Buongiorno a tutti.
Oggi per la prima volta un cliente mi ha chiesto di abilitare l'SSH
inspection verso un server che opera da SFTP server (con un file server
Windows che funge da backend e su cui salvati realmente i files) per
poter fare l'inspection del traffico da parte del firewall (Fortigate).
Una delle policy aziendali richiede che sia fatta inspection di tutti i
flussi dati entranti compresi quelli crittografati. La motivazione
addotta dal cliente è che si vuole evitare che attraverso l'SFTP possano
essere caricati contenuti dannosi o inappropriati.
A differenza dell'HTTPS inspection, che in alcuni casi ritengo possa
essere una pratica che aumenta la sicurezza dell'azienda consentendo di
intercettare alcune minacce sul perimetro (sebbene sia tendenzialmente
contrario per principio all'uso di strumenti di deep inspection per
motivi di privacy), nel caso del SSH inspecion sono *assolutamente*
contrario a tale scelta.
In primo luogo perché SSH viene utilizzato anche per i task
amministrativi, quindi qualsiasi cosa si digiti (comprese eventuali
password) potrebbe essere vista in chiaro da chi amministra il firewall;
se i team che amministrano firewall e sistemi sono team differenti (come
in questo caso), si incorre in un problema di accountability delle
responsabilità in caso di problemi.
Secondariamente non è a mio avviso lo strumento idoneo per raggiungere
questo scopo. Un demone SSH configurato correttamente unitamente all'uso
di fail2ban e buone policy delle password è sufficiente per difendersi
da attacchi al servizio SSH. L'utilizzo di un antivirus aggiornato e la
corretta configurazione dei file services di Windows sono invece
adeguati per verificare i contenuti e bloccare quelli potenzialmente
pericolosi e/o inappropriati.
Infine lo reputo sbagliato perché da un falso senso di sicurezza, visto
che è facilmente bypassabile attivando un tunnel nel tunnel (lanciando
p.es. un ulteriore demone ssh o una pipe crittografata) e che, per
quanto possa essere valida la funzionalità di Fortinet, è praticamente
impossibile distinguere un'attività di console lecita da una illecita,
rendendo quindi di fatto inefficace l'inspection nei confronti di
attacchi mirati.
Visto che però non mi era mai capitato di ricevere richieste di questo
tipo sarei interessato a sapere se sono l'unico che si fa paranoie su
questo aspetto, se le mie considerazioni sono condivise o se sono
ritenute errate, ed eventualmente leggere altri pareri in merito, anche
per rafforzare o rivedere la mia posizione sull'argomento.
Grazie :)
--
Flavio Visentin
| \|||/
| @/0.0\@
| \ - /
+------------------oOOo---oOOo------------------
There are only 10 types of people in this world:
those who understand binary, and those who don't.
GPG Key: http://www.zipman.it/gpgkey.asc
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
