R: R: IDS

> Io penso comunque che un firewall ben configurato e una media sicurezza
> su tutte le macchine siano un buon inizio.

Io penso che se le macchine sono sicure il firewall sia in se' superfluo, ma
sono opinioni :P

> Se hai un ottimo IDS sul firewall

In che senso, un IDS sul firewall ? Intendi un IDS host-based sulla macchina
del firewall ? Il minimo che mi aspetto da una macchina con un firewall e'
che ci sia SOLO il firewall, eventualmente con aggiunto un servizio tipo SSH
accuratamente visibile solo sulla rete interna per l'amministrazione. In
queste condizioni un IDS host-based lo vedo relativamente inutile.

Un buon IDS network-based andrebbe invece posto sulla rete interna, a valle
del firewall. Se ti importa di vedere tutti gli scan e gli attacchi che non
hanno nemmeno superato il primo muro (cosa che reputo un po' dispendiosa in
termini di tempo, ma che in alcune particolari situazioni e' giustificabile)
dovresti poter fare affidamento sui log del firewall stesso, oppure puoi
mettere un IDS a monte del firewall.

>, e contando che prima di arrivare alle macchine DEVONO aprire
> il firewall

Questo nell'ottimale e un po' ingenua presunzione che il firewall faccia il
suo lavoro :)

Dobbiamo forse ricordare gli innumerevoli bachi che consentono il bypass dei
sistemi firewall ? Per non parlare delle possibili misconfigurazioni...

> Ed e' piuttosto difficile che
> passino SIA sul firewall CHE sulla macchina senza che tu te ne accorga.

Ecco, su questa frase sono d'accordo, sempre nell'ipotesi che di macchine ce
ne siano da 1 a 5. Se ce ne sono 50 sono piu' scettico.

> Certo, in questo caso mi aspetto che il responsabile NON ABBIA ALTRO DA
> FARE che stare li a tenere la rete sicura...

Ridiamo subito o piu' tardi con calma ? :)

Stefano "Raistlin" Zanero
System Administrator Gioco.Net
public PGP key block at http://gioco.net/pgpkeys



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List