2009/3/3 Marco Ermini <[email protected]>:
> 2009/3/2 Kinkie:
> [...]
>> Dipende dalla soluzione di NAC.
>> Alcune agiscono installando un agente sul sistema (o appoggiandosi a
>> uno specifico agente preistallato), a quel punto "the sky's the
>> limit". Non ci sono che io sappia group policy che possono andare
>> cosi` nel dettaglio (immagino sia possibile disabilitare una classe di
>> dispositivi tout court, ma anche se e` cosi` e` davvero molto
>> grossolano)
>
> Non conoscerò tutte le soluzioni sul mercato, ma quelle con cui sono
> familiare (Cisco ed IBM/ISS) non consentono nulla del genere, almeno
> semplicemente (anzi "semplicemente" consentono ben pochino in
> realtà...)
>
> Quello che in pratica fai è utilizzare 801.x per autenticare i laptop
> alla rete switched, non conosco grandi aziende che fanno deploy di
> soluzioni NAC di un certo vendor specifico. O comunque mi pare poco
> pratico.
Il client 802.1x di Juniper (Odyssey Access Client) fa queste cose
molto bene da quello che so.
> [...]
>>> Altra possibilità è avere un agreement con una compagnia telefonica
>>> per un APN dedicato alla tua azienda, su cui applichi security policy
>>> e tariffazione dedicati...
>>
>> Visto dal punto di vista del cliente, e` molto poco appetibile. I
>> livelli di sicurezza, disponibilita`, affidabilita` e controllo di una
>> soluzione del genere sono molto inferiori rispetto a una VPN su
>> Internet, ma in compenso i costi sono maggiori (no, non e` un typo).
>
> Non sono d'accordo. Dipende da come è configurata la tua VPN. Se lato
> client non verifichi tramite certificato l'autenticità del server (e
> quasi nessuno lo fa, quasi tutti si connettono ad un certo indirizzo
> IP e gli forniscono il token RSA o qualcosa di simile...) è molto
> semplice realizzare un "man-in-the-middle" quando sei attaccato ad una
> rete WiFi in un aereoporto o in un hotel. Questo per esempio è lo
> standard degli hotel in Cina :-) ci sono testimonianze di gente che
> _credeva_ di essersi connessa via VPN alla rete aziendale, ha spedito
> email, e queste email sono arrivate correttamente al destinatario, con
> soltanto qualche header "Received:" in più (geolocato in Cina...).
> Insomma, si fanno una bella copia giusto in caso...
Ci sono protezioni possibili anche per questo, ma sono d'accordo che
lo scenario e` plausibile.
> Se accedi ad un APN dedicato, questo tipo di attacco è praticamente
> impossibile, invece. A meno che il tuo gestore telefonico non sia un
> caprone (purtroppo ce ne sono!...), viaggi su una rete packed con un
> protocollo non ancora violato da alcuno, finchè non accedi all'unico
> IP visibile da cui tutto deve passare - il tuo default gw è il tuo APN
> e non vedi nient'altro.
Come sempre ci sono molti livelli su cui si puo` intervenire,
l'importante e` non pensare che intervenire su uno solo sia
sufficiente. Potendo fare altrimenti, tendo comunque a non fidarmi del
tutto di una soluzione di comunicazione riservata dove almeno uno dei
livelli di protezione non dipenda da fornitori esterni ma sia
completamente gestito "in-house".
> Questo porta altri problemi - per es. molte applicazioni "p2p" o di
> videoconferenza, ecc. o la mobilità degli utenti, ecc. - dato che a
> volte finisci in un pool di indirizzi privati che devono essere
> NATtati; ma a parte i problemi di usabilità, c'è ben poco di più
> sicuro che questo tipo di accesso.
L'usibilita` e` gestibile, basta tunnelare verso la rete interna aziendale.
> Che poi sia più costoso... dipende dallo scenario :-)
Io posso parlare solo della mia esperienza personale e del mix di
soluzioni che io ho visto e usato.
Concordo che in generale "dipende" :)
--
/kinkie
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
