Re: Bypassare firewall aziendali con tunnel HTTP/HTTPS

Due mondi opposti:

utenti <-> sistemisti

Gli utenti che odiano i sistemisti, che stanno sempre per i fatti
loro e che non li fanno agire liberamente.
Dall'altro i sistemisti, che molto spesso chiamano loro stessi
BOHF e chiamano quelli dall'altra parte della barricata "utonti".
Un bel mondo veramente ... tolleranza zero da entrambe le parti,
e simpatia che sprizza da tutti i pori in occasione degli
scontri.
Poi alla richiesta di aiuto da parte di un utonto il BOFH comincia
a enumerare una serie indecifrabile di sigle, termini tecnici
incomprensibili ed una serie di improperi per la scarsa
attenzione alla "sicurezza".
Sicurezza, un termine di cui sempre pi? spesso si abusa
nel mondo dell'informatica, in bocca a gente che la "sicurezza"
non sa neanche cosa significhi.

Analizzando questi comportamenti, che non sono fortunatamente
lo standard ma quasi, ne traggo le seguenti conclusioni:

1) L'utente normale odia semplicemnte il sistemista e
rende meno del dovuto poich? si sente privato della sua
liberta'. E continua a subire le angherie del BOFH.

2) L'utente normale e smanettone aggira con "grazia"
le limitazioni imposte dal BOFH. Il BOFH ? convito
dell'idiozia dei suoi "utonti" e vivono ambedue felici
e contenti.

3) L'utente smaliziato si diverte :)

Non ? un esagerazione, ? reale! Sia nelle piccole
che nelle grandi e medie aziende i sistemisti vivono
in un mondo a parte, dialogando raramente con gli
utenti ed ascoltando le loro necessit?. Le
poche volte in cui ci si confronta il sistemista
utilizza un linguaggio "elitario" per cui 
l'utente si sente preso in giro e le distanze
aumentano.

Ma vodka scrive:
[...]
> dici. Anche perche' ho cominciato a occuparmi di
> sicurezza proprio da utente aziendale irritata dalle
> inspiegate e quindi incomprensibili restrizioni
> sull'uso di internet.
> Soprattutto irritata dal fatto che nessuno si degnasse
> di dire perche' certe cose non si possono fare o vanno
> fatte seguendo determinate regole.
[..]

E' vero che porre dei limiti agli uomini li spinge a superarli!
Credo che incomprensibili restrizioni sia la parola
pi? adatta. Non sono assolutamente un esperto
di sicurezza, ma un dilettante a cui piace tenersi
informato e studiare. Pertanto, a livello di sicurezza,
non vedo grosso differenza tra un sistema del tipo:

INTERNET <-> Firewall <-> NAT <-> LAN

con uno del tipo:

INTERNET <-> Firewall <-> NAT <-> Firewall <-> LAN

anzi, a ben vedere uno differenza c'?!
(Spero che mi perdonerete la descrizione molto
sintetica della struttura, ma non vuole questa
assolutamente essere una descrizione tecnica
della realizzazione di una rete LAN).
Le restrizioni sulle connessioni in uscita, oltre a quelle
in entrata. Restrizione generalmente motivata dal fatto ...

[...]
> diffusione della cultura della sicurezza nelle
> aziende, specie in quelle grandi.
[...]

... dal fatto che la rete costa!
Da questo discorso restano ovviamente escluse tutte
le realt? del tipo banca o istituzione che necessitano
di misure di sicurezza similari o maggiori.
La rete costa? Sicuramente le nostre aziende un prezzo
pagano per usufruire di questo servizio e, di conseguenza
spesso vengono prese delle misure per limitare al
massimo la banda utilizzata/utilizzabile.
Misure che in termini pratici si traducono nell'impossibilita
quasi completa di uscire normalmente verso l'esterno.
Ma, io non ho mai avuto modo di vedere i costi
reali della banda, ma se sono equiparabili a quelli
pagati al MIX/RIX non sono poi elevatissimi e,
ancora meno lo sono per quelle aziende collegate
con FastWeb, le quali non hanno problemi di "banda"
utilizzata ...

Queste limitazioni, che ora sento "da utente",
e che prima da sistemista non avevo mai imposto
sono particolarmente odiose nel caso che
si faccia sviluppo.
Spesso e volentieri, nello sviluppo e nel
debugging di una applicazione capita di
trovarsi in situazione problematica da cui
non ? facile uscire. Oppure ci si
trova nella necessit? di dovere scaricare
uno determinata patch o libreria disponibile
solo via ftp. Per cui la banda risparmiata
si traduce alla fine in tempo uomo perso ...

> E' totalmente inutile infatti implementare fior di
> soluzioni tecniche per garantire sicurezza se poi gli
> utenti non vengono sensibilizzati e non vengono fatti
> sentire parte in causa del processo, cioe'
> responsabilizzati.

Questo ? un bel discorso, ma il mio punto di vista
implica una risposta che ? al di fuori degli argomenti
trattati in questa lista.

Un saluto a tutti (anche ai BOFH)

Saverio Salatino

Essere Umano
Sistema Solare
Terra - Italia
10 aprile 2002

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List