Re: tecnologia air-gap

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Gennaio 2002 ml@sikurezza.org
Soggetto: Re: tecnologia air-gap
Mittente: scai
Data: 29 Jan 2002 18:52:35 -0000


----- Original Message -----
From: Luigi Mori <lm@symbolic.it>
To: <ml@sikurezza.org>
Sent: Tuesday, January 29, 2002 12:12 PM
Subject: Re: tecnologia air-gap


> prova a dare un'occhiata al thread su firewall-wizards "Air gap
technologies".
>
> http://list.nfr.com/pipermail/firewall-wizards/2001-January/thread.html
a prescindere poi dalla effetiva utilita' e' un apparato alquanto curioso...
qualcuno lo ha testato? (raptor? )
ho circa un milione di dubbi :)
ok mi pare di capire che il sistema sia
[inet]--[server-1 airgap]                                [server-2
airgap]->[backend]
                           \_scsi---[switch scsi]---scsi-/
                                    [egap appliance]
1 arriva una richiesta SSL al webserver da inet verso la backend ...
2 server1 la strippa del header tcpip e passa i dati criptati
3 lo switch ,che fa da vero(?) interuttore on/off e' collegato solo al egap
appliance. server1 cacha i dati nella ram dell egap
4 lo switch passa a collegare il server2 (scollegando server1) e li manda
decrittati(?) al server2
5 server2 fa un inspection dei dati , e se passa le rule sottomette la
richiesta al backend..
(giusto pe tentare di riassumere brevemente cio che si vede/legge da
http://www.whalecommunications.com .. sorry pe l'ascii art oscena ;))

domande a caso..
- enfatizzano tanto che la rete sia fisicamente staccata e che quindi anche
attacchi datalink e physical layer possibili sul ethernet non si possano
fare.. ok.. ma il sw di server1 dovra' pure pilotare via sw lo switch.. se
uno penetra server1 non puo farlo lui? (certo e' faticoso per la mancanza di
info.. allora si ricade nell obscurity through security poi)
- ma su server2 c'e' qualche sw gestibile remotamente? (di manutenzione
setup delle rule etc.. cioe un daemon?) .. sicuramente qui (o al limite su
server1 ci sara... ok non ho finito di guardare tutte le specs etc ;)  e mi
immagino sia un httpd...
- enfatizzano il fatto che normalmente non si puo fare inspection sui dati
criptati e quindi i fw li fanno passare... e loro vogliono darci a intendere
che egap appliance (o server2) decriptano in realtime ssl3, blowfish e
quant'altro?
- ma davvero sostiene il througput che loro citano? 100Mbit... e pure un
delay accettabile? cioe... se instauro una richiesta ssh da inet verso il
fw.. quello mi deve per ogni carattere che mando strippare,cachare
,switchare ,elaborare, e mandare al backend? e se per ottimizzare cacha a
blocchi di 32k prima di switchare ed elaborare? che delay ho in una sessione
ssh? :))  ok.. staro' delirando un po forse...

my 0.02euros..




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: tecnologia air-gap, Marco
- Re: tecnologia air-gap, Raffaello Di Martino

In risposta a:
- tecnologia air-gap, SECKNET
- Re: tecnologia air-gap, Luigi Mori

Data:
- precedente: Re: tecnologia air-gap, David Coppa
- successivo: Questione + o - legale, Adriano Ajmar
- indice

Argomento:
- precedente: Re: tecnologia air-gap, Luigi Mori
- successivo: Re: tecnologia air-gap, Raffaello Di Martino
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005