Re: [ml] [TALK]: DMZ is dead

Mimmus wrote:
>> LA MORTE DELLA DMZ
> 
> 
>> www.itvc.net/opinion/view.asp?ID=290
> 
> 
> 
> 
> Non condivido quasi niente ma mi piacerebbe (se Koba lo permette...)
> sapere che ne pensate.

Condivido poco anch'io. Quasi niente. Premetto che mi baso sulla
traduzione, al momento non ho tempo di ascoltare tutto lo speech, ma
lo farò.
Per prima cosa due precisazioni:
- già nel '93, chi pensava che con un firewall (per di più router)
"si fosse a posto", non aveva le idee molto chiare; anche adesso se
qualcuno dice "ho un firewall quindi sono sicuro" viene preso a
fischi e pernacchie, almeno spero ;)
- già nel '93, chi pensava che fra la DMZ e la rete interna non ci
fosse traffico, non aveva le idee molto chiare, figuriamoci adesso;
nel '93, i server web erano pochi e per la maggior parte con pagine
statiche, erano vetrine la cui compromissione non interessava quasi
a nessuno, non erano loro il problema di sicurezza; l'incubo di
allora era sendmail, che aveva un baco critico al mese; quello che
si è messo per primo nella DMZ è stato il server di posta, che per
definizione fa traffico con la rete interna; molto prima del '97. In
effetti, nel '93 la DMZ si cominciava ad usare non in alternativa al
"non essere connessi", bensì all'avere i sistemi pubblici
semplicemente fuori o dentro dal firewall, entrambe soluzioni
insoddisfacenti già allora. Insomma, una presentazione piuttosto
naïf di quel periodo.
Naturalmente si tratta di semplificazioni (le sue e le mie), ma il
principio resta. Quello che non affronta è il perché esiste la DMZ,
che non è non far parlare il server web con la rete interna, bensì
controllare il traffico in modo che passino solo alcuni canali,
sperabilmente quelli legittimi. L'altro importante scopo della DMZ è
"contenere" un attacco che abbia compromesso un sistema esposto al
pubblico; funzionava nel '93 e funziona adesso, più o meno bene a
seconda di quanto chi progetta le applicazioni e i relativi
protocolli ritiene che la DMZ e il firewall siano solo fra i piedi e
quindi da aggirare il meglio possibile. Chiaramente adesso i sistemi
pubblici hanno in sè una criticità ben diversa.
La richiesta che una rete sia "solo locale" o "solo pubblica" è,
questo sì, una semplificazione inaccettabile. Se poi vogliamo
discutere di quanto si riesca a far passare da un firewall
nonostante i controlli, va bene.

Altro problema, suggerisce quello che mi sembra uno degli errori più
madornali e comuni, ovvero ridurre la sicurezza quasi solo
all'autenticazione. La maggior parte dei problemi che descrive
(Nimda ecc.) non sarebbero minimamente stati bloccati
dall'autenticazione, nè come contagio nè come DoS sulla rete, visto
che alla base della propagazione ci sono quasi sempre bachi del
software o social engineering. Di fatto, nella maggior parte dei
casi l'autenticazione non protegge dai DoS. Oltretutto, non può
autenticare tutto il traffico entrante, mail e http, a meno di
chiudersi nel suo piccolo mondo (oppure, a meno di voler imporre un
meccanismo centralizzato di autenticazione a tutta Internet, magari
con la scusa di evitare lo spam ;) Una volta compromesso un nodo che
legittimamente può fare traffico con gli altri, l'autenticazione
(semplificando) non serve più a niente, a meno di usare meccanismi
di segregazione, cosa di cui la DMZ non è che un esempio. La
segregazione/compartimentazione è un meccanismo fondamentale a tutti
i livelli, da usare insieme all'autenticazione, non in alternativa
(sul fatto che sulla rete aziendale dovrebbe essere autenticata
qualsiasi cosa, è uno dei pochi punti su cui siamo d'accordo).

Ci sono tante altre affermazioni approssimative, ma la sensazione
che dà è che voglia ridurre tutto principalmente all'autenticazione
al dominio e a un po' di sicurezza applicativa. La sicurezza
applicativa è importante, e molto, ma non è alternativa alla
sicurezza di rete. Sono parecchi anni che qui e là vengono proposti
questi concetti: il firewall è morto perché non c'è più un
perimetro, l'autenticazione (o una qualsiasi altra tecnologia che si
vuole spingere) vi risolve i problemi... da un "opinioned security
evangelist", come si definisce sul sito, mi aspetterei qualcosa di
meglio, quello che ha detto non rivoluziona proprio niente. È pieno
di gente che dice che la sicurezza perimetrale è morta, ma chissà
perché, io di reti con una gestione seria della sicurezza ma senza
firewall non ne ho ancora viste.
Affrontare un problema generale di architettura di rete mettendosi a
descrivere come funzionano i domini o parlando dell'obsolescenza di
NT rispetto a XP è deprimente nel migliore dei casi. Poi c'è qualche
manciata di FUD qua e là: i pacchetti IP spoofati, i tunnel http
(https, immagino, visto che parla di SSL), e un po' di affermazioni
generiche: possiamo usare i ruoli, possiamo usare il privilegio
minimo... tutte cose vere, in teoria, ma nella pratica ancora più
complesse che gestire il traffico con una DMZ.
Elenca una serie di tecnologie senz'altro importanti, ma non vedo nè
come nè perché queste siano un'alternativa all'uso di DMZ, che ha
uno scopo diverso e complementare.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org