Re: [ml] Xorro Chat

Il 23/01/06, MultiTaskinG<refirewall@xxxxxxxxx> ha scritto:

-Incipit-

Ho seguito molto volentieri questa vicenda e mi sono fatto l'idea che
Stefano abbia ragione su tutta la linea.
Sarebbe il caso di rendere costruttive le critiche mosse, anche perché
ben argomentate, e ritornare sul banco di progettazione.
Btw aggiungo due punti che _secondo me_ meritano di essere esposti.

> queste soluzioni non funzionano quando per "comunicare con l'esterno"
> si dispone solamente di una connessione HTTP.

1. da sistemista di rete mi chiedo che senso abbia costruire software
che "buchi" i firewall?
Se mi vedo transitare su porta 80 un protocollo che non è HTTP lo
droppo subito, perché posso pensare che sia qualsiasi cosa compreso
tra un attacco e/o un worm/virus.
La regola proposta da Stefano mi sembra ottima con un sistema di
snort/inline, ma qualsiasi apparato che è in grado di fare protocol
analysis ti droppa subito il tuo software.
Ogni buon protocollo dovrebbe avere una sua porta. (non a caso esiste
un ente che gestisce queste cose).
2. in una rete seria, se sono implementate le VLAN, a che serve aver
paura di essere sniffati da quello che voi chiamate un "cattivo
network manager"? IHMO i domini di collisione separati sono
"abbastanza" sicuri per non incorrere in problemi di questo genere.
Ok qualcuno mi può dire che esistono software per arp poisoning
(ettercap??), o cmq che facciano mac flooding e paralizzino lo switch
per farlo entrare in "hub-mode". Ok su questo però:

1. switch seri (es. CISCO) bloccano attacchi di questo tipo (provato
in laboratorio durante una sessione CCNA).
2. qualcuno - ma tu guarda sempre il nostro ;-) - ha proposto IPsec +
TLS che mi sembra un  ottima soluzione.

e aggiungo anche: se IPsec vi sembra una bestia rara esiste un
software (OpenSource e gratuito) che vi crea tunnel VPN/SSL in una
maniera semplicissima e velocissima; si chiama openvpn
(http://openvpn.sf.net).

Rimane il problema delle porte. Ok, andate dal sistemista di rete e
concordate con lui una porta UDP attraverso cui far passare il tunnel
VPN creato dal suddetto software. Io credo che nessuno vi farà storie
senza prima avervi chiesto cosa ci dovete far passare dentro.
OpenVPN cosa offre: ma tu guarda il famigerato Diffie-Hellman per lo
scambio di chiavi PKI, SSL per la cifratura dei dati. Fantastico, la
garanzia di avere abbastaza riservatezza e mutua autenticazione, visto
che potete fare voi stessi da CA.

Non sono un ingegnere, ma ho seguito un corso di Ingegneria del
Software all'università e mi hanno insegnato che non è saggio
(re)inventare l'acqua calda.

> ti sfugge per l'ennesima volta il contesto adatto al programma.

Ho letto le FAQ sul sito, ho letto il doc in pdf, ho seguito la
discussione qui...ma non ho ancora capito cosa deve fare di più di un
qualsiasi programma IM che già esiste.

Saluti.

--
Alessandro R.