Re: Bloccare l'accesso ad un server W2000 (livello anche di File System)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2002 ml@sikurezza.org
Soggetto: Re: Bloccare l'accesso ad un server W2000 (livello anche di File System)
Mittente: Andrea Rizzi
Data: 12 Jun 2002 11:21:06 -0000

si esatto,
quando parlo di dll, per criptare i file asp, è la possibilità di utilizzare
una chiave su PIC (attenzione la chiave è formata da un hash table di 1024
byte).
la stessa chiave è contenuta all'interno della cassetta blindata.

Un'altra cosa che nono ho detto, è che una volta al mese faccia una capatina
dal cliente.
In caso di manomissione del server, lo disattivo (ci sono diversi modi per
disattivarlo, ad esempio basta staccare il cavo di rete un pò di volte,
oppure effettuare dei tentativi per accedere al server)

Ciao e grazie per i tuoi suggerimenti,
Andrea


----- Original Message -----
From: "Maurizio Andreotti" <maurizio.andreotti@esperia.com>
To: <ml@sikurezza.org>
Sent: Saturday, June 08, 2002 12:53 AM
Subject: R: Bloccare l'accesso ad un server W2000 (livello anche di File
System)


> Vediamo se ho capito bene.
> - parli di mettere una applicazione in una lan.
> - il server è visibile solo agli utenti di questa lan.
> - quali sono gli utenti di cui non ti fidi? quelli della lan?
> - quando dici "modifica dall'esterno" intendi chiunque non sia tu, giusto?
> - mi pare di intuire che tu, una volta consegnata ed attivata la macchina
> puoi essere "messo in disparte", ovvero non avrai più alcun controllo
sulla
> macchina e sul suo contenuto,... da qui la necessità "dei fili" e
> quantaltro,... giusto?
>
> ovvero in sostanza non vuoi che il tuo cliente possa smontare la tua
> soluzione appena ti distrai un attimo,...
>
> sparo:
>
> per proteggere il sorgente fai un componente com+ che viene usato da IIS
(la
> dll) e che ingloba tutte le logiche del tuo applicativo e limiti al minimo
> la parte di codice dentro alle pagine asp.
> per i dati, invece di mettere i dati in access nel "solito modo", il tuo
> componente invoca una utility tipo gpg che critta tutto quanto prima di
> salvarlo nel database,...
> poi ci puoi aggiungere il filesyst crittato e quant'altro, ma se non ti
fidi
> della gente che ha accesso fisico alla macchina mi pare che non ci siano
> molte alternative
>
> ciao,
> maurizio.
>
>
> -----Messaggio originale-----
> Da: Andrea Rizzi [mailto:andrea.rizzi@integra-europe.it]
> Inviato: giovedì 6 giugno 2002 13.59
> A: ml@sikurezza.org
> Oggetto: Bloccare l'accesso ad un server W2000 (livello anche di File
> System)
>
>
> Ciao a tutti,
> ho bisogno di alcune idee su come proteggere questa soluzione:
>
> INTRODUZIONE:
> la soluzione è basata su un'applicazione web sviluppata in ASP. Essa
risiede
> per ovvie ragioni su un web/application Server IIS 5.0, sistema operativo
> Microsoft Windows 2000 Professional/Server.
> L'applicazione, tramite ODBC, fa uso di un database Access. Il file Access
> risiede sempre sulla stessa macchina, non è visibile via web.
>
> Il server verrà inserito all'interno di una LAN, offrirà dei contenuti
agli
> utenti appartenenti a questa LAN.
>
> Il database access contiene dati di valore, e non devono essere modificati
> dall'esterno per nessun motivo.
> Inoltre, data la natura dell'applicazione, non si vuole dare accesso in
> nessun modo al file system per ottenere il codice sorgente del database e
> dell'applicazione.
>
>
> SOLUZIONI:
> Ho pensato le seguenti soluzioni:
> - invertire fili del controller dell'hard drive (solamente i D0... DN no
gli
> Address ovviamente)
> - Criptare il file system
> - Creare un filtro DLL per IIS che effettui la codifica delle chiavi a
> livello di server tramite 3DES
>
> Qualcun'altro a qualche idea migliore?
>
> Vi ricordo che è di vitale importanza non dare accesso ai sorgenti e al
> database, per nessun motivo (in caso estremo va bene perdere l'intero
> contenuto del disco).
> Inoltre sono costretto ad utilizzare le suddette tecnologie (OS W2K,
> IIS,ASP,MS Access) :( (se fosse stato per me l'avrei scritto totalmente in
> ASM, purtroppo non posso farci niente)
>
> Grazie,
> Andrea Rizzi
> Technical Consultant Manager
>
> E-mail: andrea.rizzi@integra-europe.it
> www.integra-europe.it   www.genuity.com
>
> Integra is now part of Genuity
>
> Integra / Genuity
> Via Attendolo, 4
> 20141 - Milano
> Italy
> Tel +39 02 45444.1
> Fax +39 02 45444.300
>
>
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- R: Bloccare l'accesso ad un server W2000 (livello anche di File System), Maurizio Andreotti

In risposta a:
- R: Bloccare l'accesso ad un server W2000 (livello anche di File System), Maurizio Andreotti

Data:
- precedente: Re: Bloccare l'accesso ad un server W2000 (livello anche di File System), Andrea Rizzi
- successivo: Fw: ACM TechNews - Monday, June 10, 2002, Raistlin
- indice

Argomento:
- precedente: R: Bloccare l'accesso ad un server W2000 (livello anche di File System), Maurizio Andreotti
- successivo: R: Bloccare l'accesso ad un server W2000 (livello anche di File System), Maurizio Andreotti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005