Concordo sull'inappropriatezza della misura. Se lo scopo è quello di filtrare dei contenuti uploadati lo puoi fare egregiamente a valle del trasferimento con molti differenti strumenti, non vedo il valore aggiunto nel farlo tramite una intercettazione. anche perchè, specie in caso di file strutturati o impacchettati, comunque per analizzare il contenuto del file devi avercelo integro. Il modo giusto di rispettare la policy aziendale citata IMVHO è consentire l'upload dei file in un'area dedicata e non renderli disponibili all'utilizzo finchè non sono stati analizzati da un tool appropriato (o anche da un incaricato, se necessario).
Bye, F. Il giorno mar 7 mag 2019 alle ore 09:17 Flavio Visentin < [email protected]> ha scritto: > Buongiorno a tutti. > > Oggi per la prima volta un cliente mi ha chiesto di abilitare l'SSH > inspection verso un server che opera da SFTP server (con un file server > Windows che funge da backend e su cui salvati realmente i files) per > poter fare l'inspection del traffico da parte del firewall (Fortigate). > > Una delle policy aziendali richiede che sia fatta inspection di tutti i > flussi dati entranti compresi quelli crittografati. La motivazione > addotta dal cliente è che si vuole evitare che attraverso l'SFTP possano > essere caricati contenuti dannosi o inappropriati. > > A differenza dell'HTTPS inspection, che in alcuni casi ritengo possa > essere una pratica che aumenta la sicurezza dell'azienda consentendo di > intercettare alcune minacce sul perimetro (sebbene sia tendenzialmente > contrario per principio all'uso di strumenti di deep inspection per > motivi di privacy), nel caso del SSH inspecion sono *assolutamente* > contrario a tale scelta. > > In primo luogo perché SSH viene utilizzato anche per i task > amministrativi, quindi qualsiasi cosa si digiti (comprese eventuali > password) potrebbe essere vista in chiaro da chi amministra il firewall; > se i team che amministrano firewall e sistemi sono team differenti (come > in questo caso), si incorre in un problema di accountability delle > responsabilità in caso di problemi. > > Secondariamente non è a mio avviso lo strumento idoneo per raggiungere > questo scopo. Un demone SSH configurato correttamente unitamente all'uso > di fail2ban e buone policy delle password è sufficiente per difendersi > da attacchi al servizio SSH. L'utilizzo di un antivirus aggiornato e la > corretta configurazione dei file services di Windows sono invece > adeguati per verificare i contenuti e bloccare quelli potenzialmente > pericolosi e/o inappropriati. > > Infine lo reputo sbagliato perché da un falso senso di sicurezza, visto > che è facilmente bypassabile attivando un tunnel nel tunnel (lanciando > p.es. un ulteriore demone ssh o una pipe crittografata) e che, per > quanto possa essere valida la funzionalità di Fortinet, è praticamente > impossibile distinguere un'attività di console lecita da una illecita, > rendendo quindi di fatto inefficace l'inspection nei confronti di > attacchi mirati. > > Visto che però non mi era mai capitato di ricevere richieste di questo > tipo sarei interessato a sapere se sono l'unico che si fa paranoie su > questo aspetto, se le mie considerazioni sono condivise o se sono > ritenute errate, ed eventualmente leggere altri pareri in merito, anche > per rafforzare o rivedere la mia posizione sull'argomento. > > Grazie :) > > > -- > Flavio Visentin > > | \|||/ > | @/0.0\@ > | \ - / > +------------------oOOo---oOOo------------------ > > There are only 10 types of people in this world: > those who understand binary, and those who don't. > > GPG Key: http://www.zipman.it/gpgkey.asc > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
