Re: [ml] De-Perimetrazione

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2007 ml@sikurezza.org
Soggetto: Re: [ml] De-Perimetrazione
Mittente: Claudio Telmon
Data: Fri,  8 Jun 2007 02:28:09 +0200 (CEST)

Federico Lombardo wrote:

> Ma infatti, cambia il concetto di perimetro.
> Ma cmq anche no, se faccii sicurezza all'accesso, per comunicare i sue
> segmenti metto un L3 normale, perchÃ la sicurezza l'ho fatta prima.
> Anzi tendenzialmente ho migliorato le prestazioni della sicurezza e delle
> mia rete :-)
> 

Forse non ho capito bene, ma mi sembra di capire che ti poni solo il
problema degli accessi illegittimi dall'esterno e non di controllare
i comportamenti degli utenti autenticati... in questo caso la
segregazione cosa la fai a fare? Aggiungo dopo aver letto il resto
della mail: imagino che tu sopra il L3 voglia fare anomaly detection...

>> Viceversa, l'idea che tecnologie ad esempio di sicurezza dell'host
>> ti permettano in futuro di non segmentare, lo trovo improbabile e
>> soprattutto scorretto da un punto di vista progettuale :)
> 
> Come puoi dirlo sei un EMEA del settore, conoscÃ giÃ quello che ci sarÃ
> fra 10 anni? :-)

Per l'improbabile, Ã ovviamente un'opinione personale: chiaramente
non so, se no direi che certamente non succederÃ ;) Anche l'EMEA del
settore al piÃ puÃ prevedere come proporrÃ i propri prodotti e
servizi, non Äerto quello che ne verrÃ fatto fra dieci anni. Per lo
"scorretto": hai contesti con caratteristiche di sicurezza diverse,
hai un meccanismo di segregazione, e lo butti via per... cosa?

> Guarda, sinceramente, ormai per me dire "c'Ã un firewall" o "non c'Ã" non
> cambia nulla, riprendendo il discorso che facevamo io e Stefano prima, se
> la vulnerabilitÃ Ã sulla porta 80, tu per far usufruire del servizio gli
> utenti quella porta la devi aprire... quindi ? cosa cambia?
> 

Mi rifaccio all'altro mio messaggio: togli i filtri a fino al
livello 4  e (sempre secondo me) di cosa cambia te ne accorgi
subito. Ã il fatto di avere un firewall per i livelli bassi che ti
permette di concentrarti sui rimanenti problemi sui livelli alti.

> Non solo, aggiungo ed azzardo:
> Se calcoli che le vere enterprise che hanno infrastrutture informatiche
> critiche da proteggere, posseggono applicazioni completamente custom, lo
> stesso vale anche per apparati IDS/IPS in misuse-detection, che in questa
> accezione specifica, prenderebbero semplicemente la strada di
> identificare/reagire ad attacchi conosciuti che non sono associabili con i
> nostri sistemi custom, lasciando comunque esposti i nostri sistemi, dato
> che non ci possiamo aspettare che un vendor rilasci delle signature per
> delle applicazioni che al mondo abbiamo solo noi. (senza contare l'effort
> per svilupparci in casa delle signature nostre..)

Se ho capito il discorso, e tralasciando la questione di cosa siano
le "vere enterprise", mi pare di capire che tu mi dici che se uno ha
applicazioni custom, ha bisogno di soluzioni custom, che magari
facilmente saranno host-based, e il firewall cambia poco. Non posso
che essere d'accordo, resta il fatto che il sistema informativo di
un'azienda, vera o meno che sia, non Ã fatto solo di quello.

> 
> Quindi, se devo scegliere FRA le due cose, preferisco in fase progettuale
> deperimetrare ma avere un sistema di sicurezza autoconsistente CHE
> FUNZIONI DAVVERO. (chiaramente Ã meglio averle entrambe le due cose... Ã
> scontato).

Ecco, se Ã scontato siamo d'accordo. Io non ho assolutamente detto
che il firewall Ã un'alternativa, ho solo detto che lui e il
perimetro che rappresenta Ã improbabile che spariscano. Direi anche
che nell'architettura di vera enterprise che mi prospetti, il costo
di un firewall perimetrale rispetto al costo complessivo dei
meccanismi di sicurezza (es. IDS custom) non Ã tale da costringerti
ad una scelta in alternativa, e probabilmente il firewall si ripaga
giÃ solo con lo spurgamento di log e allarmi che ti permette.

> Se guardi bene dove sta andando il mercato... Ã proprio nel senso che ti
> ho descritto io.

Guarda, per chiudere la discussione, dato che mi sembra che abbiamo
detto tutto l'utile: il mercato su questa strada Ã giÃ andato altre
volte a prendere delle canonate. Quando sono usciti i primi IDS
commerciali, chi li vendeva diceva che erano alternativi ai
firewall. Chi gli ha dato retta si Ã fatto male. Da allora, e sono
passati un po' di anni, il mercato "sta sempre andando", e ogni
volta con il miraggio (sempre opinione personale) che un sistema di
detection sia alternativo, e non complementare, a un controllo degli
accessi preventivo, ovvero un firewall. Per ora i firewall sono
ancora lÃ.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org

Messaggi successivi:
- Re: [ml] De-Perimetrazione, Federico Lombardo

In risposta a:
- [ml] De-Perimetrazione, sal.valerio@xxxxxxxxx
- Re: [ml] De-Perimetrazione, Stefano Zanero
- Re: [ml] De-Perimetrazione, Federico Lombardo
- Re: [ml] De-Perimetrazione, Claudio Telmon
- Re: [ml] De-Perimetrazione, Federico Lombardo

Data:
- precedente: R: R: [ml] due firewall diversi è meglio di due uguali, Massimo Baschieri
- successivo: [ml] Second Call for Papers: DeepSec IDSC 2007 Europe/Vienna: 20-23 Nov 2007, Paul Böhm
- indice

Argomento:
- precedente: Re: [ml] De-Perimetrazione, Federico Lombardo
- successivo: Re: [ml] De-Perimetrazione, Federico Lombardo
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005