On 07/05/19 16:05, Marco Ermini wrote:
Salve
Ci sono tool appositi che permettono di effettuare questa ispezione
senza violazione della privacy o gli altri svantaggi che citi (e.g. Tectia).
Non conosco tale prodotto ma mi informerò (sempre cultura in più). Non
mi viene in mente però come possa essere tutelata (tecnicamente) la
privacy nel momento in cui metto in atto un MITM sulle comunicazioni.
L'ispezione di SSH in realtà un senso ce l'ha eccome, dato che permette
di tunnellizzare qualsiasi cosa,
Bello e brutto del protocollo :)
ed è un legittimo desiderio che il
protocollo sia utilizzato soltanto per quello che si è progettato di
fare (SFTP) bloccando tutto il resto (tunnel, esecuzione di binari,
shell, X11...).
Fortinet (così come Tectia) è in grado di fare questi
filtri e rispondere a questo requisito di sicurezza.
Questo però è gestibile con la configurazione corretta del demone ssh.
Per esempio in questo specifico caso tutti gli utenti che devono fare
solo SFTP sono vincolati al solo subsystem SFTP, con impossibilità di
fare tunnel o eseguire comandi (al netto di bug di openssh che comunque
dubito verrebbero intercettati dal firewall e che la storia riporta come
molto molto rari).
Per gli admin, unici utenti che possono eseguire binari a scelta, non
vedo invece come possano essere vincolati da un tool esterno più di
quanto non si possa fare da configurazione ssh. Voglio dire, un semplice
"cat | aespipe" blocca qualsiasi possibile intercettazione essendo una
crittografia a sé stante. A meno di non bloccare qualsiasi flusso non
conosciuto (ma in tal caso blocchi i task amministrativi tout court)
oppure di adottare una procedura di controllo che, a posteriori, in caso
di rilevamento di traffico considerato anomalo alzi la bandierina (IDS)
e vi sia una verifica personale dell'operato (ovvero il resp sicurezza
non chieda conto di quel traffico all'amministratore che lo ha generato).
Quest'ultimo aspetto, a cui precedentemente non avevo pensato, porta
effettivamente un miglioramento della sicurezza, almeno per la parte di
DLP, ma mi pare di difficile realizzazione in un'infrastruttura
mediamente complessa. Anche in questo caso per esempio se dovessi
realmente avere necessità tanto stringenti, preferirei implementare un
sistema di accesso amministrativo in cui siano richiesti
contemporaneamente N admin di M totali per poter accedere alla macchina
e quindi avere un controllo intrinseco dell'operato del singolo (quello
che per esempio viene fatto in alcune aziende per l'accesso fisico al
CED in cui un utente non può entrare da solo nella sala ma deve sempre
essere accompagnato dal responsabile preposto).
Nel contesto comune vedo più l'utilizzo di questa feature come "pezza"
utile per limitare certe funzionalità in caso di configurazioni errate.
Ma ha senso usare questo strumento o ha forse più senso revisionare le
configurazioni con un corretto processo di configuration management (che
rientra comunque nelle best practice di sicurezza)?
Si tratta quindi di bilanciare pro e contro e decide lo strumento adatto.
In medio stat virtus. :)
Grazie per lo spunto di riflessione.
--
Flavio Visentin
| \|||/
| @/0.0\@
| \ - /
+------------------oOOo---oOOo------------------
There are only 10 types of people in this world:
those who understand binary, and those who don't.
GPG Key: http://www.zipman.it/gpgkey.asc
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
