Re: [ml] Hardening, si ma sempre? (cont. Mi hanno bucato il sever)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2007 ml@sikurezza.org
Soggetto: Re: [ml] Hardening, si ma sempre? (cont. Mi hanno bucato il sever)
Mittente: Emiliano Gabrielli (aka AlberT)
Data: Wed, 21 Feb 2007 09:56:50 +0100 (CET)

On Tuesday 20 February 2007 18:23, simo wrote:
> Secondo me ha senso hardenizzare solo macchine di frontiera.
> Macchine che vanno tenute in mano ad un ristrettissimo e
> esperto pool di admin.
> Tanto a che serve un OS hardenizzato se non capisci come va usato?

bhè, come ogni discorso credo non possa essere preso così com'è in maniera 
assoluta...

mi spiego. Sono d'accordo con te, parzialmente, e non mi pare tu abbia 
affermato cose contrarie a quanto io abbia detto prima infatti .. però al 
tempo stesso non sono d'accordo, almeno in parte :-)

forse è il concetto di hardenizzato che andrebbe chiarito e/o 
contestualizzato.. non vedo perchè il mondo della sicurezza debba per forza 
di cosa essere "manicheizzato" .. IMHO *ogni* sistema degno di tale nome e 
che voglia assicurare una certa affidabilità/sicurezza *deve* essere gestito 
in sicurezza, quindi essere hardenizzato ... 

ma cosa intendo per hardening? un processo teso a rendere "regionevolmente 
sicuro ed affidabile un sistema informatico, *compatibilmente* e, 
soprattutto, *specificamente* rispetto agli applicativi ed al ruolo che il 
sistema stesso deve svolgere.

Riassumendo, l'hardening di una macchina di frontiera sarà un processo molto 
molto restrittivo, quello di una macchina applicativa in una zona "sicura" 
sarà evidentemente meno restrittivo sulla libertà di movimento 
dell'applicativo *specifico* ... 

questo non significa però che sulla macchina su cui gira l'applicativo si 
possa:

- far girare tranquillamente altro che non sia l'applicativo stesso e/o i
  varii processi o risorse ad esso direttamente legati
- abbassare il livello di "paranoia" su una macchina è ben diverso dal
  lasciarla scoperta del tutto solo perché in "zona sicura"
- se gira un applicativo si deve certamente concedere qualcosa in termini di
  sicurezza di sitema, ma va raddoppiata la paranoia nei check a livello
  dell'applicativo stesso

Per rispondere alla tua domanda.. un OS *ben* hardenizzato è quello in cui 
l'utente può fare solo quello che deve fare .. e può farlo senza rendersi 
conto di tale restrizione (se non nel caso in cui tenti di violarla, 
ovviamente)

Si fa presto a fare i bofh, e creare server "supersicuri" ... dove non si può 
fare nulla :-)  il difficile ed il vero hardening è quello che media in modo 
ponderato e giusto tra la massima sicurezza e l'usabilità, che offre quindi 
la massima sicurezza possibile compatibilemnte con l'uso lecito che si debba 
fare del sistema

-- 
<?php echo '     Emiliano Gabrielli (aka AlberT)     ',"\n",
'              socio fondatore del GrUSP             ',"\n",
' AlberT_at_SuperAlberT_it   -   www.SuperAlberT.it  ',"\n",
'  IRC:    #php,#AES azzurra.com ',"\n",'ICQ: 158591185'; ?>

In risposta a:
- [ml] Hardening, si ma sempre? (cont. Mi hanno bucato il sever), simo

Data:
- precedente: Re: R: [ml] VPN tra due adsl con netmask /24 sulla WAN, non si pingano., Gabriele Guasco
- successivo: [ml] Da RSA a certificati: rischi?, Domenico Viggiani
- indice

Argomento:
- precedente: Re: [ml] Hardening, si ma sempre? (cont. Mi hanno bucato il sever), Stefano Zanero
- successivo: Re: [ml] Hardening, si ma sempre? (cont. Mi hanno bucato il sever), Alessandro Fiorenzi
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005