Il 19 ottobre 2009 15.17, Iceman <[email protected]> ha scritto: > Il giorno 17 ottobre 2009 13.46, tag 636 <[email protected]> ha scritto: > >> >> >>Un altra curiosita' che ho e' che ormai quasi tutti gli application >> >>firewall, cioe' a layer 7 fanno content inspection alla ricerca di sql >> >>injection. > > Si, dici bene. Peccato che più grandi e complesse sono le realtà, sia > a livello organizzativo che tecnologico, meno vengono applicate le > soluzioni tecnicamente più sicure. Motivo? Nel 90% dei casi si tratta > di invasività, di scarsa compatibilità tra quello che fa > l'applicazione (quindi i dati che viaggiano in quella sessione) e le > procedure di analisi e blocking di certi sistemi, anche blasonati; in > seconda battuta, diffusa incompetenza di chi dovrebbe gestire certe > piattaforme ed attuare gli opportuni tuning, ove possibile. > Giornalmente mi trovo costretto a disabilitare funzioni di content > filtering proprietarie (non meglio documentate e regolabili) perché > bloccano la fruizione di quel servizio Y o il funzionamento di > quell'applicazione critica X, critica per la funzionalità e non per la > sicurezza, ovviamente! :-)
Nella aziende che hanno parecchi traffico e parecchi accessi come le Telco, c'è anche il problema del limite HW del FW; molte vole l'inspection viene disabilitata in quanto sovraccarica le CPU degli apparati; ciò comporta una perdita di performance e può portare disservizi al cliente. Quindi si disabilita! >> >> >>Mi sembra che manchino i principi base, sono cosi' tanto in errore? > > No. Purtroppo, i principi base sono spesso e volentieri mal applicati > o mal applicabili. > Concordo, ma è anche vero che molte volete, la security, non viene proprio presa in considerazione. Capita che i progetti arrivino alla fase di test o di messa in produzione, senza aver analizzato l'impatto che questo può avere, a livello di security, sull'intera rete. Inoltre, se il marketing "comanda", chi si occupa di security è costretto molte volte anche a chiudere tutti e due gli occhi (anche a fronte di criticità), per far si che il prodotto venga rilasciare per la data decisa (naturalmente dal marketing). Ciao. Stefano ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
