On Fri, 10 May 2019 at 12:24, Flavio Visentin <[email protected]> wrote: [...]
> Non conosco tale prodotto ma mi informerò (sempre cultura in più). Non > mi viene in mente però come possa essere tutelata (tecnicamente) la > privacy nel momento in cui metto in atto un MITM sulle comunicazioni. > La privacy è come la security, non è un tool ma un processo. La garantisci mettendo su gli appropriati controlli procedurali. > L'ispezione di SSH in realtà un senso ce l'ha eccome, dato che permette > > di tunnellizzare qualsiasi cosa, > > Bello e brutto del protocollo :) > Esatto :-) > > ed è un legittimo desiderio che il > > protocollo sia utilizzato soltanto per quello che si è progettato di > > fare (SFTP) bloccando tutto il resto (tunnel, esecuzione di binari, > > shell, X11...). > > Fortinet (così come Tectia) è in grado di fare questi > > filtri e rispondere a questo requisito di sicurezza. > > Questo però è gestibile con la configurazione corretta del demone ssh. [...] > Per gli admin, unici utenti che possono eseguire binari a scelta, non vedo invece come possano essere vincolati da un tool esterno più di quanto non si possa fare da configurazione ssh. "Defense in depth" significa non avere mai un solo controllo su cui fare affidamento - quello che tu chiami sotto "una pezza", in gergo si chiama "mitigation" :-) Sicuramente hai molte possibilità per raggiungere un certo risultato; il mio punto di vista è che ogni "pezza" o "mitigation" deve fare capo ad un team diverso. Due controlli, entrambi a disposizione degli admin Linux/UNIX, non rappresentano per me defense in depth. Un controllo in mano agli admin Linux e uno in mano al firewall team suona meglio. Tutto qua :-) Poi ovviamente, il contesto del tuo cliente lo conosci tu, sai tu cosa funziona e cosa no, eccetera. > Grazie per lo spunto di riflessione. > Prego! Marco Ermini CISSP <https://www.youracclaim.com/badges/8043409c-09f3-452e-9f49-f39ebe2ab765/public_url>, CISA <https://www.youracclaim.com/badges/f89a0c23-37c4-4400-95c7-55997e784218/public_url>, CISM <https://www.youracclaim.com/badges/a22ae4c6-5d31-48c2-9125-8a8251b479a6/public_url>, ITILv3 <https://www.youracclaim.com/badges/75ea1136-106b-4450-890a-ba4288828bb6>, GCIH <https://www.youracclaim.com/badges/38f38130-d97a-4925-bc88-820609d99f51/public_url>, RCSS http://www.linkedin.com/in/marcoermini <https://www.vyte.in/markoer>
