Microsoft: "L'inefficienza dei firewall attuali"

[Heretic]

cmq raga xkè dovete sempre "litigare" non è costruttivo!
cmq ok ognuno faccia ovviamente tutto quello ke vuole

[devinfriday]

Quello che ha detto quelle frasi è solo un commerciale di Micro$oft, è ovvio che tenti di tirare acqua al suo mulino dicendo che il nuovo ISA è + potente di Checkpoint FW1 blah blah blah. Tutto il discorso sui fw è proprio scontato, la scoperta dell'acqua calda . Poteva trovare argomentazioni + convincenti, l'allusione ad arcaida fa molto politically (in)correct.

[stefanotv]

x devinfriday

il problema è uno,
nella stramaggioranza dei casi in questi briefing ci trovi supercapoccioni in giacca e cravatta che manco sanno di cosa si parla,
sono i responsabili per la sicurezza delle grandi aziende e non sanno manco cos'è un firewall, ids, .....
con questi tizi o vai di metafore tipo questa o è come parlare a un sasso.

[Kars]

Quote:

Originariamente inviato da Banus
All'università non hanno mai smesso di ripetere che il firewall deve essere l'unico punto di accesso in una rete correttemente configurata...

...va bene, poi ci sono le backdoor

Non e' questo il punto esistono gli exploit , i bug , i virus, le backdoor ..... La sicurezza in rete e' una pia illusione, e' ovvio che cmq una rete strutturata in una certa maniera evita parrecchie magagne.

[Zerk]

I LOVE BIL
Non vedo l'ora di mettere le mani su questi bei programmini, sono stufo di eliminare virus dai pc dei clienti, gli installo un bel firawallino decente (speriamo che non costi troppo) poi gli dico che è di Microsoft e son tutti felici e contenti!!

[afterburner]

Quote:

Originariamente inviato da poio
Come dici? Non vedi questa grande vulnerabilità?
Ma ti ricordi i vari Nimda e Code Red?
Quanti disastri hanno combinato in giro per il mondo?

Parecchi ...

Quote:

Secondo la tua stima (l'hai letto su Vanity Fair?) solo l'1% degli utenti Windows doveva essere vulnerabile a questo tipo di attacco, il che mi sembra leggermente ottimistico visti i danni che si sono verificati!

Leggo solo Famiglia Cristiana

Quote:

Ti ricordo infatti che il server web compromesso da uno solo di questi due bastardi era a sua volta in grado di compromettere tutti i browser IE non adeguatamente patchati che gli si collegavano!

Primo: Meno dell'1% di tutte le installzioni windows sono quelli che usano anche il webserver IIS e penso la statistica sia giusta.
Secondo: Se comprometti IIS e da questo riesci ad infettare tutti i client IExplorer che gli si collegano allora ovviamente la percentuale aumenta di parecchio.
Ma con tutto questo discorso, cosa c'entra il povero firewall?? Sono vulnerabilita' del webserver e del browser .. Vuoi avere un sito web? Devi lasciare che la gente entri nella tua porta 80. Punto.
Terzo: Per me e' molto piu' importante proteggere altre porte tipo RPC e Netbios il cui servizio e' attivo da subito su ogni installazione windows e che ad esempio sono sfruttate dal blaster. Trovarsi una macchina infettata appena entri in rete per fare un windowsUpdate 2 minuti dopo averla installata non piace a nessuno

Quote:

Infine concludo segnalandoti giusto quella vagonata di Trojans che l'utonto medio è in grado di installarsi perfettamente (al contrario delle patch che invece gli appaiono inutili e prive di significato pertanto non degne di essere installate nel suo PC nuovo di pacca appena acquistato nel supermarket sotto casa) e che si mettono in ascolto proprio sulla porta 80: Seven Eleven, AckCmd, Back End, Back Orifice, CGI Backdoor, Executor, God Message, Hooker, IISworm, Noob, Ramen, Reverse WWW Tunnel Backdoor e WebDownloader per citarne alcuni...

Perfettamente d'accordo ... l'utente medio ha un webserver? no. Allora chiude la porta 80 del firewall cosi' anche se si infetta con subseven o altri, da fuori nessuno gli si connette. Appro .. ma sta lista l'hai trovata su GQ?

[Banus]

Quote:

Originariamente inviato da Kars
esistono gli exploit , i bug , i virus

Il traffico di un eventuale attacco passa comunque per il firewall
E' questa la precisazione che avevo fatto

D'altra parte non so immaginare un firewall che impedisca gli exploit, o i bug (lo stesso firewall può avere bug, software o hardware...).

[jappilas]

Quote:

Originariamente inviato da HexDEF6
vieni a Trento e vedrai che la rete universitaria e' un buco!

e sapete di chie e' la colpa?

microsoft? no!
linux/unix? no!
amministratore di rete scarso? no (forse un po')!
ma di una miriade di utenti (fra cui anche docenti di informatica) che si sono incazzati quando (ancora anni fa) l'amministratore ha tolto tutti i servizi in chiaro (telnet, ftp, pop ecc.) OBBLIGANDOLO a rimettere tutto di nuovo

FURRRRBIII...

Quote:

Basta avere un pc collegato in rete e usare ettercap e nel giro di un'ora hai abbastanza password per fare di tutto.. (e finche' gli aministratori delle sottoreti locali usano come pass il nome della morosa con l'anno di nascita siamo messi proprio male )

Ciao!

..scusami sto ridendo per non piangere (meno male che poi ci si lamenta che le reti no nsono sicure, che gli admin non fanno il loro dovere, che i worm girano tranquilli e beati...)

[HexDEF6]

Quote:

Originariamente inviato da jappilas
FURRRRBIII...


..scusami sto ridendo per non piangere (meno male che poi ci si lamenta che le reti no nsono sicure, che gli admin non fanno il loro dovere, che i worm girano tranquilli e beati...)

pensa che ormai viene considerato "normale" avere in un mese un paio di macchine "zombizzate" che fanno da server irc (o altro)....
ci sono ancora in giro macchine con vecchi sistemi operativi che hanno bachi notissimi (oltre che a degli script preconfezionati per sfruttarli) ma non vengono sostituite o aggiornate perche' questo comporterebbe all'utilizzatore finale dover imparare qualcosa di nuovo...

Come sempre, il problema piu' grosso in fatto di sicurezza non sono i s.o. o le configurazioni dei firewall ecc. ma sempre certi tipi di utenti

Figurati che in un posto dove ho lavorato volevano che togliessi la password di accesso da remoto (di un ssh)... del resto loro via ssh accedevano "solamente" al programma che usavano (un ufficio di commercialisti... praticamente tutti dati sensibili)... finche' gli utenti hanno paura di ricordarsi una password andiamo decisamente male

Ciao!

[t0mcat]

tralasciando il flame e tornando in topic, i firewall SPI sono fatti apposta per filtrare i pacchetti in base al loro contenuto; trovo quindi le affermazioni e gli esempi a prova di beota fatti dal tizio totalmente fuori luogo.

d'altro canto, per i più paranoici, mettere su un 486 dedicato a far girare un iptables qualunque non è nemmeno tanto difficile, per non parlare delle "firewall distro" di linux tipo ipcop, che sono veramente facili e se usate a dovere permettono un livello di sicurezza per niente scherzoso.

imo ms fa sempre annunci che lasciano intendere che non vi siano mai alternative a ciò che propongono loro...

[afterburner]

Quote:

Originariamente inviato da HexDEF6
Come sempre, il problema piu' grosso in fatto di sicurezza non sono i s.o. o le configurazioni dei firewall ecc. ma sempre certi tipi di utenti

Quoto, straquoto, iperquoto

Quote:

Figurati che in un posto dove ho lavorato volevano che togliessi la password di accesso da remoto (di un ssh)... del resto loro via ssh accedevano "solamente" al programma che usavano (un ufficio di commercialisti... praticamente tutti dati sensibili)... finche' gli utenti hanno paura di ricordarsi una password andiamo decisamente male

Se l'accesso avveniva via ssh (grande ssh!) io gli avrei attivato la public-key authentication .. e' praticamente un'autologin che utilizza un sistema di autenticazione asimmetrico ossia niente password che passano: anche se passano criptate c'e' sempre qualche buontempone che se le intercetta ci prova un brute force ...

[Kars]

I punti cardinali sono il webserver et simila , se tu hai apache sul webserver io posso sfruttare una falla, se hai iis ne posso sfruttare un'altra, il firewall non se ne accorge nemmeno. Altra cosa se ho accesso all'email di qualcuno posso mandare trojan , keylogger e quant'altro, il discorso e' ampio, non a caso esistono anche le active directory , i domini, le connessioni "sicure" etc. etc.

[gem83]

Quote:

Originariamente inviato da B|4KWH|T3

PS: pretendo delle scuse.

Ma chi sei per pretendere da me?
Io le scuse non te le faccio perché sarebbe come abbassarti al tuo livello.
Studia, non sai neanche di cosa stai parlando, renditene almeno conto.

[gem83]

Comunque, dove lavoro io la sicurezza è strutturata così:

1) firewall con iptables con snort su Pentium MMX 233 (!!) con redirezione NAT e PAT
2) Reverse Proxy per il sito internet e la posta
3) posta in DMZ
4) SUSAdmin per tenere aggiornate tutte le macchine
5) Due antivirus HTTP, due antivirus sul server di posta, archivi removibili disabilitati per i PC degli utenti senza antivirus locale, con un boost di prestazioni veramente notevole; più qualche torretta di CD, DVD e floppy per gli utenti che ne necessitano con antivirus locale
5) i server sono linux per quanto riguarda sito internet (apache2), posta (postfix), proxy (squid), ed internamente due PDC NT4 (con 2 BDC ciascuno) con due domini trusted

[B|4KWH|T3]

Quote:

Trovarsi una macchina infettata appena entri in rete per fare un windowsUpdate 2 minuti dopo averla installata non piace a nessuno

Scusate ma solo io ho installato e patchato windows XP partendo da zero e tenendo su il firewall (di windows, quello vecchio e schifoso) non mi sono beccato nessun virus? Boh avrò avuto culo.

[B|4KWH|T3]

Quote:

Ma chi sei per pretendere da me?
Io le scuse non te le faccio perché sarebbe come abbassarti al tuo livello.
Studia, non sai neanche di cosa stai parlando, renditene almeno conto.

Sinceramente quando leggo risposte di questo tipo non posso che rimanere perplesso.
Mah... Fate voi.

[jappilas]

Quote:

Originariamente inviato da HexDEF6
pensa che ormai viene considerato "normale" avere in un mese un paio di macchine "zombizzate" che fanno da server irc (o altro)....
ci sono ancora in giro macchine con vecchi sistemi operativi che hanno bachi notissimi (oltre che a degli script preconfezionati per sfruttarli) ma non vengono sostituite o aggiornate perche' questo comporterebbe all'utilizzatore finale dover imparare qualcosa di nuovo...

pigrizia rulez eh?

Quote:

Come sempre, il problema piu' grosso in fatto di sicurezza non sono i s.o. o le configurazioni dei firewall ecc. ma sempre certi tipi di utenti

vero

Quote:

Figurati che in un posto dove ho lavorato volevano che togliessi la password di accesso da remoto (di un ssh)... del resto loro via ssh accedevano "solamente" al programma che usavano (un ufficio di commercialisti... praticamente tutti dati sensibili)... finche' gli utenti hanno paura di ricordarsi una password andiamo decisamente male

uhm... *forse* quando si perderanno i dati di qualche cliente o succederà qualche altro casino, verranno citati in tribunale e dovranno sborsare fior di €€€ , capiraanno l' importanza della sicurezza informatica (un minimo) ...
[OT]anche se in un altro campo, mi torna in mente quello che mi raccontava un mio amico che ha lavorato per una nota copagnia di assicurazioni: stava a mediare tot gruppi di lavoro, operanti ciascuno sul proprio versante del sistema di gestione (frontend WEB da una parte, motore DBMS in mezzo, roba in Java e accrocchi in COBOL di lato.. perdipiù distribuito tra più sedi ...) in modo un tantino "artigianale"... la volta che è stata fatta una serie di "tapulli" al sistema (secondo il criterio "dobbiamo avere tutto pronto domani - migriamo tutti i dati riaccendiamo e speriamo che funzioni" ) si aspettava fioccasse istantanea una megamulta per violazione delle norme sul trattamento dei dati sensibili... [/OT]

[teogros]

W MICROSOFT!

[midian]

un firewall nn deve dare sol protezione am anche semplicità nell' utilitzzo e flessibilità
magari ne fanno uno perfetto ma che per usarlo ci vuole un programmatore

[Carpix]