View previous topic :: View next topic |
Author |
Message |
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Sat Nov 19, 2011 11:59 am Post subject: Amministrazione di rete. |
|
|
Ho avuto di recente una discussione con una specie di amministratore di sistema sulle modalità di gestione della rete e ci sono diverse cose che non riesco a capire (in realtà come ha cominciato a sentenziare sono troppo vecchio per queste str****te).
Costui professa i seguenti dogmi:
Lasciare l'abilità di connettersi direttamente a server mail esterni od interni è una grave vulnerabilità. Solo webmail perché sono più sicure.
Lasciare la possibilità di effettuare un rsync su server esterno è una gravissima vulnerabilità.
Una condivisione smb (per scambiare file criptati e pdf) è una vulnerabilità, più sicuro utilizzare desktop remoto accentrando le funzioni od al massimo utilizzare la mail (ma smtp non era il più facile da intercettare di smb?).
A parte i commenti sulla cretineria (scontata) vorrei sapere se qualcuno di voi ha sentito simili cose e se ne conosce l'origine (qualche pseudo documento tecnico di "mammona") tipiche rivistacce da sysdmin e cose del genere.
Solo da dove potrebbero scaturire simili affermazioni. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
ago Developer
Joined: 01 Mar 2008 Posts: 1527 Location: Milan, Italy
|
Posted: Sat Nov 19, 2011 7:14 pm Post subject: |
|
|
Per come la vede questo tipo bisognerebbe spegnere tutto; tutto è vulnerabile |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Sun Nov 20, 2011 1:58 pm Post subject: |
|
|
leggi meglio: usare il protocollo smb per condividere un file (documenti contabili) è insicuro perché qualcun altro dell'ufficio potrebbe leggerlo o modificarlo mentre mandarlo in chiaro su una mail (condivisa tra più persone) che potrebbe intercettare chicchessia mentre rimbalza tra il server (esterno) e la rete interna è più sicuro ... mah.
Il problema è che mi servono autorevoli smentite o capire da dove ha preso codeste "leggende urbane" non è importante ma se mi capita vorrei fargli fare la sua degna figura.
Qualcosa del genere poter dire: "vedi mio caro, quando leggi gli articoli su xxx fai attenzione a non capire al contrario, se vedi bene è scritto ...." in tono condiscendente e davanti ad opportuna platea...
Ripeto: se qualcuno può indicarmi eventuali fonti per codeste frottole ne sarei grato. Se ci avete già sbattuto il naso. Non è cosa da perderci la testa. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
.:deadhead:. Advocate
Joined: 25 Nov 2003 Posts: 2963 Location: Milano, Italy
|
Posted: Mon Dec 19, 2011 9:30 pm Post subject: |
|
|
mi sembra più frutto di leggende urbane che altro... Dicerie sentite lette e ripetute...
cosa vuol dire è più o meno sicuro?
se si permette l'accesso ai sistemi di posta solo su SSL (POPS, IMAPS etc etc) quel che prendi e/o invii al server non lo legge nessuno, e quindi l'unica "debolezza" sono le credenziali (brute force su user/pwd), problema che attanaglia anche un client web - con l'aggravante forse che in caso di vulnerabilità del suddetto client web potrebbe portare ad spiacevoli conseguenze.
Per il client smb si possono creare share con password... certo, non è il servizio ideale da esporre su internet (meglio SFTP) ma in una intranet...
Per rsync... se tu vai a leggere da fuori, rsync è un protocollo come un altro.. anzi forse fà meno danni un rsync che navigare sul web ed imbattersi in una pagina malevola. Se sto sedicente admin è tarato che apra sul firewall perimetrale la regola per uno specifico mirror, così da fugar ogni dubbio...
my 0.02€cent _________________ Proudly member of the Gentoo Documentation Project: the Italian Conspiracy ! |
|
Back to top |
|
|
djinnZ Advocate
Joined: 02 Nov 2006 Posts: 4831 Location: somewhere in L.O.S.
|
Posted: Tue Dec 20, 2011 11:15 am Post subject: |
|
|
dato che so che ci separano un migliaio di chilometri e che non credo ti interessi a quanto accade in terronia sono basito dalla coincidenza.
Oggi su un noto quotidiano locale si parla di come siano stati violati gli account email interni di diverse amministrazioni...
Non mi ricordo chi disse che la differenza tra la preveggenza ed il portar sfiga è nella prospettiva...
cerca thorwed su twitter ...
Il problema è che dovrei trovare qualcosa in stile mithbuster . Simili tarati si fanno schermo della laurea in ingegneria o dell'esser "tecnici".
Considera che anche in materia tecnica si ma non del loro ambito (fiscale, contabile, economica, legale etc.) non accettano quello che gli viene detto (da chi invece ha pieno titolo a sindacare i loro miti).
Tanto è solo per la soddisfazione di fargli fare la figura dei cretini.
Quote: | regola per uno specifico mirror | scusa ma mi viene da ridere solo all'idea di provare a spiegarla una cosa del genere... quando ne abbiamo discusso mi sono reso conto che non sanno neppure qual è la differenza tra porta in entrata e porta in uscita...
Grazie lo stesso però. _________________ scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist |
|
Back to top |
|
|
randomaze Bodhisattva
Joined: 21 Oct 2003 Posts: 9985
|
Posted: Sat Dec 31, 2011 12:21 pm Post subject: |
|
|
djinnZ wrote: | Quote: | regola per uno specifico mirror | scusa ma mi viene da ridere solo all'idea di provare a spiegarla una cosa del genere... quando ne abbiamo discusso mi sono reso conto che non sanno neppure qual è la differenza tra porta in entrata e porta in uscita... |
Detto così il ragionamento iniziale non fa una piega:
1) Connettersi a mail server mal configurati è una grave vulerabilità
2) abilitare cose ignote é una grave vulnerabilità (rsync....)
3) sulle le connessioni smb in effetti propenderei per dav o sftp o simili... _________________ Ciao da me! |
|
Back to top |
|
|
|