Budget illimitato per la sicurezza!

Quote:

Originariamente inviato da ekerazha

OT: scrivendo dal cell ci sono problemi col quoting, quindi rispondo a tutti stasera da casa altrimenti non si capisce nulla

OT: Ok ho sistemato un po' la risposta a lucas84, ora rispondo agli altri.

Quote:

Originariamente inviato da W.S.

P.S.: la soluzione router/firewall/Nids/Personal firewall/Antivirus/Antispy/Anti* mi sembra ottima, non è ridondante, ogni segmento ha funzioni diverse. (firewall e personal firewall possono essere impiegati per coprire segmenti diversi che uno solo di loro non potrebbe trattare esausivamente)

Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.

Come già detto un firewall "hardware" (tra l'altro senza particolari funzionalità di routing visto che si è parlato di associarlo ad un router) non è altro che un normalissimo "software" installato su una macchina dedicata. Questo può essere comodo se ad esempio disponiamo di una vasta LAN da proteggere, ma a livello di sicurezza non fa nulla che non possa fare un firewall installato sulla propria macchina. Forse l'unica eccezione è se vogliamo settare un "transparent firewall" (come ho fatto io su una mia macchina OpenBSD), ma l'incremento del livello di sicurezza è davvero relativo ed il gioco non vale la candela.

Vorrei inoltre sottolineare come l'autore del thread abbia parlato di "software" e non abbia menzionato l'acquisto di apparati hardware.

Quote:

Originariamente inviato da ThE_RaV[3]N

Be insomma, forse perchè non hai mai provato a implementare un firewall hardware visto che ormai molti fanno certe cose sopraffine e sublimi anche a livello di pacchetti.....

E secondo te queste cose le fa il software installato (su quell'hardware) o le fa l'hardware? Tutto quello che puoi fare su una macchina dedicata lo puoi fare come già detto anche sul tuo sistema con il relativo software... forse con l'unica eccezione, come già detto, del "transparent firewalling" che ho appena menzionato, poichè si utilizza una macchina alla quale non viene assegnato un proprio indirizzo IP ma la si usa come una sorta di filtro "fisico" sul cavo di rete. La differenza sostanziale sta come già detto nella possibilità di avere un firewall "centralizzato" in una LAN, ma non perchè questo comporti particolari incrementi a livello di sicurezza.

Al limite un vantaggio potrebbe esservi se tale sistema dovesse ospitare qualche particolare server, poichè l'eventuale violazione di questo server sfruttando una qualche vulnerabilità del relativo daemon, diminuirebbe il rischio di poter compromettere anche il firewall... ma questo potrebbe anche non essere necessario se usassimo particolari accorgimenti (es. in Solaris le "zones") creando aree "isolate" all'interno del sistema. Comunque forse mi sto spingendo troppo oltre... l'autore del thread non ha menzionato ne' server ne' sistemi operativi come Solaris.

[W.S.]

Quote:

Originariamente inviato da ekerazha

Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.

Se secondo te la differenza tra firewall e personal firewall è una divagazione fumosa...

Un personal firewall ha la capacità (ad esempio) di controllare quali applicazioni e quali librerie stanno tentando di instaurare una connessione, cosa che un firewall installato su una macchina di frontiera (magari dedicata come un router) non può fare visto che queste info non son contenute nei livelli 2-3-4.
D'altro canto il firewall ha (sempre ad esempio) il compito di separare fisicamente le macchine (sia tra quelle interne che tra interno e esterno) e non rischia di essere messo fuori uso dal primo attacco web client-side portato a termine grazie all'ultimo bug del nostro bellissimo browser visto che è su un'altra macchina.
Questi ti sembrano casi abbastanza concreti?

Tu stesso dici che può essere utile per proteggere una vasta LAN, perchè in una piccola non dovrebbe aiutare?

Dove si parla di apparati hardware? (ok, un router con firewall integrato ma non mi sembra ste gran acquisto)

[ThE_RaV[3]N]

Quote:

Originariamente inviato da ekerazha

E secondo te queste cose le fa il software installato (su quell'hardware) o le fa l'hardware? Tutto quello che puoi fare su una macchina dedicata lo puoi fare come già detto anche sul tuo sistema con il relativo software... forse con l'unica eccezione, come già detto, del "transparent firewalling" che ho appena menzionato, poichè si utilizza una macchina alla quale non viene assegnato un proprio indirizzo IP ma la si usa come una sorta di filtro "fisico" sul cavo di rete. La differenza sostanziale sta come già detto nella possibilità di avere un firewall "centralizzato" in una LAN, ma non perchè questo comporti particolari incrementi a livello di sicurezza.

Al limite un vantaggio potrebbe esservi se tale sistema dovesse ospitare qualche particolare server, poichè l'eventuale violazione di questo server sfruttando una qualche vulnerabilità del relativo daemon, diminuirebbe il rischio di poter compromettere anche il firewall... ma questo potrebbe anche non essere necessario se usassimo particolari accorgimenti (es. in Solaris le "zones") creando aree "isolate" all'interno del sistema. Comunque forse mi sto spingendo troppo oltre... l'autore del thread non ha menzionato ne' server ne' sistemi operativi come Solaris.

...Visto che mi sembri tanto preparato in materia che ne dici di un proxy trasparente? E' una cosa che puoi fare anche a livello software sul client?

[ThE_RaV[3]N]

Quote:

Originariamente inviato da W.S.

Se secondo te la differenza tra firewall e personal firewall è una divagazione fumosa...

Un personal firewall ha la capacità (ad esempio) di controllare quali applicazioni e quali librerie stanno tentando di instaurare una connessione, cosa che un firewall installato su una macchina di frontiera (magari dedicata come un router) non può fare visto che queste info non son contenute nei livelli 2-3-4.
D'altro canto il firewall ha (sempre ad esempio) il compito di separare fisicamente le macchine (sia tra quelle interne che tra interno e esterno) e non rischia di essere messo fuori uso dal primo attacco web client-side portato a termine grazie all'ultimo bug del nostro bellissimo browser visto che è su un'altra macchina.
Questi ti sembrano casi abbastanza concreti?

Tu stesso dici che può essere utile per proteggere una vasta LAN, perchè in una piccola non dovrebbe aiutare?

Dove si parla di apparati hardware? (ok, un router con firewall integrato ma non mi sembra ste gran acquisto)

Quoto....Grande collega!!

[lucas84]

ekerazha hai ragione, io non mi informo e di conseguenza non so niente, per quello che riguarda i malware che terminano gli av, l' "ultima" variante del bagle con funzione di rookit ha spento kaspersky tranquillamente anche con il pdm attivo, ma, certe cose dovete provarle per credere

Ciao

[ThE_RaV[3]N]

Quote:

Originariamente inviato da ekerazha

Ad esempio? Suvvia cerchiamo di discutere su casi concreti e di non riempirci la bocca con fuffa e divagazioni fumose.

Come già detto un firewall "hardware" (tra l'altro senza particolari funzionalità di routing visto che si è parlato di associarlo ad un router) non è altro che un normalissimo "software" installato su una macchina dedicata. Questo può essere comodo se ad esempio disponiamo di una vasta LAN da proteggere, ma a livello di sicurezza non fa nulla che non possa fare un firewall installato sulla propria macchina.

Se tu pensi che un firewall hardware faccia quello che fa un firewall software ti sbagli benissimo; e ora dubito molto sui tuoi concetti di routing e di firewalling che possiedi. Al di là di questo, se affermi di avere OpenBSD come firewall, direi che hai una visione grossolana del mondo del firewalling e ti consiglio di rivedere alcuni concetti fondamentali della base dei SO prima di affermare certe cose....

Quote:

Originariamente inviato da W.S.

Se secondo te la differenza tra firewall e personal firewall è una divagazione fumosa...

Un personal firewall ha la capacità (ad esempio) di controllare quali applicazioni e quali librerie stanno tentando di instaurare una connessione, cosa che un firewall installato su una macchina di frontiera (magari dedicata come un router) non può fare visto che queste info non son contenute nei livelli 2-3-4.

Vero... infatti ho consigliato un "personal firewall".

Quote:

D'altro canto il firewall ha (sempre ad esempio) il compito di separare fisicamente le macchine (sia tra quelle interne che tra interno e esterno) e non rischia di essere messo fuori uso dal primo attacco web client-side portato a termine grazie all'ultimo bug del nostro bellissimo browser visto che è su un'altra macchina.
Questi ti sembrano casi abbastanza concreti?

I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).

Quote:

Tu stesso dici che può essere utile per proteggere una vasta LAN, perchè in una piccola non dovrebbe aiutare?

Perchè è una questione più di comodità che di sicurezza (per i motivi già illustrati nei casi già illustrati) in una piccola LAN (3-4 PC?) di pc personali puoi anche limitarti ad installare un personal firewall su ogni macchina. Su una LAN di 200 PC la cosa sarebbe già più complicata da gestire. In questi casi più che un personal firewall si abbina un firewall "centralizzato" ad altre policy di sicurezza (es. si utilizzano account limitati etc.) cosa che in genere è di routine nelle realtà aziendali con decine/centinaia di client.

Quote:

Dove si parla di apparati hardware? (ok, un router con firewall integrato ma non mi sembra ste gran acquisto)

???

Quote:

Originariamente inviato da ThE_RaV[3]N

...Visto che mi sembri tanto preparato in materia che ne dici di un proxy trasparente? E' una cosa che puoi fare anche a livello software sul client?

Possiamo anche parlarne ma che c'entra con questa discussione?

[ThE_RaV[3]N]

Quote:

Originariamente inviato da ekerazha

Vero... infatti ho consigliato un "personal firewall".


I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).


Perchè è una questione più di comodità che di sicurezza (per i motivi già illustrati nei casi già illustrati) in una piccola LAN (3-4 PC?) di pc personali puoi anche limitarti ad installare un personal firewall su ogni macchina. Su una LAN di 200 PC la cosa sarebbe già più complicata da gestire. In questi casi più che un personal firewall si abbina un firewall "centralizzato" ad altre policy di sicurezza (es. si utilizzano account limitati etc.) cosa che in genere è di routine nelle realtà aziendali con decine/centinaia di client.


???

Forse cè qualcosa che non è chiaro......Secondo me sei abbastanza OT

[ThE_RaV[3]N]

Quote:

Originariamente inviato da ekerazha

Possiamo anche parlarne ma che c'entra con questa discussione?

Centra con il tuo discorso sul fatto che quello che fa un firewall hadrware lo fa anche uno software...
Quindi penso che o il tuo OpenBSD è messo uno specchietto per le allodole, oppure non sai cosa dici proprio .
Questo è il mio parere perchè molto spesso un firewall hardware centralizzato funge anche da proxy, oppure è abbinato ad una macchina che svolga solo questo compito e proprio per dterminati motivi che contraddicono le tue tesi(anch'io ho un FW HD a casa, e me lo sono fatto io con santa pazienza perchè sono paranoico per queste cose ).
Ti sembra che presso il client-side si possano fare cose come si possono fare attraverso un firewall/transparent proxy?

Riflettici un attimo e pensa a cosa si può realmente fare con un firewall hardware(se conosci molto bene questo mondo come dici); altrimenti prova a guardarti attorno a 360 gradi e cercare di vedere cose strabilianti che si fanno in questo ramo sistemistico.

In aggiunta a questo, penso che anche i tuoi concetti di SO siano un pò contorti perchè se mi definisci(non esplicitamente per fortuna) un daemon come un programma di firewall software sullo stesso livello allora qualcosa è contorto secondo me.

Concludo dicendo che non sia molto corretta l'affermazione che i nuovi firewall software non si facciano bloccare facilmente; perchè ricordo che fino a due anni fa il famoso vsmon.exe di ZA era bacatissimo, ricordandoti che molti firewall software vengono gabbati proprio attraverso lo scripting host che passa da browser proprio su client-side.....non ti dice nulla il comando runas con il quale hanno gabbato ZA per molto tempo??

Quote:

Originariamente inviato da lucas84

ekerazha hai ragione, io non mi informo e di conseguenza non so niente, per quello che riguarda i malware che terminano gli av, l' "ultima" variante del bagle con funzione di rookit ha spento kaspersky tranquillamente anche con il pdm attivo, ma, certe cose dovete provarle per credere

Ciao

Ho cercato notizie a riguardo ma non ho trovato nulla

Comunque senza andare tanto lontani, la maggior parte dei nuovi virus (Beagle e non) non viene riconosciuta dagli antivirus: è per questo che esistono gli aggiornamenti. Se ricevo un nuovo virus e va in esecuzione (Beagle o non) e l'antivirus non lo riconosce, allora può compromettere il sistema. Quando poi l'antivirus verrà aggiornato, riconoscerà Beagle, la sua variante e Pinco Pallino.

Comunque per dovere di cronaca, "Comodo Firewall" che hai consigliato è tranquillamente bypassabile attraverso alcuni bug ben noti.



P.S. Ma non dovevi chiudere?

Quote:

Originariamente inviato da ThE_RaV[3]N

Se tu pensi che un firewall hardware faccia quello che fa un firewall software ti sbagli benissimo; e ora dubito molto sui tuoi concetti di routing e di firewalling che possiedi. Al di là di questo, se affermi di avere OpenBSD come firewall, direi che hai una visione grossolana del mondo del firewalling e ti consiglio di rivedere alcuni concetti fondamentali della base dei SO prima di affermare certe cose....

Come già detto... oltre a frasette del tipo "io dubito questo e quello" "tu non sai questo e quello" etc. hai anche qualcosa di concreto da dire e sul quale possiamo discutere? Sono pronto a rispondere ad ogni tua obiezione seria e non temo smentite...

[W.S.]

Quote:

Originariamente inviato da ekerazha

I migliori "personal firewall", come quello che ho consigliato, integrano appositamente tecnologie fatte per evitare di essere messi fuori uso (non possono essere killati, alterati, etc.).

Sappiamo entrambi che può non essere abbastanza e che qualsiasi soluzione può essere aggirata.

Quote:

Originariamente inviato da ekerazha

Perchè è una questione più di comodità che di sicurezza (per i motivi già illustrati nei casi già illustrati) in una piccola LAN (3-4 PC?) di pc personali puoi anche limitarti ad installare un personal firewall su ogni macchina.

Certo, su reti vaste l'utilità è sicuramente maggiore. Cmq, a mio parere, è meglio avere un firewall anche su reti piccole, principalmente per il motivo detto sopra. Poi il fatto di segare il traffico indesiderato ancora prima che arrivi nella LAN mi da una sicurezza maggiore ad un prezzo ridicolo. Ok, se tutte le macchine interne avessero un personal firewall inattaccabile il discorso cambierebbe (bhe, io la mia rete interna la vorrei comunque + pulita possibile), ma 1) un sw del genere non esiste 2) anche se esistesse, c'è sempre il rischio che un utente lo disabiliti seguendo il suggerimento di qualche mail di spam.

Quote:

Originariamente inviato da ekerazha

???

tu hai scritto

Quote:

Originariamente inviato da ekerazha

Vorrei inoltre sottolineare come l'autore del thread abbia parlato di "software" e non abbia menzionato l'acquisto di apparati hardware.

e io ho chiesto quali sarebbero questi apparati hardware visto che l'acquisto di un router con firewall integrato non mi pare ste gran spesa.
Ma tanto abbiamo budget illimitato

Quote:

Originariamente inviato da ThE_RaV[3]N

Centra con il tuo discorso sul fatto che quello che fa un firewall hadrware lo fa anche uno software...
Quindi penso che o il tuo OpenBSD è messo uno specchietto per le allodole, oppure non sai cosa dici proprio .

Vedi la parte sui "discorsi concreti"

Quote:

Questo è il mio parere perchè molto spesso un firewall hardware centralizzato funge anche da proxy, oppure è abbinato ad una macchina che svolga solo questo compito e proprio per dterminati motivi che contraddicono le tue tesi(anch'io ho un FW HD a casa, e me lo sono fatto io con santa pazienza perchè sono paranoico per queste cose ).
Ti sembra che presso il client-side si possano fare cose come si possono fare attraverso un firewall/transparent proxy?

Un transparent proxy che funzioni di sicurezza svolgerebbe?

Quote:

Riflettici un attimo e pensa a cosa si può realmente fare con un firewall hardware(se conosci molto bene questo mondo come dici); altrimenti prova a guardarti attorno a 360 gradi e cercare di vedere cose strabilianti che si fanno in questo ramo sistemistico.

Io non ho detto un bel niente... io espongo fatti concreti e come già detto attendo discussioni su "dati di fatto" e non divagazioni superficiali e ultra-generalizzate. Su su citami qualcosa di concreto per la quale mi serve per forza un firewall "hardware" dedicato (transparent firewall a parte del quale mi sono già preventivamente occupato).

Quote:

In aggiunta a questo, penso che anche i tuoi concetti di SO siano un pò contorti perchè se mi definisci(non esplicitamente per fortuna) un daemon come un programma di firewall software sullo stesso livello allora qualcosa è contorto secondo me.

Eh??? ma che stai dicendo? Riformula la frase perchè non si capisce cosa vuoi dire (o almeno io non ho capito).

Quote:

Concludo dicendo che non sia molto corretta l'affermazione che i nuovi firewall software non si facciano bloccare facilmente; perchè ricordo che fino a due anni fa il famoso vsmon.exe di ZA era bacatissimo, ricordandoti che molti firewall software vengono gabbati proprio attraverso lo scripting host che passa da browser proprio su client-side.....non ti dice nulla il comando runas con il quale hanno gabbato ZA per molto tempo??

Scegliere soluzioni software appropriate è fondamentale. Personalmente non ho mai consigliato ZoneAlarm oppure se sono consapevole che il mio software ha dei limiti corro ai ripari (es. utilizzo un account limitato). Credi che il software solitamente utilizzato sui sistemi firewall dedicati non abbia vulnerabilità? Credi ad esempio che iptables (per citarne uno) sia perfetto? Suvvia...

Quote:

Originariamente inviato da W.S.

Sappiamo entrambi che può non essere abbastanza e che qualsiasi soluzione può essere aggirata.

Evitiamo di cercare vanamente l'iperuranio in terra e guardiamo alla sostanza: attualmente non ci sono metodi noti (ma se ne trovi fammi sapere ) per terminare l'ultima versione di KIS/KAV. Inoltre dai un'occhiata qua: http://www.firewallleaktester.com/te...n_overview.php

Quote:

Certo, su reti vaste l'utilità è sicuramente maggiore. Cmq, a mio parere, è meglio avere un firewall anche su reti piccole, principalmente per il motivo detto sopra. Poi il fatto di segare il traffico indesiderato ancora prima che arrivi nella LAN mi da una sicurezza maggiore ad un prezzo ridicolo. Ok, se tutte le macchine interne avessero un personal firewall inattaccabile il discorso cambierebbe (bhe, io la mia rete interna la vorrei comunque + pulita possibile), ma 1) un sw del genere non esiste 2) anche se esistesse, c'è sempre il rischio che un utente lo disabiliti seguendo il suggerimento di qualche mail di spam.

Come già detto... credi che il software degli apparati hardware sia infallibile? Anzi... sugli apparati meno costosi gli aggiornamenti al firmware sono tutt'altro che giornalieri, quindi il rischio potrebbe essere addirittura maggiore. Il fatto di "segare il traffico indesiderato ancora prima che arrivi nella LAN" evidenzia una visione un po' "fantasy" dell'informatica che non ha molti riscontri a livello tecnico: se rifiuto un pacchetto lo rifiuto e basta, non ha molta importanza "prima o dopo". Per il resto vedi mie risposte precedenti (eventuale utilizzo dei permessi, soluzioni "attuabili" per la terminazione del software etc.).

Quote:

tu hai scritto
e io ho chiesto quali sarebbero questi apparati hardware visto che l'acquisto di un router con firewall integrato non mi pare ste gran spesa.
Ma tanto abbiamo budget illimitato

Non hai capito... rileggi la mia frase... io ho detto che l'autore del thread ha chiesto informazioni relativamente a software e non relativamente ad apparati hardware, quindi consigliare apparati hardware (firewall "hardware" etc.) non era proprio "on-topic". Ma magari l'autore del thread potrebbe illuminarci a riguardo con altre precisazioni...

[lucas84]

Quote:

Originariamente inviato da ekerazha

Ho cercato notizie a riguardo ma non ho trovato nulla

Comunque senza andare tanto lontani, la maggior parte dei nuovi virus (Beagle e non) non viene riconosciuta dagli antivirus: è per questo che esistono gli aggiornamenti. Se ricevo un nuovo virus e va in esecuzione (Beagle o non) e l'antivirus non lo riconosce, allora può compromettere il sistema. Quando poi l'antivirus verrà aggiornato, riconoscerà Beagle, la sua variante e Pinco Pallino.

Comunque per dovere di cronaca, "Comodo Firewall" che hai consigliato è tranquillamente bypassabile attraverso alcuni bug ben noti.



P.S. Ma non dovevi chiudere?

Se lo dici tu, si comodo ha dei bugs corretti come li ha kaspersky che poi ha coretto, studi ingegneria informatica e non sai che i sotware possono essere affetti da bugs?mha, si chiudo

Ciao

Toh vi allego anche una immagine del mio transparent firewall OpenBSD just for fun (dopo un riavvio... se guardate bene c'è la richiesta di login).

Quote:

Originariamente inviato da lucas84

Se lo dici tu, si comodo ha dei bugs corretti come li ha kaspersky che poi ha coretto, studi ingegneria informatica e non sai che i sotware possono essere affetti da bugs?mha, si chiudo

Ciao

Ti faccio notare che sei stato tu a venirmi a dire che Kaspersky avrebbe avuto un bug che una presunta variante di Beagle sfruttava per terminarlo... e proprio io ti ho fatto notare che anche Comodo ha bug (e quelli noti non sono stati tutti corretti tra l'altro ). Forse sei stato tu a scordarti che tutti i software (non banali... un Hello World può anche non avere bug ) hanno bug quando sei venuto a farmi i conti su quelli presunti di Kaspersky e "dimenticandoti" quelli di Comodo