[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2001 ml@sikurezza.org Soggetto: Re: R: Installazioni di default di linux Mittente: Daniele Arduini Data: 24 Sep 2001 10:56:41 -0000
Raistlin wrote: >>Non ti dimenticare che anche l'ftp manda le password in chiaro. Io sarei >>anche per chiudere i normali servizi ftp e lavorare con scp su Unix, o >> > usare > >>un client Windows che supporti l'sftp, ma non so se esiste... >> > > OK, quindi la vostra soluzione per la sicurezza aziendale e' client solo > windows, completamente strippati di qualsiasi servizio, con le installazioni > bloccate, le policy pronte a stakkare le dita a chiunque cerchi di > raggiungere il prompt, e magari con asportati floppy disk e drive zip. > > I server tutti unixoidi possibilmente BSD con abilitato il minimo > indispensabile, e solo con servizi criptati (e mi viene gia' da ridere > pensando agli utenti che non capiscono come usare un client FTP che non sia > internet exploDer). > > Gia' che ci siamo, integriamo la necessita' di una certification authority e > di ID digitali su smart-card (uno dei pochi modi di garantirne almeno in > parte l'integrita'). Qualcuno ha detto "kerberos", per caso ? > > Inseriamo in tutti i sistemi di rete regole di firewalling restrittive. > Consentiamo solo la navigazione web (tanto per il 99% degli utenti internet > e' quello) e usiamo gli appositi filtri per eliminare tutto: Java applet, > javascript, e active-x. Dopodiche' inseriamo un bel filtrone sulla posta in > entrata: solo mail in formato testo, e niente allegati eseguibili. Al bando > anche tutti i file di Word, Excel e qualsiasi file integri delle funzioni > macro. E gia' che ci siamo ci buttiamo pure un filtro per le catene di > sant'antonio e le parole oscene che non si sa mai. > > Dopodiche' contemplate soddisfatti il lavoro che avete fatto, comprate un > centralino con 12 linee in ingresso, e attendete che arrivi al lavoro il > primo impiegato. Vi garantisco che la sequela di bestemmie che vi investira' > sara' degna ricompensa di tanto sforzo. > > Ragazzi, torniamo a parlare della realta' in cui c'e' ancora gente che apre > gli attachment eseguibili ? Grazieeeeeee. > A proposito di realta'... smart-card a parte, questa soluzione l'ho gia implementata con ottimi risultati per un ente pubblico. E' vero che chi mi ha commissionato il lavoro ha ricevuto inizialmente qualche lamentela dai colleghi ma con il senno di poi tutti si sono resi conto della migliorata sicurezza aziendale, il piu' felice e' soprattutto il dirigente che oltre ad aver scongiurato danni al proprio sistema informativo puo' tra l'altro permettersi di risparmiare licenze di anti-virus (inutili in caso di worm che si diffondono in fretta). ciao, Daniele Arduini ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005