RE: Soluzione PF distribuito su W2K

> marco misitano wrote:
>> uhm... forse a permettere che gli utenti facciano solo web browsing,
>> POP3, e se si prendono un worm questo non abbia la strada spianata
>> da un PC al proprio vicino ?
 
> Sull'ultima ci sono (ma a questo punto rilancio la palla: e se si
> disabilitassero i servizi in questione ? :), sulle prime due proprio
> no. 

Se disabilitassero il servizio, vero. Infatti a mio avviso il PF é comunque
l'ultimo anesso di una catena che puo avere altri punti deboli. Diciamo che

SE gli utenti non somo amministratori della macchina
SE le local policy sui PC sono state strette (quelle di default di XP fanno
venire l'ulcera gastro-duodenale)
SE anche l'infrastruttura e' propensa a contenere comunicazioni da dovunque
verso dovunque
SE esiste una policy di sicurezza (o almeno il responsabile dei sistemi
informativi ha le idee chiare su cosa PUO e cosa NON puo passare sulla rete)
ed il PF distribuito e' coerente con questa

ALLORA puo essere efficace, altrimenti son d'accordo metterlo tanto per dire
" c'e' il personal firewall distribuito e son sereno " quando a monte ci
sono lacune non ha un grosso senso, se cosi' non fosse, allora il personal
firewall puo avere una buona efficacia.


Marco Misitano, CISSP, CISM
Advanced Technologies, Security
Cisco Systems Italy, Milano


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List