Re: [ml] Hardening, si ma sempre? (cont. Mi hanno bucato il sever)

simo wrote:
>>> Secondo me ha senso hardenizzare solo macchine di frontiera.
>> Ed eventuali attacchi dall'interno ?
> 
> Spesso e' piu' efficiente (nel senso costi/benefici) semplicemente
> monitorare e reprimere il comportamento dopo, altre volte e' l'unica
> soluzione se non puoi toccare il codice di certi applicativi.
> 

Non mi convince molto. Perchà per il traffico interno il semplice
monitoraggio dovrebbe avere un'efficacia maggiore che con il
traffico esterno? Posto che dall'esterno ti puoi voler risparmiare
del "rumore", il traffico interno casomai dovrebbe essere piÃ
difficile da monitorare, dato che comunque chi lo genera lo mescola
a un traffico legittimo decisamente pià vario di quello esterno, ed
ha conoscenze e modi pià vari per creare problemi. Capisco che la
violazione interna sia pià facile da sanzionare, ma questo lo puoi
fare se sei stato in grado di rilevare la violazione, e comunque un
intervento a posteriori non à ovvio che ti eviti il danno.
Io ho grossi dubbi che, in un contesto in cui sei costretto ad
accettare un livello applicativo su cui non puoi mettere le mani
(che non necessariamente vuole dire mettere le mani sul codice delle
applicazioni) tu sia in grado di rilevare le violazioni in modo
efficace, almeno come idea generale.
In riferimento alla segregazione, in una situazione in cui devi
accettare applicativi deboli concordo che dovrebbe essere utile
segregare, altrimenti "chiunque" ti puà venire a solleticare le
vulnerabilità dell'applicazione. Questo non toglie perà che tu debba
fare l'hardening adatto a quel sistema specifico. Ad esempio,
proprio per la sua criticitÃ, curare particolarmente i privilegi e
le modalità di accesso per la manutenzione del sistema e
dell'applicazione, o la configurazione dei sistemi di monitoraggio,
auditing e logging remoto, o cose del genere.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org