Re: [ml] confronto security appliance

Questo post di Andrea, con il quale concordo per lo più, mi fa venire in 
mente molte cose, che vi risparmio. Lancio solo un paio di spunti.

Consiglio a tutti di leggere i 'rant' di mjr (Marcus J Ranum), ben noto 
olista/fondamentalista/"terrorista" della sicurezza, sono molto 
interessanti. Come piccolo esempio vi cito 
http://honor.trusecure.com/pipermail/firewall-wizards/2005-June/018455.html

A parte ciò, il mio punto di vista è che in pratica bisogna cercare di
conciliare vari aspetti, quali i principi fondamentali di sicurezza ed i
requisiti pratici ed economici. In termini 'tecnici' bisogna fare
un'analisi dei rischi/benefici/costi, anche sulla punta delle dita,
punto che spesso non viene considerato da chi, come me, si pregia di
essere un purista della sicurezza. In altre parole, non ha senso
introdurre un meccanismo di sicurezza che costa più del bene da
difendere.

Quindi se ad una banca posso dire di prendersi per ogni 'nodo' di rete
due firewall (layer 3/4) di marche diverse e di metterli in fila uno
dietro l'altro, e che questi oggetti non facciano nient'altro che il
filtro a layer 3/4, ad una piccola impresa con 10 dipendenti _devo_ dire 
di prendersi la macchina che purtroppo fa anche il caffe, starà poi a me 
configurarla in modo che faccia le cose giuste e necessarie, e non il 
caffe.

Il che mi porta alle due considerazioni finali: che il 'manico' sta
sempre nell'uomo, e che quindi il tutto dipende da quanto le persone ci
capiscono (istruzione, educazione ecc.ecc.), e che purtroppo spesso ci
si trova a lottare contro i commerciali/venditori ed anche contro il
management che troppo spesso sta dalla loro parte (e questo è anche
colpa nostra che non siamo capaci di fare capire al management le nostre
ragioni, ma gli altri sono venditori di professione!). Questo è
veramente un peccato, perché invece di lavorare insieme per aumentare
sensibilità alla sicurezza ed quindi il mercato della sicurezza, spesso
finisce che si lavora contro. Cito due esempi non personali ma
abbastanza indicativi a mio parere

http://www.infoworld.com/article/05/05/09/19FEipsids_2.html ove a Marty
Roesch (creatore di Snort ecc.ecc. una persona che di IDS ne sa qualche
cosa direi) viene fatto il commento "You are simply misinformed. I
would strongly recommend you take a closer look at the state-of-the-art
IPS."

http://honor.trusecure.com/pipermail/firewall-wizards/2005-June/018469.html
ove nella seconda parte del post si racconta di una esperienza 
'interessante'.

Scusate per il rant, ma quando ce vo', ce vo'.

Andrea


On Mon, Jun 06, 2005 at 05:27:38PM +0200, Andrea Pila Ghirardini wrote:
* -----BEGIN PGP SIGNED MESSAGE-----
* Hash: SHA1
* 
* Se posso esprimere un opinione gli appliance firewall-proxy-antispam- 
* smtp_gateway-macchina_del_caffè-lavapiatti, sono un non senso  
* architetturale.
* 
* Hanno un unico vantaggio, risparmiano spazio. Per il resto io non  
* sono d'accordo con questo approccio.
[...]

--
Andrea Pasquinucci                     cesare@xxxxxxx
PGP key: http://www.ucci.it/ucci_pub_key.asc
fingerprint = 569B 37F6 45A4 1A17 E06F  CCBB CB51 2983 6494 0DA2

Attachment: pgpM8hNFekUn1.pgp
Description: PGP signature