Salve Ci sono tool appositi che permettono di effettuare questa ispezione senza violazione della privacy o gli altri svantaggi che citi (e.g. Tectia).
L'ispezione di SSH in realtà un senso ce l'ha eccome, dato che permette di tunnellizzare qualsiasi cosa, ed è un legittimo desiderio che il protocollo sia utilizzato soltanto per quello che si è progettato di fare (SFTP) bloccando tutto il resto (tunnel, esecuzione di binari, shell, X11...). Fortinet (così come Tectia) è in grado di fare questi filtri e rispondere a questo requisito di sicurezza. In aggiunta, l'abilità di ispezionare i file trasferiti serve per individuare malware, data leakage, etc. Si tratta quindi di bilanciare pro e contro e decide lo strumento adatto. Cordiali saluti On Tue, 7 May 2019 at 09:24, Flavio Visentin <[email protected]> wrote: > Buongiorno a tutti. > > Oggi per la prima volta un cliente mi ha chiesto di abilitare l'SSH > inspection verso un server che opera da SFTP server (con un file server > Windows che funge da backend e su cui salvati realmente i files) per > poter fare l'inspection del traffico da parte del firewall (Fortigate). > > Una delle policy aziendali richiede che sia fatta inspection di tutti i > flussi dati entranti compresi quelli crittografati. La motivazione > addotta dal cliente è che si vuole evitare che attraverso l'SFTP possano > essere caricati contenuti dannosi o inappropriati. > > A differenza dell'HTTPS inspection, che in alcuni casi ritengo possa > essere una pratica che aumenta la sicurezza dell'azienda consentendo di > intercettare alcune minacce sul perimetro (sebbene sia tendenzialmente > contrario per principio all'uso di strumenti di deep inspection per > motivi di privacy), nel caso del SSH inspecion sono *assolutamente* > contrario a tale scelta. > > In primo luogo perché SSH viene utilizzato anche per i task > amministrativi, quindi qualsiasi cosa si digiti (comprese eventuali > password) potrebbe essere vista in chiaro da chi amministra il firewall; > se i team che amministrano firewall e sistemi sono team differenti (come > in questo caso), si incorre in un problema di accountability delle > responsabilità in caso di problemi. > > Secondariamente non è a mio avviso lo strumento idoneo per raggiungere > questo scopo. Un demone SSH configurato correttamente unitamente all'uso > di fail2ban e buone policy delle password è sufficiente per difendersi > da attacchi al servizio SSH. L'utilizzo di un antivirus aggiornato e la > corretta configurazione dei file services di Windows sono invece > adeguati per verificare i contenuti e bloccare quelli potenzialmente > pericolosi e/o inappropriati. > > Infine lo reputo sbagliato perché da un falso senso di sicurezza, visto > che è facilmente bypassabile attivando un tunnel nel tunnel (lanciando > p.es. un ulteriore demone ssh o una pipe crittografata) e che, per > quanto possa essere valida la funzionalità di Fortinet, è praticamente > impossibile distinguere un'attività di console lecita da una illecita, > rendendo quindi di fatto inefficace l'inspection nei confronti di > attacchi mirati. > > Visto che però non mi era mai capitato di ricevere richieste di questo > tipo sarei interessato a sapere se sono l'unico che si fa paranoie su > questo aspetto, se le mie considerazioni sono condivise o se sono > ritenute errate, ed eventualmente leggere altri pareri in merito, anche > per rafforzare o rivedere la mia posizione sull'argomento. > > Grazie :) > > > -- > Flavio Visentin > > | \|||/ > | @/0.0\@ > | \ - / > +------------------oOOo---oOOo------------------ > > There are only 10 types of people in this world: > those who understand binary, and those who don't. > > GPG Key: http://www.zipman.it/gpgkey.asc > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Marco Ermini CISSP <https://www.youracclaim.com/badges/8043409c-09f3-452e-9f49-f39ebe2ab765/public_url>, CISA <https://www.youracclaim.com/badges/f89a0c23-37c4-4400-95c7-55997e784218/public_url>, CISM <https://www.youracclaim.com/badges/a22ae4c6-5d31-48c2-9125-8a8251b479a6/public_url>, ITILv3 <https://www.youracclaim.com/badges/75ea1136-106b-4450-890a-ba4288828bb6>, GCIH <https://www.youracclaim.com/badges/38f38130-d97a-4925-bc88-820609d99f51/public_url>, RCSS http://www.linkedin.com/in/marcoermini <https://www.vyte.in/markoer>
