RE: NAC

On Tue, 2003-12-16 at 15:45, marco misitano wrote:
> <VENDOR>
> 
> >> A. Cisco Network Admission Control (NAC) is an industry-wide
> collaboration
> >> led by Cisco, to focus on limiting damage from emerging security threats
> >> such as viruses and worms. <snip> 
> >>
> http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns75/netqa09186a00801d82
> 2e.html
> >> http://www.cisco.com/warp/public/779/largeent/nac/index.html
> 
> > Se ho capito bene..
> 
> >1. Che la compatibilita' come al solito e' un'opinione.
> 
> Mi sfugge qualcosa.. Compatibilita' di cosa e con cosa ? Al massimo parlerei
> di integrazione, ed integrare tecnologie di  quattro (CSCO, NET, SYMC, TMIC)
> diversi vendor. La mia opinione é che sia un passo in avanti ad un problema
> tutto sommato sentito. Ma ripeto, mi sfugge credo qualcosa, primo fra tutti
> la compatibilita' che tu sottolinei sia mancante.

Beh mi sembra ovvio, con qualsiasi sistema non Microsoft viste le
premesse.

> >2. Che devo avere un demone o qualcosa che faccio inspection di tutto cio'
> che
> >   c'e' sul mio pc e trasmette dati ad oggetti "a me" sconosciuti.
> 
> Se il problema é il deployment del 'demone' (si chiama CTA, 'Cisco Trust
> Agent'), questo sara' incluso nelle prossime versioni di antivirus dei tre
> vendor sopracitati, quindi il problema del delpoyment e' minore di quello
> che sembra.

Ah si?
Beh ma mi spieghi che livello di sicurezza può mai dare un aggeggio del
genere?

Se i client li amministri tu, non hai certo bisogno del NAC per
garantire l'aggiornamento dell'antivirus e il livello di patching dei
tuoi OS, per l'antivirus ti basta usare uno dei vari sistemi di gestione
aziendale che comunque dovrai avere per aggiornare centralmente tutti
gli antivirus. Per quanto riguarda le patch idem.

Ma se il client non lo gestisci tu a che serve il NAC?
Da quando ci si fida di quello che ti dice il client?
Quanto ci vorrà prima che esca qualche bel faker che gli dice al NAC
quello che vuol sentirsi dire? (DMCA permettendo).

Secondo me il punto debole di tutto il discorso sta proprio qui: ci
fidiamo di quello che ci racconta il client perchè ci mettiamo un
aggeggio proprietario sopra che ci racconta cosa fa. Personalmente ho
abbandonato qualsiasi fiducia nel security through obscurity da molto
tempo.

Secondo me un aggeggio del genere è un bell'esempio di potenza di
marketing, ma non credo sia un aggeggio efficace (cos' come è adesso) ed
anzi rischia di ingenerare un firte quanto falso senso di sicurezza
oltre a dei bei malditesta a tutti quelli che hanno macchine non
compliant. E qui non si parla dei soliti sfigati che usano linux, ma di
tutta una serie di apparati, dalle stampanti di rete in su, che di
sicuro non usano ne windows ne tanto meno un antivirus.
(Se mi dici che puoi escludere la stampante di rete dal controllo ti
rispondo che è altrettanto facile prendere il posto della stampante e
fregarsene allegramente del NAC, quindi a maggior ragione non serve
effettivamente a niente, se non a far spendere un po' di soldi in più a
qualcuno).

Anzi a ragionarci bene lo vedo anche come un potenziale problema di
sicurezza del client. Chi mi dice che dall'altra parte non ci sia
qualcuno che mi sfrutta il NAC per conoscere al meglio il mio stato e
quale sw mi gira per portare un attacco mirato?

> Se il problema e' che questo demone invii ' dati ad oggetti "a te"
> sconosciuti', su questo ci sono delle considerazioni da fare. 
> - che I dati ad oggetti "a te" sconosciuti sono relativi alla presenza o
> meno di tecnologie e relativa profilatura rispetto ad una policy di
> sicurezza della rete. Vedila come una sofisticata autenticazione 802.1x

No guarda, posso anche condividere altre cose, ma io nelle
autenticazioni 802.1x non ho bisogno di dirti cosa c'è sulle mie
macchine o far girare software che non posso controlloare direttamente,
mi sa che siamo ben lontani.
Si confonde la direzione e il motivo per cui avviene il trust.
Certo poi Cisco in una autenticazione tipo 802.1x ci può mettere quel
che gli pare ma non mi sembra una sofisticazione di 802.1x in quanto
imho non aggiunge nessun livello di sicurezza all'autenticaione in
quanto tale (e neanche alcuna sicurezza sul reale stato della macchina)


Inoltre un problema di privacy e concorrenza ci sarebbe, nel momento in
cui qualche bel provider cominciasse a richiedere questo tipo di
autenticazione per l'accesso di clienti alla sua rete.


> >Sono molto scettico, insomma..
> Io sono molto ottimista. 
> Ho una scelta in piu che prima non avevo.

Io credo sia solo marketing (mi piaceva dare un'opinione diversa :-)


Simo.

-- 
Simo Sorce - simo.sorce@xxxxxxx
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List