendo determinate precauzioni a livello del sistema 2) sono coltelli con tecnologie anti-avvelenamento, che "possono" avere bug (ma tu non ne sai trovare alcuno) ma come già detto anche il software su una macchina dedicata può averne e potrebbe anche peggiorare la situazione (come già illustrato). 3) Non hai saputo ancora dirmi una funzionalità di sicurezza che un firewall "hardware" potrebbe svolgere e uno "personale" no ;)


Guarda, la sciocchezza + grande che è stata scritta qui sopra è che è possibile dimostrare la sicurezza di un software (infatti poi ti sei corretto da solo). Se solo accenni questa cosa a qualcuno che si occupa un minimo di sicurezza ti ride in faccia per mesi.
Io non ho corretto un bel niente... la sicurezza di un software è dimostrabilissima nelle situazioni precedentemente illustrate e poi ulteriormente "riassunte": se vuoi ti faccio un programma che scrive "Hello World" e ti assicuro che è 100% esente da bug ;)

Io non ho corretto un bel niente... la sicurezza di un software è dimostrabilissima nelle situazioni precedentemente illustrate e poi ulteriormente "riassunte": se vuoi ti faccio un programma che scrive "Hello World" e ti assicuro che è 100% esente da bug ;)

HAHAHAHAHA, dopo questa poi!!!
Se continui ad affermare che puoi dimostrare al 100% (quindi anche formalmente) che un sw è sicuro possiamo chiudere qui il discorso.
Forse posso passarti che un sw "semplice" come un hello world è + probabile che sia sicuro rispetto ad uno complesso (ma anche questa è solo una deduzione logica/statistica, niente di dimostrabile formalmente).
Pensi che un programma sia composto solo dalle righe di codice che scrivi tu??? andiamo... e la printf() è sicura al 100%? E il modo in cui la utilizzi chi ti dice che non sia errato? (prima dei format string un "printf(var);" era ben visto). E le altre librerie? E il compilatore che usi chi ti dice cha faccia una transposizione pulita??? ...
Eppoi te la prendi con ThE_RaV[3]N, ma ti rendi conto di quello che hai scritto? Il fatto che io non sappia come trovare un bug non significa che questo non ci sia.

HAHAHAHAHA, dopo questa poi!!!
Se continui ad affermare che puoi dimostrare al 100% (quindi anche formalmente) che un sw è sicuro possiamo chiudere qui il discorso.
Forse posso passarti che un sw "semplice" come un hello world è + probabile che sia sicuro rispetto ad uno complesso (ma anche questa è solo una deduzione logica/statistica, niente di dimostrabile formalmente).
Pensi che un programma sia composto solo dalle righe di codice che scrivi tu??? andiamo... e la printf() è sicura al 100%? E il modo in cui la utilizzi chi ti dice che non sia errato? (prima dei format string un "printf(var);" era ben visto). E le altre librerie? E il compilatore che usi chi ti dice cha faccia una transposizione pulita??? ...

:asd: La stampa di "Hello World" è già sicura per il semplice motivo che non riceve input dall'utente. Non puoi mettere in dubbio sempre tutto ed il contrario di tutto, questa non è fanta-informatica un computer funziona attraverso meccanismi fisici che sono realtà oggettive. Studiati qualche linguaggio di programmazione, magari assembly o magari anche il microcodice di qualche architettura e poi ne riparleremo... se in assembly prendi i dati da due registri e li sommo e non faccio altro, stai sicuro che di bug non ce ne sono ;)


Eppoi te la prendi con ThE_RaV[3]N, ma ti rendi conto di quello che hai scritto? Il fatto che io non sappia come trovare un bug non significa che questo non ci sia.
Già... come quelli che dicono che Dio esiste perchè non puoi dimostrare il contrario :doh:

certo, ma per stampare a video devo sollevare un interrupt al sistema, non mi basta sommare 2 registri (o conosci talmente bene l'asm da esserti dimenticato l'istruzione int?). Quindi anche in questo caso ricorro a codice scritto da altri. Non è fanta-informatica, è la realtà, non siamo in grado di dimostrare FORMALMENTE la sicurezza di un software e se tu leggessi qualche trattato di sicurezza informatica ti renderesti conto che qualcosina non quadra in quello che dici.

Bhe, è un po diverso, la dimostrazione che non siamo capaci di scrivere sw corretto ce l'abbiamo davanti agli occhi ogni giorno, Dio no.

certo, ma per stampare a video devo sollevare un interrupt al sistema, non mi basta sommare 2 registri (o conosci talmente bene l'asm da esserti dimenticato l'istruzione int?). Quindi anche in questo caso ricorro a codice scritto da altri.

Questo nella stampa a video non nella somma del valore contenuto in 2 registri ;) Comunque il tuo discorso è comunque privo di senso per il semplice motivo che se inizio a dubitare della bontà del sistema stesso, allora non ha nemmeno più senso parlare di "proteggere questo sistema" e di "sicurezza" perchè partirei dal presupposto di un sistema già compromesso.

Evidentemente a te piace chiudere il recinto quando le galline sono scappate :D


Non è fanta-informatica, è la realtà, non siamo in grado di dimostrare FORMALMENTE la sicurezza di un software e se tu leggessi qualche trattato di sicurezza informatica ti renderesti conto che qualcosina non quadra in quello che dici.

Eppure l'ho fatto... trovami la falla di sicurezza che consentirebbe ad utenti esterni (quindi non in un sistema già compromesso del quale, come già detto, non ha senso discutere) di eseguire codice pericoloso attraverso un programma Hello World ;)


Bhe, è un po diverso, la dimostrazione che non siamo capaci di scrivere sw corretto ce l'abbiamo davanti agli occhi ogni giorno, Dio no.
Se la gente che vedi non è capace di fare una cosa non è detto che sia impossibile sempre per tutti. Nuovi record vengono stabiliti quotidianamente e come già detto per programmi semplici la certezza è possibile e facilmente raggiungibile da molte persone ;)

un bel quadcore dato che il budget e' illimitato

NOD32 antivirus shield
AVGAS antitrojan shiled
Cyberhawk HIPS al posto dell'antispyware
Kerio 2.1.5 settato ad hoc software firewall
peerguardian p2p firewall
firewall hardware
firefox browser con keyscrambler

vmware o fd isr per navigazioni a rischio ed esperimenti vari

scansioni on demand con le versioni free di a2free, spyware terminator, spysweeper, superantispyware, bitdefender

Questo nella stampa a video non nella somma del valore contenuto in 2 registri ;) Comunque il tuo discorso è comunque privo di senso per il semplice motivo che se inizio a dubitare della bontà del sistema stesso, allora non ha nemmeno più senso parlare di "proteggere questo sistema" e di "sicurezza" perchè partirei dal presupposto di un sistema già compromesso.
Scusa, ma tu perchè installi antivirus, firewall e tutto il resto se credi che il sistema è sicuro?

Eppure l'ho fatto... trovami la falla di sicurezza che consentirebbe ad utenti esterni (quindi non in un sistema già compromesso del quale, come già detto, non ha senso discutere) di eseguire codice pericoloso attraverso un programma Hello World ;)
Si ma cosa hai fatto? Hai dimostrato solo che un sw isolato non può essere attaccato dall'esterno... grazie al piffero! Se però lo inserisci in un contesto reale in cui un attacco web client-side ti modifica la dll che ti permette di visualizzare la finestrella con scritto "hello world", la gallina se ne va.

Se la gente che vedi non è capace di fare una cosa non è detto che sia impossibile sempre per tutti. Nuovi record vengono stabiliti quotidianamente e come già detto per programmi semplici la certezza è possibile e facilmente raggiungibile da molte persone ;)
Certo, infatti si trovano sempre nuovi bachi. E comunque, tu NON hai dimostrato FORMALMENTE questa certezza, hai solo detto che è così punto e basta, prova il contrario! ... la mia parola contro la tua insomma.

Scusa, ma tu perchè installi antivirus, firewall e tutto il resto se credi che il sistema è sicuro?

Mi sembra di aver parlato chiaramente di "minacce esterne". Se scollego il PC da Internet e non ci installo alcun software "esterno", il PC è sicuro (sempre che come già detto non sia compromesso "in parteza" ma come già detto non ha significato parlare in questi termini). Comunque attualmente ho solo un router con funzionalità di firewall (molto elementare) e Snort installato sul sistema... e basta (sistema operativo Arch Linux).


Si ma cosa hai fatto? Hai dimostrato solo che un sw isolato non può essere attaccato dall'esterno... grazie al piffero! Se però lo inserisci in un contesto reale in cui un attacco web client-side ti modifica la dll che ti permette di visualizzare la finestrella con scritto "hello world", la gallina se ne va.

Certo che l'ho dimostrato... il problema è che tu con ostinazione avevi messo in dubbio pure quello :D Quello che ho citato è un caso elementare in cui tutti possono scrivere un programma sicuro al 100%. Poi, in base alle capacità di ognuno, è possibile scrivere anche software più complessi esenti da bug... c'è chi magari arriva a 10 righe senza bug, chi a 100 chi a 200 (anche con input dall'esterno correttamente gestiti in tutti i modi tecnicamente possibili): il funzionamento di un computer è scientifico e "meccanicistico". A questo proposito ti rimando a questo post (prima risposta): http://www.hwupgrade.it/forum/showpost.php?p=16628261&postcount=70


Certo, infatti si trovano sempre nuovi bachi. E comunque, tu NON hai dimostrato FORMALMENTE questa certezza, hai solo detto che è così punto e basta, prova il contrario! ... la mia parola contro la tua insomma.
Più della forza dei FATTI non vedo cosa ci sia :D Sfido te e chiunque altro a provare il contrario... la mia prova è il "FATTO".

Allora, innanzitutto premettendo che IPTABLES non è un software, e già qua non so ch concetto tu abbia di software comunque va be; lascio la scarsità di dubbi a chi argomenta il sapere in maniera egocentrica.
Al di là di questo io non ho affermato che Linux è un sistema micro-kernel, caro amico mio, ma bensì che i sistmi firewall based dedicati a piccole realtà sono micro-kernel.

Per quanto riguarda il content-filtering e il DNS-SPEED_UP se mi dimostri come puoi farlo su un firewall software normale allora mi tolgo tanto di cappello.
Comunque gli apparati hadrware aiutano a controllare i protocolli, per impostare anche ACL e analizzare il contenuto da far eseguire allo scripting host....

Dimostrami come puoi farlo su un FW_SW e mi ritirerò......Saluti Genius(Alla prossima chiamo anche mediaset a documentare il tutto :) )


P:S> Per quanto riguarda un bel firewall software direi proprio che Kaspersky non sia adatto....Da outpost a R-Firewall e a X-Firewall ci possiamo anche discutere sopra ma sul fatto che Kaspersky sia il migliore perchè secondo te non viene killato o alterato resta sempre e comunque un tuo acerbo parere in merito....

N;16633619']Allora, innanzitutto premettendo che IPTABLES non è un software, e già qua non so ch concetto tu abbia di software comunque va be; lascio la scarsità di dubbi a chi argomenta il sapere in maniera egocentrica.

Ma :asd: "IPTABLES non è un software" questa me la segno e la passo in giro ahah... incredibile... è che è un mazzo di carte? LOL

iptables: http://www.netfilter.org/projects/iptables/index.html


Al di là di questo io non ho affermato che Linux è un sistema micro-kernel, caro amico mio, ma bensì che i sistmi firewall based dedicati a piccole realtà sono micro-kernel.

Ma che stai dicendo? :asd: Me ne citeresti un paio?
Ma se anche su quelli da 50 euro ormai ci gira Linux...

Poi mi avevi detto, parlando di microkernel, "e visto che all'università studiate Linux dovresti saperlo". Quindi i casi sono due... o non sai cos'è un microkernel oppure hai detto una cosa che non aveva alcun senso :D


Per quanto riguarda il content-filtering e il DNS-SPEED_UP se mi dimostri come puoi farlo su un firewall software normale allora mi tolgo tanto di cappello.
Comunque gli apparati hadrware aiutano a controllare i protocolli, per impostare anche ACL e analizzare il contenuto da far eseguire allo scripting host....

Dimostrami come puoi farlo su un FW_SW e mi ritirerò......Saluti Genius(Alla prossima chiamo anche mediaset a documentare il tutto :) )

"DNS speed up" significa "aumentare la velocità del DNS". Di che stai parlando? Che c'entra il firewall? Che c'entra il content-filtering con un firewall? Sai a cosa serve un firewall? Comunque ci sono firewall software che, come "surplus", fanno sia content filtering che DNS caching (non so... il primo che mi viene in mente Outpost Pro).

Cosa intendi per "controllare i protocolli"? Che c'entra lo scripting host (di Windows?)?

Ti giuro... raramente in vita mia ho sentito dire tante sciocchezze in una volta sola. Paroloni che suonano "c00l" buttati senza il minimo senso in mezzo ad un discorso. Mi sa che è davvero meglio che ti ritiri :doh:


P:S> Per quanto riguarda un bel firewall software direi proprio che Kaspersky non sia adatto....Da outpost a R-Firewall e a X-Firewall ci possiamo anche discutere sopra ma sul fatto che Kaspersky sia il migliore perchè secondo te non viene killato o alterato resta sempre e comunque un tuo acerbo parere in merito....
No no resta un dato di fatto :D e posso portarti ampia documentazione in merito se la desideri.

IPTables a me risulta come daemon e non come software; poi se può essere anche un mazo di carte allora quello è un altro paio di maniche.;)

QnX o Coyote non ti dicono nulla a micro-kernel? Mah vedremo cosa sfoggerai dal cerca su google....Vediamo se troverai un modo per darmi dell'ignorante e dirmi che non so cosa è un micro-kernel visto che parolo solo Cool....

DNS-SPEED_UP è una regola IPtables; mai sentito parlarne genius? An già ma tu sei certificato CCNA a livello 3 e usi OpenBSD. Comunque lo speed-up del dns è un concetto iptables integrato con l7 Project nelle distro firewall.

Poi visto che non so cosa è un firewall illuminami tu che hai tutte le nozioni teoriche universitarie per dirmelo visto che qui nessuno sa nulla secondo te perchè affermiamo castronerie insulse.

Comunque aspetto la documentazione su KIS e affini, perchè se mi vuo paragonare il firewall di Kaspersky con X-Firewall o R-Firewall o a Outpost Pro allora forse è meglio che ti affini a qualche beta-tester e ne provi qualcuno di diverso per vedere come funzia....

Con questo mi fa piacere di essere diventato il tuo pagliaccio personale e volentieri ricambio indicando come fin dal principio la discussione si sia animata per come l'hai proposta tu su certi punti....

N;16633998']IPTables a me risulta come daemon e non come software; poi se può essere anche un mazo di carte allora quello è un altro paio di maniche.;)

Perchè un daemon non è un software? LOL Sai distinguere tra software e hardware? Comunque iptables "può" essere avviato come daemon, ma non necessariamente ;)


QnX o Coyote non ti dicono nulla a micro-kernel? Mah vedremo cosa sfoggerai dal cerca su google....Vediamo se troverai un modo per darmi dell'ignorante e dirmi che non so cosa è un micro-kernel visto che parolo solo Cool....

Già... e immagino saprai farmi una lunga lista di firewall "hardware" "dedicati a piccole realtà" che utilizzano QnX o sistemi con altri microkernel... giusto? :D

Ma poi che c'entra tutto questo con il thread?


DNS-SPEED_UP è una regola IPtables; mai sentito parlarne genius? An già ma tu sei certificato CCNA a livello 3 e usi OpenBSD. Comunque lo speed-up del dns è un concetto iptables integrato con l7 Project nelle distro firewall.

:asd: :asd: :asd: Ma che stai dicendo?


Poi visto che non so cosa è un firewall illuminami tu che hai tutte le nozioni teoriche universitarie per dirmelo visto che qui nessuno sa nulla secondo te perchè affermiamo castronerie insulse.

No davvero... tu sei quello che le sta sparando più grosse in assoluto... altri magari dicevano cose un po' inesatte o scarsamente condivisibili, ma vagamente verosimili... tu invece sei davvero incredibile...

Una definizione di firewall potrebbe essere quella di sistema progettato per prevenire accessi non autorizzati in una rete e nei sistemi che compongono questa rete...


Comunque aspetto la documentazione su KIS e affini, perchè se mi vuo paragonare il firewall di Kaspersky con X-Firewall o R-Firewall o a Outpost Pro allora forse è meglio che ti affini a qualche beta-tester e ne provi qualcuno di diverso per vedere come funzia....

http://www.firewallleaktester.com/tests_overview.php
http://www.firewallleaktester.com/termination_overview.php
http://www.matousec.com/projects/windows-personal-firewall-analysis/
Comincia da questi...


Con questo mi fa piacere di essere diventato il tuo pagliaccio personale e volentieri ricambio indicando come fin dal principio la discussione si sia animata con l'arroganza con la quale l'hai proposta tu in merito....
Ahah ok va bene :D

:mc:
Intanto la release di Outpost inserita nei test non la new entry, e quindi non è affidabile riternere i test citati da te ammissibili per una valutazione oggettiva corretta di tutti i prodotti(:stordita: ).
Sottolineo però come nella lista punteggi Outpost abbia comunque ottenuto molto di più del KIS, soprattutto al primo livello dei test e il max nel secondo link(WOW collega vero? Alla faccia che Outpost deve invidiare qualcosa a KIS).
Comunque al di là del fatto che comunque un utente possa preferire anche un altro fw perchè magari si trova meglio rispetto a altri prodotti, rimango sul punto che iptables rimane un modulo deamon caricato dal kernel e che non è un vero e proprio programma(dimostrami il vs tu che parli di fatti).

Io affermo questo perchè modulo daemon iptables usa un confronto degli stati nel verificare le condizioni ,impostando dei beneamati flags sui quali sceglie se effettuare la clausola drop, accept oppure reject in base alle regole impostate dall'admin o da chi di competenza ha programmato iptables(non mi riferisco ai fw linux integrati in release come Suse, ma alle iptables nude e crude che si possono avere su sistemi come Qnx o Coyote).

Per quanto riguarda lo speed up del dns ti ripeto che è una regola di iptables inserita quando è stato introdotto l'L7 Firewall(:banned: eke) e a questo ti rimando a www.brazilfw.com.br. Con questo non ho nient'altro da aggiungere se non che so riconoscere tra hardware e software e che penso che tu possa metterti in discussione e valutare al meglio quello che viene proposto dagli altri utenti perchè non si ha mai finito di imparare nella vita; specie ad una certa età....

Saluti

N;16634501']:mc:
Intanto la release di Outpost inserita nei test non la new entry, e quindi non è affidabile riternere i test citati da te ammissibili per una valutazione oggettiva corretta di tutti i prodotti(:stordita: ).
Sottolineo però come nella lista punteggi Outpost abbia comunque ottenuto molto di più del KIS, soprattutto al primo livello dei test e il max nel secondo link(WOW collega vero? Alla faccia che Outpost deve invidiare qualcosa a KIS).

Il primo link non è aggiornatissimo ma è per rendere l'idea... comunque l'hai interpretato male: devi guardare la tabella "% of leaktests BLOCKED" (la terza... non la seconda). L'ultimo link invece contempla test aggiornati, si parla abbondantemente dell'implementazione scadente di Outpost e dichiarano KIS "chiaro vincitore" ;) I test sono molto esaustivi e dettagliati.


Comunque al di là del fatto che comunque un utente possa preferire anche un altro fw perchè magari si trova meglio rispetto a altri prodotti, rimango sul punto che iptables rimane un modulo deamon caricato dal kernel e che non è un vero e proprio programma(dimostrami il vs tu che parli di fatti).

Quindi rimani dell'idea sbagliata :D Se non vuoi leggerti la documentazione ufficiale, già il fatto che ad esempio qui http://ubuntuforums.org/showthread.php?t=57111 si parli di "come avviare iptables come daemon" conduce al fatto che tu debba rivedere un bel po' le tue posizioni :D


Io affermo questo perchè modulo daemon iptables usa un confronto degli stati nel verificare le condizioni ,impostando dei beneamati flags sui quali sceglie se effettuare la clausola drop, accept oppure reject in base alle regole impostate dall'admin o da chi di competenza ha programmato iptables(non mi riferisco ai fw linux integrati in release come Suse, ma alle iptables nude e crude che si possono avere su sistemi come Qnx o Coyote).

Quello è il criterio di creazione delle regole per iptables... che c'entra col fatto che venga avviato come daemon? :asd:


Per quanto riguarda lo speed up del dns ti ripeto che è una regola di iptables inserita quando è stato introdotto l'L7 Firewall(:banned: eke) e a questo ti rimando a www.brazilfw.com.br.

Ma che stai dicendo??? :cry: Tra l'altro che c'entra L7? E sai almeno cos'è (visto che l'hai tirato in ballo)? http://l7-filter.sourceforge.net
Che ci dovrei trovare in quel sito? Sei davvero incredibile :doh:


Con questo non ho nient'altro da aggiungere se non che so riconoscere tra hardware e software e che penso che tu possa metterti in discussione e valutare al meglio quello che viene proposto dagli altri utenti perchè non si ha mai finito di imparare nella vita; specie ad una certa età....

Saluti
Già... difficilmente avrei sospettato che esistesse gente simile... non si finisce proprio mai di imparare :D

In The End....:
Io cerco di mettermi in discussione, anche se a volte non ci riesco oppure sbaglio modo e forma nel farlo; come tutti gli essere umani visto che faccio parte anch'io di questa categoria di esseri viventi.
Al di là di questo, penso proprio che ho ancora nella mia, spero lunga tra l'altro, vita da imparare molto da tante altre persone con cui mi confronto sempre; soprattutto ogni giorno nel mondo del lavoro nel quale ci occupiamo molto di queste tematiche....
Di queste possibilità ne vado fiero, anche se non vado fiero di confrontarmi con persone come te che mettono il loro sapere sopra a quello degli altri senza cercare di elasticizzare il thread.
Con questo concludo perchè non voglio prolungare i discorsi visto che sono state fatte cinque pagine di thread per ribadire gli stessi concetti, e quindi seguirò il comportamento degli altri utenti: chiudere qui e non continuerò più a discutere con te.

P:S> Aggiungo affermando che ha ragione lui sul fatto che(a livello teorico però) le iptables siano un software, anzi correttamente programma; anche se tuttavia nel mondo del lavoro vengono definite molto spesso daemon per alcune modalità comportamentali che portano gli admin a considerarle così in gergo ed ecco che qui si spiega perchè io le definisco così.

Saluti

Per cortesia evita di buttarla sul vittimismo quando sono 2 giorni che mi stai facendo perdere tempo con obiezioni surreali... certe volte dovrei davvero badare alla mia firma "Non ragioniam di lor, ma guarda e passa." e invece ci riscasco sempre.

P.S.
Vai a leggerti la definizione di "software": è una cosa piuttosto elementare.

Per cortesia evita di buttarla sul vittimismo quando sono 2 giorni che mi stai facendo perdere tempo con obiezioni surreali... certe volte dovrei davvero badare alla mia firma "Non ragioniam di lor, ma guarda e passa." e invece ci riscasco sempre.

P.S.
Vai a leggerti la definizione di "software": è una cosa piuttosto elementare.

:ciapet: :D :D ;)


mettila in atto e cerca di non cascarci ancora....

Più della forza dei FATTI non vedo cosa ci sia :D Sfido te e chiunque altro a provare il contrario... la mia prova è il "FATTO".

Ma quale forza dei fatti?!?!?!? i fatti sono che siamo pieni di bug, che ogni giorno abbiamo nuove falle scoperte in software che gente come te ritiene sicuri al 100%.
Mi hai addirittura tentato di convincere che un sw "semplice" è sicuro perchè un "add eax, ebx" non fa altro che un'addizione tra registri! Io ho provato a dirti che per un "hello world" non basta un add e tu mi ritorni a dire che l'add è sicura.
M'hai addirittura accusato di essere simile ai fanatici religiosi che imputano ogni cosa che non capiscono ad un'intervento divino! Ti sembra una dimostrazione formale questa?
Che ci sia gente che scrive 200 righe di codice senza un bug è probabile ma ripeto, non ne abbiamo la certezza FORMALE. Statisticamente è probabile, ma non è una certezza. Quindi sei tu a parlare di fanta-informatica. (E dietro a quelle 200 quante ce ne sono all'interno delle librerie che usano?)
Ha, per dovere di cronaca, sono anni (e parecchi) che fior di ricercatori tentano di trovare un modo per dimostrare formalmente la sicurezza di un sistema e non c'è ancora riuscito nessuno. Se sei così convinto di esserci riuscito esponi la tua soluzione.

Giusto per confermare che anche i programmi di sicurezza sono pieni di bug.
Notizia odierna su kaspersky.

http://secunia.com/advisories/24778/

Ma quale forza dei fatti?!?!?!? i fatti sono che siamo pieni di bug, che ogni giorno abbiamo nuove falle scoperte in software che gente come te ritiene sicuri al 100%.

Sicuramente... e come già detto nulla rende il tuo firewall "hardware" più sicuro di altre cose ;)


Mi hai addirittura tentato di convincere che un sw "semplice" è sicuro perchè un "add eax, ebx" non fa altro che un'addizione tra registri! Io ho provato a dirti che per un "hello world" non basta un add e tu mi ritorni a dire che l'add è sicura.

Io ti ho detto che entrambi sono sicuri... tu hai tentato (ritornando poi sui tuoi passi per fortuna) che *nessuno dei due* era sicuro :D


M'hai addirittura accusato di essere simile ai fanatici religiosi che imputano ogni cosa che non capiscono ad un'intervento divino! Ti sembra una dimostrazione formale questa?

Non ho detto proprio questo... rileggi meglio ;)


Che ci sia gente che scrive 200 righe di codice senza un bug è probabile ma ripeto, non ne abbiamo la certezza FORMALE. Statisticamente è probabile, ma non è una certezza. Quindi sei tu a parlare di fanta-informatica. (E dietro a quelle 200 quante ce ne sono all'interno delle librerie che usano?)

Questa retorica un po' misera non ti condurrà da alcuna parte... è possibile scrivere codice sicuro al 100% (e per sicuro intendo che non sia sfruttabile da terzi, su un sistema inizialmente non compromesso, per eseguire codice con scopi diversi da quelli per i quali il software era stato progettato e più precisamente per scopi malevoli)? La risposta è: SI. E ti ho citato anche casi nei quali è *sicuramente* possibile e che tu ti sei ostinato a negare. Non sto parlando di probabilità ma di certezza assoluta (relativamente alla nostra realtà sensibile... altrimenti poi si finisce nella filosofia o nella meccanica quantistica). I computer funzionano in base a scienze esatte, in base alla fisica, elettronica etc. e affermare "nulla è sicuro" (nemmeno sommare valori contenuti in due registri della CPU) è pura fanta-informatica e pura retorica di bassa levatura.


Ha, per dovere di cronaca, sono anni (e parecchi) che fior di ricercatori tentano di trovare un modo per dimostrare formalmente la sicurezza di un sistema e non c'è ancora riuscito nessuno. Se sei così convinto di esserci riuscito esponi la tua soluzione.
Invece di parlare (come hai ampiamente fatto in questo thread) per "sentito dire", girando attorno ai discorsi in modo generico e superficiale, senza dati concreti etc. etc. inizia a linkare documenti a riguardo, i nomi di fior fior di ricercatori, su cosa si sono concentrate le loro ricerche, sui presupposti dai quali sono partiti etc. etc. insomma: impara a sostenere una conversazione seria.

Giusto per confermare che anche i programmi di sicurezza sono pieni di bug.
Notizia odierna su kaspersky.

http://secunia.com/advisories/24778/
Questo è indubbio... e questo non esclude alcun software "di una certa complessità", nemmeno quelli presenti su fantomatici firewall "hardware": sono software troppo complessi per poter immaginare che i loro autori non abbiano commesso alcun errore, anche se come già detto questo è possibile per software "semplici" a seconda delle capacità dello sviluppatore.

Giusto per confermare che anche i programmi di sicurezza sono pieni di bug.
Notizia odierna su kaspersky.

http://secunia.com/advisories/24778/

Eh già

Giusto per confermare che anche i programmi di sicurezza sono pieni di bug.
Notizia odierna su kaspersky.

http://secunia.com/advisories/24778/

patchato, cmq...:)

Solution:
Update to version 6.0.2.614 or later:
appunto, siamo alla 621... :D

Il mio intervento è cmq solo una precisazione...

patchato, cmq...:)

Solution:
Update to version 6.0.2.614 or later:
appunto, siamo alla 621... :D

Il mio intervento è cmq solo una precisazione...

ed io sorrido alla tua precisazione (:D)

Io ti ho detto che entrambi sono sicuri... tu hai tentato (ritornando poi sui tuoi passi per fortuna) che *nessuno dei due* era sicuro :D
io ho detto che non possiamo dimostrare FORMALMENTE la sicurezza al 100% di un hello world e su questo non faccio alcun passo indietro.

La risposta è: SI. E ti ho citato anche casi nei quali è *sicuramente* possibile e che tu ti sei ostinato a negare. Non sto parlando di probabilità ma di certezza assoluta (relativamente alla nostra realtà sensibile...
Per forza mi ostino, dici che è sicuramente possibile scrivere un programma semplice che fa solo quello per cui è stato progettato e che è esente da problemi di sicurezza con certezza assoluta... forse è possibile, ma non possiamo dimostrarlo, hai mai sentito parlare di indecidibilità e "halting problem" e del perchè la dimostrazione che tu dici di aver fatto è un problema indecidibile? (oltre ad altre considerazioni trattate nell'articolo linkato sotto)

Invece di parlare (come hai ampiamente fatto in questo thread) per "sentito dire", girando attorno ai discorsi in modo generico e superficiale, senza dati concreti etc. etc. inizia a linkare documenti a riguardo, i nomi di fior fior di ricercatori.

Al posto di insultarmi e trattarmi come un pirla (cosa che hai fatto dall'inizio sia con me che con qualsiasi altra persona che ha osato esporre idee diverse dalle tue) perchè non ti sei informato un minimo?

Ken Thompson spero tu sappia chi sia, non ha bisogno di molte presentazioni, ha scritto un articolo interessante che mette in discussione anche la sicurezza 100% del tuo hello world:
"Reflections on Trusting Trust"
Lo trovi da parecchie parti, ad esempio qui: http://www.acm.org/classics/sep95/

Per la storia dell'indecidibilità e dell'halting problem:
http://www.cs.utexas.edu/~ear/cs341/automatabook/

io ho detto che non possiamo dimostrare FORMALMENTE la sicurezza al 100% di un hello world e su questo non faccio alcun passo indietro.

Continui a ripetere "formalmente", "formalmente", "formalmente" etc. io ti dico che la sua dimostrabilità è un dato di fatto e ti ho anche esposto casi "semplici da comprendere" in cui lo è. Ma tu continui a rifugiarti dietro ai giri di parole e alla retorica del "formalmente" :rolleyes: "Formalmente" ha tanti significati in italiano... se mi dici cosa ti serve te lo dimostro anche in quel modo e vediamo se riusciamo a concludere il discorso :D


Per forza mi ostino, dici che è sicuramente possibile scrivere un programma semplice che fa solo quello per cui è stato progettato e che è esente da problemi di sicurezza con certezza assoluta... forse è possibile, ma non possiamo dimostrarlo, hai mai sentito parlare di indecidibilità e "halting problem" e del perchè la dimostrazione che tu dici di aver fatto è un problema indecidibile? (oltre ad altre considerazioni trattate nell'articolo linkato sotto)



Al posto di insultarmi e trattarmi come un pirla (cosa che hai fatto dall'inizio sia con me che con qualsiasi altra persona che ha osato esporre idee diverse dalle tue) perchè non ti sei informato un minimo?

Ken Thompson spero tu sappia chi sia, non ha bisogno di molte presentazioni, ha scritto un articolo interessante che mette in discussione anche la sicurezza 100% del tuo hello world:
"Reflections on Trusting Trust"
Lo trovi da parecchie parti, ad esempio qui: http://www.acm.org/classics/sep95/

Per la storia dell'indecidibilità e dell'halting problem:
http://www.cs.utexas.edu/~ear/cs341/automatabook/
L'hai finita di prendermi per i fondelli? Ti ho detto da *pagine* che dobbiamo partire da un sistema *non* compromesso (altrimenti il fulcro della conversazione perde totalmente di significato) e alla fine mi tiri fuori un paio di link dove si dice che "hello world non è sicuro perchè se comprometto il compilatore che compila quel codice posso fargli interpretare in modo strano il source": la scoperta dell'acqua calda. Secondo te perchè ti ho detto che si partiva da una situazione di non compromissione? Secondo te perchè via Internet OpenBSD (ad esempio) viene distribuito ufficialmente solo come source code e non come binario? Eddai...

Per formalmente intendo "matematicamente" dall'inizio alla fine. Intendo in particolare la questione trattata le secondo link: l'lindecidibilità dell'halting problem e le sue ripercussioni nella sicurezza informatica.
La tua "dimostrazione" non sta in piedi perchè non possiamo partire dal presupposto che il nostro sistema non è compromesso, che significa compromesso? Che è privo di bug? Non possiamo esserne sicuri al 100% (spero che per compromesso tu non intenda attaccato dall'esterno altrimenti la cosa diventa ridicola). Per questo ho tirato in ballo le librerie esterne e persino il compilatore che usiamo, ogni programma che scriviamo, per semplice che sia, deve utilizzare parti di codice scritto da altri di cui la sicurezza non è garantita 100%. In fondo è questo che dice Ken Thompson, che nessun nostro programma è completamente scritto da noi.
Solo che tu dall'alto del tuo trono non vuoi accettare idee diverse dalle tue, se alla prima lettura ti sembra qualcosa che contraddice quello che pensi lo liquidi come "la scoperta dell'acqua calda" o "concetti fumosi" invece di provare a capire che cosa significa, sentendoti "tirato per i fondelli"...
Quell'articolo dà parecchi spunti su cui riflettere se hai una mente aperta.

Aggià, dimenticavo che i sorgenti possono essere eseguiti senza essere compilati :rolleyes: ... Ma tu, una volta che scarichi i sorgenti cosa fai? Secondo te perchè Ken Thompson ha tirato in ballo i compilatori?

Per il secondo link invece niente da ridire? Le sue ripercussioni nell'ambiente "sicurezza informatica"? Se riesci a risolvere quel problema, allora avrai dimostrato formalmente che è possibile avere un sistema completamente sicuro. Fino ad allora, qualsiasi programma che noi utilizziamo deve "usare" un sistema operativo che non può garantirne la sicurezza.

Ora, se sei disposto a mettere in gioco le tue convinzioni bene, altrimenti è inutile continuare.

Per formalmente intendo "matematicamente" dall'inizio alla fine. Intendo in particolare la questione trattata le secondo link: l'lindecidibilità dell'halting problem e le sue ripercussioni nella sicurezza informatica.

Ebbene puoi farlo benissimo in quanto il funzionamento di un computer è regolato da leggi fisiche ben precise. L'halting problem ha ben poco a che fare con la nostra discussione... anzi ti consiglio di informarti maggiormente su cosa sia l'halting problem.


La tua "dimostrazione" non sta in piedi perchè non possiamo partire dal presupposto che il nostro sistema non è compromesso, che significa compromesso? Che è privo di bug? Non possiamo esserne sicuri al 100% (spero che per compromesso tu non intenda attaccato dall'esterno altrimenti la cosa diventa ridicola). Per questo ho tirato in ballo le librerie esterne e persino il compilatore che usiamo, ogni programma che scriviamo, per semplice che sia, deve utilizzare parti di codice scritto da altri di cui la sicurezza non è garantita 100%. In fondo è questo che dice Ken Thompson, che nessun nostro programma è completamente scritto da noi.
Solo che tu dall'alto del tuo trono non vuoi accettare idee diverse dalle tue, se alla prima lettura ti sembra qualcosa che contraddice quello che pensi lo liquidi come "la scoperta dell'acqua calda" o "concetti fumosi" invece di provare a capire che cosa significa, sentendoti "tirato per i fondelli"...
Quell'articolo dà parecchi spunti su cui riflettere se hai una mente aperta.

Allora se parti da questo presupposto tutta questa discussione è, come già detto, priva di significato. Il fatto è che questo l'avevo già chiarito pagine e pagine fa parlando chiaramente di "sistema inizialmente non compromesso". Non potevi fermarti subito invece di farmi perdere tempo con obiezioni assurde ed inutili? Di cosa stiamo parlando? Seguendo la tua linea di pensiero continuare a parlare di "firewall" o chissà cosa è assolutamente inutile, non saresti nemmeno dovuto intervenire in questo thread... anzi probabilmente non dovresti nemmeno intervenire in alcun thread poichè scadi nello scetticismo più bieco che ha a che fare con la filosofia più che con l'informatica. E se la realtà sensibile fosse solo un illusione? Suvvia... ti ho già chiesto di evitare di scadere in questa inutile retorica qualunquista. Qui stiamo parlando di informatica e non di filosofia, se vuoi parlare di filosofia questo non è il thread adatto.


Aggià, dimenticavo che i sorgenti possono essere eseguiti senza essere compilati :rolleyes: ... Ma tu, una volta che scarichi i sorgenti cosa fai? Secondo te perchè Ken Thompson ha tirato in ballo i compilatori?

Perchè secondo te i compilatori esistono per grazia divina? Anche i compilatori sono stati programmati a partire da un codice. Il codice sorgente di GCC (tanto per buttarla sul grezzo) esiste eccome.


Per il secondo link invece niente da ridire? Le sue ripercussioni nell'ambiente "sicurezza informatica"? Se riesci a risolvere quel problema, allora avrai dimostrato formalmente che è possibile avere un sistema completamente sicuro. Fino ad allora, qualsiasi programma che noi utilizziamo deve "usare" un sistema operativo che non può garantirne la sicurezza.

Il secondo è un link alla presentazione di un libro... non c'è scritto nulla di interessante. Credi di cavartela con uno stratagemma così patetico? Ti ho già detto: impara a discutere seriamente.


Ora, se sei disposto a mettere in gioco le tue convinzioni bene, altrimenti è inutile continuare.
In realtà mi sto chiedendo se ti sei reso conto dell'inettitudine delle tue tesi all'interno di questo thread che, come già detto, non è un thread sulla filosofia scetticista ma un thread di informatica.

L'halting problem ha ben poco a che fare con la nostra discussione... anzi ti consiglio di informarti maggiormente su cosa sia l'halting problem.

Eggià, non c'entra proprio nulla con la sicurezza informatica :rolleyes: Infatti viene usato per provare modelli tipo "HRU" e "Bell and LaPadula" che notoriamente servono per migliorare la raccolta di primule...
Comunque in qualcosa hai ragione, stiamo divagando troppo sulla teoria e siamo OT da troppo tempo (mi scuso con il forum per questo).

Tornando alla nostra situazione, io la vedo così:
Non posso fidarmi del mio sistema in quanto non è 100% sicuro, quindi mi attrezzo con le migliori soluzioni per impedire che eventuali attacchi riescano a sfruttare le falle presenti. So bene che a loro volta queste soluzioni possono contenere falle sfruttabili ma ritengo che siano comunque necessarie.
Siccome ritengo anche che attualmente i client usati dagli utenti siano il punto + debole della catena, faccio in modo di non installare solo sui client stessi queste soluzioni, per questo preferisco avere un firewall montato su una macchina di frontiera.
Siccome questo firewall è meno esposto di quello montato sul client (+ esposto ad attacchi diretti ma ritengo che siano i client i + a rischio attualmente), siccome un personal firewall non protegge certo il router, siccome questo firewall è in grado di gestire il traffico prima che questo arrivi al destinatario e siccome è una barriera (seppur piccola) che limita le possibilità d'azione di un client compromesso, ritengo che non sia ridondante con i personal firewall.

Il resto rientra in quello che ho detto parecchio fa:
io non ho convinto te e tu non hai convinto me.

Eggià, non c'entra proprio nulla con la sicurezza informatica :rolleyes: Infatti viene usato per provare modelli tipo "HRU" e "Bell and LaPadula" che notoriamente servono per migliorare la raccolta di primule...
Comunque in qualcosa hai ragione, stiamo divagando troppo sulla teoria e siamo OT da troppo tempo (mi scuso con il forum per questo).

Non mi risulta venga utilizzato per provare nulla di quello che hai detto... link? documenti? Su su...


Tornando alla nostra situazione, io la vedo così:
Non posso fidarmi del mio sistema in quanto non è 100% sicuro, quindi mi attrezzo con le migliori soluzioni per impedire che eventuali attacchi riescano a sfruttare le falle presenti. So bene che a loro volta queste soluzioni possono contenere falle sfruttabili ma ritengo che siano comunque necessarie.
Siccome ritengo anche che attualmente i client usati dagli utenti siano il punto + debole della catena, faccio in modo di non installare solo sui client stessi queste soluzioni, per questo preferisco avere un firewall montato su una macchina di frontiera.
Siccome questo firewall è meno esposto di quello montato sul client (+ esposto ad attacchi diretti ma ritengo che siano i client i + a rischio attualmente), siccome un personal firewall non protegge certo il router, siccome questo firewall è in grado di gestire il traffico prima che questo arrivi al destinatario e siccome è una barriera (seppur piccola) che limita le possibilità d'azione di un client compromesso, ritengo che non sia ridondante con i personal firewall.

Il dato di fatto è che tutto quello che può essere fatto da un firewall "hardware" può essere fatto anche da un firewall installato sui client (transparent firewalling a parte, per l'appunto) e questo conferma la mia tesi iniziale che, avendo funzionalità che si sovrappongono, utilizzarli entrambi è ridondante... non certo vietato, ma ridondante, soprattutto in una realtà in cui non disponiamo di una LAN di dimensioni rilevanti. La seconda tesi che è stata esposta (e che comunque non smentisce quella secondo la quale vi è ridondanza nelle funzionalità dei sistemi menzionati) è che comunque "è una frontiera di protezione in più": a questo proposito ritengo che l'utilizzo di un firewall "hardware" a monte possa in alcuni casi anche peggiorare la situazione (come già illustrato) nel caso venisse compromesso. Ritengo che si perda usabilità guadagnando ben poco in sicurezza e quindi peggiorando il rapporto usabilità/sicurezza. Ritengo che i client non siano un punto debole qualora dispongano di opportuni software di sicurezza e policy di sicurezza. Ritengo inoltre che la configurazione inizialmente suggerita possa essere ulteriormente ridondante in quanto un firewall "hardware" od un personal firewall possono già integrare funzionalità di IDS senza la necessità di installare nuovamente programmi quali Snort. Ritengo infine che, in una rete nella quale è previsto *anche* l'utilizzo di personal firewall per bloccare il traffico outcoming, l'eventuale "compromissione" di un personal firewall verrebbe ben poco arginata dalla presenza di un firewall "hardware" a monte.


Il resto rientra in quello che ho detto parecchio fa:
io non ho convinto te e tu non hai convinto me.
Amen... convincere le altre persone non è mai stata la mia massima aspirazione, alla fine ognuno penserà ai fatti suoi ;)

:O che noia.....

giusto per completezza aggiungo una serie di link come richiesto, scusate l'ulteriore OT.
Per il resto mi sembra inutile ripetere sempre entrambi le proprie ragioni.

http://www.cs.unibo.it/~babaoglu/courses/security/resources/documents/harrison-ruzzo-ullman.pdf
http://research.microsoft.com/Lampson/08-Protection/Acrobat.pdf

Da cui "derivano" una serie di altri articoli facilmente reperibili tramite una ricerca su qualsiasi motore di ricerca.

Ci son anche dei casi in cui la risposta al problema è decidibile:
http://crypto.stanford.edu/~ninghui/papers/analysis_oakland03.pdf
o la sicurezza del modello è formalmente dimostrata come nel modello "Bell LaPadula":
http://www.albany.edu/acc/courses/ia/classics/belllapadula1.pdf
http://csrc.nist.gov/publications/history/bell76.pdf
http://www.acsac.org/2005/papers/Bell.pdf
Che comunque non è privo di problemi tipo covert-channel, oltre che a quanto riportato da McLean in (anche se molto discusso):
http://chacs.nrl.navy.mil/publications/CHACS/Before1990/1985mclean-ipl.pdf

Peccato che nessun sistema operativo tra quelli presi in considerazione segue quei modelli e anche se fosse sarebbe inutile visto che la confidenzialità non è il nostro + gran problema. (correggetemi se sbaglio, l'unico penso sia multics che infatti è classificato B2)

Su carta consiglio un ottimo libro:
"Computer security - Art and Science" di Matt Bishop, Addison-Wesley

Ora, spero non vengano considerati pure questi come "la scoperta dell'acqua calda".

giusto per completezza aggiungo una serie di link come richiesto, scusate l'ulteriore OT.
Per il resto mi sembra inutile ripetere sempre entrambi le proprie ragioni.

http://www.cs.unibo.it/~babaoglu/courses/security/resources/documents/harrison-ruzzo-ullman.pdf
http://research.microsoft.com/Lampson/08-Protection/Acrobat.pdf

Da cui "derivano" una serie di altri articoli facilmente reperibili tramite una ricerca su qualsiasi motore di ricerca.

Ci son anche dei casi in cui la risposta al problema è decidibile:
http://crypto.stanford.edu/~ninghui/papers/analysis_oakland03.pdf
o la sicurezza del modello è formalmente dimostrata come nel modello "Bell LaPadula":
http://www.albany.edu/acc/courses/ia/classics/belllapadula1.pdf
http://csrc.nist.gov/publications/history/bell76.pdf
http://www.acsac.org/2005/papers/Bell.pdf
Che comunque non è privo di problemi tipo covert-channel, oltre che a quanto riportato da McLean in (anche se molto discusso):
http://chacs.nrl.navy.mil/publications/CHACS/Before1990/1985mclean-ipl.pdf

Peccato che nessun sistema operativo tra quelli presi in considerazione segue quei modelli e anche se fosse sarebbe inutile visto che la confidenzialità non è il nostro + gran problema. (correggetemi se sbaglio, l'unico penso sia multics che infatti è classificato B2)

Su carta consiglio un ottimo libro:
"Computer security - Art and Science" di Matt Bishop, Addison-Wesley

Ora, spero non vengano considerati pure questi come "la scoperta dell'acqua calda".

Ripeto: non stiamo facendo "filosofia dell'elaboratore".

Risolvendo il problema del "mio software" come hai fatto tu si può spostare il problema sulle librerie o sul sistema operativo, risolvendo eventualmente anche quelli puoi spostarli sulla bontà di come è stato costruito l'elaboratore o poi sulla bontà di chi ha fornito le "materie prime" (silicio etc.) poi risolvendo anche quello possiamo spostarlo sul fatto che la realtà percepita dall'essere umano sia solo illusoria etc. etc. etc. e quindi sfociare nello scetticismo filosofico in cui non possiamo appurare la verità... ma come sappiamo tu stesso sei potenzialmente un essere appartente a questa realtà illusoria e quindi le tue stesse affermazioni non sarebbe in realtà appurabili etc etc. come già detto questa è filosofia.

Se vuoi intrattere una discussione seria su un argomento concreto devi stabilire dei punti saldi ed il punto saldo che avevo stabilito io (pagine e pagine fa!) era che il sistema non fosse inizialmente compromesso, altrimenti come già detto l'intera discussione perde di significato. Spero questa volta di essere stato sufficientemente chiaro.

Chiarissimo :muro:
Riporgo le mie scuse per l'immane OT al resto del forum.