[Linuxtrent] Re: Quiz: sicurezza e macchine virtuali
- From: Piro <lachocalad@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Sat, 28 Nov 2009 15:58:41 +0100
Il giorno 27 novembre 2009 17.24, Roberto Resoli
<roberto.resoli@xxxxxxxxx>ha scritto:
>
> In breve, potresti fare qualcosa di decente se SO1 ti offrisse
> strumenti decenti per il controllo del trafffico, cosa che credo non
> sia ;-)
Credo però che in tal caso sarebbe admin a fare qualcosa di illegale
(privacy: controlli puntuali)...
a quel punto puoi mettere un hub tra lo switch e l'host in questione o
utilizzare direttamente lo switch se te lo permette, ma per controllare il
traffico la soluzione migliore rimane una bella span port con squid/acid
etc. (così però torniamo al discorso dell'infrastruttura ed al fatto che
l'admin si deve accorgere di attività sospetta da ovunque esse stiano
arrivando e "ndrizar le rècie").
In ogni caso, se il problema è che non si vogliono sistemi operativi e
applicazioni e/o utenti con credenziali non "sotto controllo" bisogna
attrezzarsi per evitare (il più possibile) che questa cosa succeda e dunque
torniamo al discorso infrastruttura: 802.1x, span port e snort/acid,
inventario dei software installati (ocsinventory) etc. etc...
Altrimenti c'è il rischio di ritrovarsi in una rete con host windows
completamente bloccati con lucchetti, cavi d'acciaio puntellati al muro
portante, group policy da maniaci, niente lettore cd, usb bloccata,
regolamenti firmati con il sangue, tagliole e campi minati davanti al ced,
badge e riconoscimento delle impronte digitali, scansione e mappatura delle
vene, capsule al cianuro nei denti degli amministratori.... e poi scopri che
c'è un dhcp che elargisce ip a chiunque abbia una qualsiasi cosa con una
scheda di rete, una rete wi-fi con chiave WEP (magari con regole di
firewalling ridicole verso la lan), una "dmz" che non è una dmz ma una
"lan2", password degli utenti amministratori di dominio ridicole e
conosciute da più persone, modem collegati a linee analogiche esterne da una
parte e ad un host in lan dall'altra, password scritte su post-it
appiccicati al monitor, macchine windoz indietro di uno o due service pack
figuriamoci di patch varie, lista delle password stampate in chiaro e messe
in una teca sulla scrivania, precedente foglio delle password in chiaro
gettato nell'immondizie e chi più ne ha più ne metta (si potrebbe andare
avanti per ore)...(per chiarire: questo l'ho scritto solo per farci una
risata :p )
Piro.
Other related posts:
