2009/3/2 Kinkie: [...] > Dipende dalla soluzione di NAC. > Alcune agiscono installando un agente sul sistema (o appoggiandosi a > uno specifico agente preistallato), a quel punto "the sky's the > limit". Non ci sono che io sappia group policy che possono andare > cosi` nel dettaglio (immagino sia possibile disabilitare una classe di > dispositivi tout court, ma anche se e` cosi` e` davvero molto > grossolano)
Non conoscerò tutte le soluzioni sul mercato, ma quelle con cui sono familiare (Cisco ed IBM/ISS) non consentono nulla del genere, almeno semplicemente (anzi "semplicemente" consentono ben pochino in realtà...) Quello che in pratica fai è utilizzare 801.x per autenticare i laptop alla rete switched, non conosco grandi aziende che fanno deploy di soluzioni NAC di un certo vendor specifico. O comunque mi pare poco pratico. [...] >> Altra possibilità è avere un agreement con una compagnia telefonica >> per un APN dedicato alla tua azienda, su cui applichi security policy >> e tariffazione dedicati... > > Visto dal punto di vista del cliente, e` molto poco appetibile. I > livelli di sicurezza, disponibilita`, affidabilita` e controllo di una > soluzione del genere sono molto inferiori rispetto a una VPN su > Internet, ma in compenso i costi sono maggiori (no, non e` un typo). Non sono d'accordo. Dipende da come è configurata la tua VPN. Se lato client non verifichi tramite certificato l'autenticità del server (e quasi nessuno lo fa, quasi tutti si connettono ad un certo indirizzo IP e gli forniscono il token RSA o qualcosa di simile...) è molto semplice realizzare un "man-in-the-middle" quando sei attaccato ad una rete WiFi in un aereoporto o in un hotel. Questo per esempio è lo standard degli hotel in Cina :-) ci sono testimonianze di gente che _credeva_ di essersi connessa via VPN alla rete aziendale, ha spedito email, e queste email sono arrivate correttamente al destinatario, con soltanto qualche header "Received:" in più (geolocato in Cina...). Insomma, si fanno una bella copia giusto in caso... Se accedi ad un APN dedicato, questo tipo di attacco è praticamente impossibile, invece. A meno che il tuo gestore telefonico non sia un caprone (purtroppo ce ne sono!...), viaggi su una rete packed con un protocollo non ancora violato da alcuno, finchè non accedi all'unico IP visibile da cui tutto deve passare - il tuo default gw è il tuo APN e non vedi nient'altro. Questo porta altri problemi - per es. molte applicazioni "p2p" o di videoconferenza, ecc. o la mobilità degli utenti, ecc. - dato che a volte finisci in un pool di indirizzi privati che devono essere NATtati; ma a parte i problemi di usabilità, c'è ben poco di più sicuro che questo tipo di accesso. Che poi sia più costoso... dipende dallo scenario :-) Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
