Laptop: spine nel fianco???

Nella nostra Corporation (multinazionale americana con siti dislocati in
vari paesi e connessi tra di loro tramite VPN tunellizata [IPSec] su
Internet con dispositivi HW Nokia e Nortel, che fungono anche da firewall),
gli utenti di laptop con Windows 2000 accedono alla Intranet remotamente in
dial-up ad un ISP locale (I-pass) attivando su questa connesione un tunnel
VPN tramite Nortel VPN Client.
(http://www.nortelnetworks.com/products/01/contivity/multi_os/techspecs.html
).
Penso che sia una situazione piuttosto comune in molte aziende.

Vorrei porre una questione, alla luce degli ultimi worm tipo MS-Blast che
hanno visto exploitare Windows tramite pacchetti TCP ed eseguire codice sui
sistemi target. Quando un utente di laptop si collega alla intranet via
dial-up (come descritto sopra), il "bridge" che si viene a creare
[Internet-laptop-OpenVPN] non risulta una IMMENSA spina nel fianco delle
societa' (il traffico dalla "interfaccia internet" non viene filtrato!)?
Il peggio poi accade quando un laptop infetto viene collegato alla LAN di un
sito e inizia a sparare pacchetti agli host sulla VPN proprio dietro il
"povero" firewall !!!

Le soluzioni a mio avviso sarebbero due:
1) Desktop firewall sui laptop (possibilmente di tipo centrally managed,
Symantec e Checkpoint fanno prodotti di questo tipo)
2) un VPN client che abbia la possibilita' di bloccare (a richiesta) *tutto*
il traffico IP entrante ad eccezione della rete trusted (l'unico IP pubblico
da trustare sarebbe quello del punto di accesso VPN della rete Corporate).
A quel punto pero' una qualsiasi connessione verso internet (es:
navigazione) dovrebbe passare da un proxy della Corporation .

La soluzione del punto 2 ha un senso o sto vaneggiando? Qualcuno conosce
prodotti con funzioni di questo tipo?

Grazie.

Gabro


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List