[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Marzo 2009 ml@sikurezza.org
Soggetto: Re: R: [ml] Bloccare modem UMTS
Mittente: Marco Ermini
Data: Tue,  3 Mar 2009 22:50:20 +0100 (CET)
2009/3/2 Kinkie:
[...]
> Dipende dalla soluzione di NAC.
> Alcune agiscono installando un agente sul sistema (o appoggiandosi a
> uno specifico agente preistallato), a quel punto "the sky's the
> limit". Non ci sono che io sappia group policy che possono andare
> cosi` nel dettaglio (immagino sia possibile disabilitare una classe di
> dispositivi tout court, ma anche se e` cosi` e` davvero molto
> grossolano)

Non conoscerò tutte le soluzioni sul mercato, ma quelle con cui sono
familiare (Cisco ed IBM/ISS) non consentono nulla del genere, almeno
semplicemente (anzi "semplicemente" consentono ben pochino in
realtà...)

Quello che in pratica fai è utilizzare 801.x per autenticare i laptop
alla rete switched, non conosco grandi aziende che fanno deploy di
soluzioni NAC di un certo vendor specifico. O comunque mi pare poco
pratico.


[...]
>> Altra possibilità è avere un agreement con una compagnia telefonica
>> per un APN dedicato alla tua azienda, su cui applichi security policy
>> e tariffazione dedicati...
>
> Visto dal punto di vista del cliente, e` molto poco appetibile. I
> livelli di sicurezza, disponibilita`, affidabilita` e controllo di una
> soluzione del genere sono molto inferiori rispetto a una VPN su
> Internet, ma in compenso i costi sono maggiori (no, non e` un typo).

Non sono d'accordo. Dipende da come è configurata la tua VPN. Se lato
client non verifichi tramite certificato l'autenticità del server (e
quasi nessuno lo fa, quasi tutti si connettono ad un certo indirizzo
IP e gli forniscono il token RSA o qualcosa di simile...) è molto
semplice realizzare un "man-in-the-middle" quando sei attaccato ad una
rete WiFi in un aereoporto o in un hotel. Questo per esempio è lo
standard degli hotel in Cina :-) ci sono testimonianze di gente che
_credeva_ di essersi connessa via VPN alla rete aziendale, ha spedito
email, e queste email sono arrivate correttamente al destinatario, con
soltanto qualche header "Received:" in più (geolocato in Cina...).
Insomma, si fanno una bella copia giusto in caso...

Se accedi ad un APN dedicato, questo tipo di attacco è praticamente
impossibile, invece. A meno che il tuo gestore telefonico non sia un
caprone (purtroppo ce ne sono!...), viaggi su una rete packed con un
protocollo non ancora violato da alcuno, finchè non accedi all'unico
IP visibile da cui tutto deve passare - il tuo default gw è il tuo APN
e non vedi nient'altro.

Questo porta altri problemi - per es. molte applicazioni "p2p" o di
videoconferenza, ecc. o la mobilità degli utenti, ecc. - dato che a
volte finisci in un pool di indirizzi privati che devono essere
NATtati; ma a parte i problemi di usabilità, c'è ben poco di più
sicuro che questo tipo di accesso.

Che poi sia più costoso... dipende dallo scenario :-)


Cordiali saluti
-- 
Marco Ermini
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005