[Lugge] Re: interfaccia web per proxy/firewall

  • From: "Roberto A. F." <me@xxxxxxxxxxxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Thu, 26 Feb 2004 05:06:36 +0100

On Wed, 25 Feb 2004 20:09:26 +0100
FastChiara <chiaradibi@xxxxxxxxxxxxx> wrote:

> Ehi! Non state esagerando, tra tutti? 
> Se uno vuol mantenere l'anonimato che lo mantenga, no?
> Facciamo 1 giro di camomilla o ci mettiamo a scavare nel passato, fare
> gli Sherlock Holmes e/o rispolverare scheletri dagli armadi?
> 

 Pensavo di scriver un FAQ oppure meglio un DISCLAIMER del tipo:

 "Non devi scassare i maroni agli altri utenti sul tipo di distro che
vogliono usare!"

 e di inserirlo nel messaggio di benvenuto della lista lugge.
 

 ----------------------------------------------
 My just 3 bit di buoni motivi per non rompere 
 le scatole con la solfa "MDK: insecure distro"
 ----------------------------------------------
 
 1) le tavole di firewalling le scrivi dove ti pare (sono un file di
testo) e poi le applichi dove meglio credi perciò se preferisco
scriverle con openoffice/kWord invece che con "ed" sono una palata di
cavoli miei, la distro intera con i games mi serve... anzi se non gioco
a TuxRacer mentre scrivo/provo le regole di firewalling mi si bloccano
le sinapsi

 2) molti server hanno bisogno di un firewall non solo per questioni di
sicurezza ma per il semplice motivo che un fw fa anche
routing/natting/masquereding/ip-fowarding. Insomma spesso HAI bisogno di
instradare il traffico su più sottoreti e non ha senso che venga fatto
da una macchina a parte dotata solo di kernel+iptable+scripot di boot

 3) di solito un server viene tenuto DENTRO una sottorete mentre ad
essere esposto all'esterno c'è solo un firewall hardware oppure uno
fatto con 486 e floppy (come coyote linux [a]). Queste distro si
occupano di avere anche ssh (almeno) oltre al kernel+iptables+script.
Questo tipo di soluzione se ben congeniata ti permette di abbassare il
livello di sicurezza del server interno in maniera tale da essere
facilmente gestibile da personale qualificato e in casi limite anche da
personale ben poco qualificato (Security vs Usability -- Cosa che rende
altamente vendibile il prodotto come M$ docet)

 4) gli esseri umani vogliono delle soluzioni, vogliono dei server,
_non_ vogliono delle rotture di scatole. Quando hanno la soluzione ai
loro problemi ALLORA sono disposti ad affrontare il problema della
sicurezza come una protezione al loro lavoro ed alla loro tranquillità
ma finchè NON FUNZIONA l'unica alternativa è il Microsoft Windows Server
2003.  Non ha alcun senso fornire una slackware ad una persona che la
prima cosa che fa come amministratore è quella di fermare il firewall
perchè la sua segretaria non riesce a condividere la partizione samba!
Non puoi dire a queste persone: "non siete degne di entrare in internet
- brutte bestie". Devi sapergli dare delle risposte concrete. 

 5) il problema di fare proxying (di certi tipo come quello web) non può
essere separato da un corretto instradamento del traffico (vedi punto 2)
senza toglierti almeno metà delle gioie (ad esempio autenticare gli
utenti in base al mac-address/ip-address così non si scambiano le
password per navigare su tuttinudi, ma ci vanno solo quelli che mi
stanno simpatici e mi pagano sempre il caffè!)

 6) se il tuo CEO, colui che paga il tuo stipendio, VUOLE l'interfaccia
grafica sul server, la VUOLE themata XP, perchè VUOLE la password di
root perchè VUOLE controllare _personalmente_ i log del traffico e non
sa farlo da ssh+vi allora la tua bella slackware con XFree86 sopra è un
colabrodo tanto quanto la MDK solo che la MDK ti è costata meno tempo
installarla. Quando il tuo CEO si è convinto che i log non sono
interessanti come i fumetti allora dalla MDK togli tutta la roba inutile
e quindi il numero di advisory di sicurezza ritorna ad essere
dignitosamente basso (vedi punto 3) 

 7) nessuno mi vieta di prendere una MDK compilarci sopra il kernel
secure MDK [b] con opzioni adeguate e selezionare i binari MDK ch emi
servono per fare una minidistro da usare come firewall. Che per altro
MDK stessa fa e vende a 1500 euro + IVA [c] e non si capisce perchè la
cosa faccia scandalo quando da sempre ci sono in giro prodotti di molto
peggio... ma di _molto_ peggio assai!

 8) perchè non è raro che il server della ditta PRIMA di diventare "IL"
server della ditta fosse anche la workstation di qualcuno, e prima che
quel qualcuno fosse un admin per il 99% del suo tempo era impiegato. In
un'azienda abituata a servirsi all'esterno e con prodotti proprietari
l'introduzione di un server linux può avvenire anche come scelta
individuale di postazione di lavoro e poi piano piano quando ci si
accorge che la postazione di lavoro di Tizio-Caio filtra meglio lo spam,
esporta preziosi GB di spazio, permette di compilare i pallosissimi
moduli, esporta anche un sito web, permette di stampare... allora...
comincia a diventare un server! 



 [a]  http://www.coyotelinux.com/
 [b] 
http://www.rpmfind.net//linux/RPM/mandrake/9.2/i586/Mandrake/RPMS/kernel-secure-2.4.22.10mdk-1-1mdk.i586.html
 [c]  http://www.mandrakesoft.com/products/mnf/features

 --------------------------------


 Quasi dimenticavo... ma sopratutto perchè mi arrabbio specie se è una
giornata di merda in cui prevedo di fare le 5 del mattino davanti al
computer.


 

 Ciao,
-- 
   ,__    ,_     ,___   .-------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-.
   ||_)   ||\    ||_   /        Oh Capitano, Oh mio Capitano       |
   || \   ||¯\   ||¯     linuxgrp: http://www.lugge.net            |
   ¯¯  ¯° ¯¯  ¯° ¯¯  °   homepage: http://roberto.foglietta.name   |
\  Roberto A. Foglietta  reg num : #219348 by the Linux Counter    |
 `---------------------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-'
========----------

 Prima di scrivere in m-list per favore leggi il regolamento
 http://www.lugge.net/soci/index.php?link=manifesto

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

 Modifica dell'account sulla lista LUGGe
 http://www.lugge.net/soci/index.php?link=manifesto.htm#list


Other related posts: