Re: [ml] Bloccare siti...

> > Dai un'occhiata a quanti di quei siti e' accessibile via https e chiediti

Evviva l'italiano :-( [1]

> beh, non ho mai detto che sia il metodo migliore, ho solo dato un input :)
> Si puo' discutere quanto si vuole sul content filtering, di sicuro non
> e' la cura di tutti i mali, in quanto "statico" ha anche dei difetti,
> ma se impostato bene e costantemente affinato (non si puo' lasciare in
> balia di se' stesso, ha bisogno di un costante tuning) direi che e'
> molto efficace.

Ritengo che dovrebbe essere coadiuvato da altri strumenti, a copertura
dei "buchi" citati (https). Il fatto e' che questi altri strumenti che
sarebbe necessario dispiegare (es: proxy http) potrebbero coprire gia'
da soli anche i casi coperti dalle regole snort citate. Snort sarebbe,
quindi, uno spreco di risorse e un... generatore di falsi positivi :-)
L'approccio snort-inline potrebbe essere, forse, un palliativo qualora
non fosse possibile fare altro e si fosse interessati piu' a contenere
un fenomeno, che a dispiegare un blocco efficace. In questa ottica non
sarebbe uno strumento da trascurare.

Magari mi sfugge qualche implicazione ma, in linea di massima, la vedo
cosi', in un caso come quello di cui si parla.

> Poi la variabile $http_ports dovrebbe suggerire imho che non parliamo
> della sola porta 80, e in ogni caso e' una modifica da 1 minuto.

Certo, ma dubito seriamente che sia sufficiente mettere la 443/tcp in
$HTTP_PORTS per far funzionare quelle rules su httpS :-) Al limite le
puoi usare alla rovescia, cercando il match sull'url nel certificato.


Fabio

[1] (... scribble... scribble...) ricordarsi di rileggere i post [2];
[2] *prima* di spedirli.