Ho avuto di recente una discussione con una specie di amministratore di sistema sulle modalità di gestione della rete e ci sono diverse cose che non riesco a capire (in realtà come ha cominciato a sentenziare sono troppo vecchio per queste str****te).
Costui professa i seguenti dogmi:
Lasciare l'abilità di connettersi direttamente a server mail esterni od interni è una grave vulnerabilità. Solo webmail perché sono più sicure.
Lasciare la possibilità di effettuare un rsync su server esterno è una gravissima vulnerabilità.
Una condivisione smb (per scambiare file criptati e pdf) è una vulnerabilità, più sicuro utilizzare desktop remoto accentrando le funzioni od al massimo utilizzare la mail (ma smtp non era il più facile da intercettare di smb?).
A parte i commenti sulla cretineria (scontata) vorrei sapere se qualcuno di voi ha sentito simili cose e se ne conosce l'origine (qualche pseudo documento tecnico di "mammona") tipiche rivistacce da sysdmin e cose del genere.
Solo da dove potrebbero scaturire simili affermazioni.
Amministrazione di rete.
Moderator: ago
Message
- djinnZ
- Advocate
- Posts: 4831
- Joined: Thu Nov 02, 2006 12:47 pm
- Location: somewhere in L.O.S.
- Contact:
Amministrazione di rete.
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
- djinnZ
- Advocate
- Posts: 4831
- Joined: Thu Nov 02, 2006 12:47 pm
- Location: somewhere in L.O.S.
- Contact:
leggi meglio: usare il protocollo smb per condividere un file (documenti contabili) è insicuro perché qualcun altro dell'ufficio potrebbe leggerlo o modificarlo mentre mandarlo in chiaro su una mail (condivisa tra più persone) che potrebbe intercettare chicchessia mentre rimbalza tra il server (esterno) e la rete interna è più sicuro ... mah.
Il problema è che mi servono autorevoli smentite o capire da dove ha preso codeste "leggende urbane" non è importante ma se mi capita vorrei fargli fare la sua degna figura.
Qualcosa del genere poter dire: "vedi mio caro, quando leggi gli articoli su xxx fai attenzione a non capire al contrario, se vedi bene è scritto ...." in tono condiscendente e davanti ad opportuna platea...
Ripeto: se qualcuno può indicarmi eventuali fonti per codeste frottole ne sarei grato. Se ci avete già sbattuto il naso. Non è cosa da perderci la testa.
Il problema è che mi servono autorevoli smentite o capire da dove ha preso codeste "leggende urbane" non è importante ma se mi capita vorrei fargli fare la sua degna figura.
Qualcosa del genere poter dire: "vedi mio caro, quando leggi gli articoli su xxx fai attenzione a non capire al contrario, se vedi bene è scritto ...." in tono condiscendente e davanti ad opportuna platea...
Ripeto: se qualcuno può indicarmi eventuali fonti per codeste frottole ne sarei grato. Se ci avete già sbattuto il naso. Non è cosa da perderci la testa.
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
- .:deadhead:.
- Advocate
- Posts: 2963
- Joined: Tue Nov 25, 2003 5:17 pm
- Location: Milano, Italy
mi sembra più frutto di leggende urbane che altro... Dicerie sentite lette e ripetute...
cosa vuol dire è più o meno sicuro?
se si permette l'accesso ai sistemi di posta solo su SSL (POPS, IMAPS etc etc) quel che prendi e/o invii al server non lo legge nessuno, e quindi l'unica "debolezza" sono le credenziali (brute force su user/pwd), problema che attanaglia anche un client web - con l'aggravante forse che in caso di vulnerabilità del suddetto client web potrebbe portare ad spiacevoli conseguenze.
Per il client smb si possono creare share con password... certo, non è il servizio ideale da esporre su internet (meglio SFTP) ma in una intranet...
Per rsync... se tu vai a leggere da fuori, rsync è un protocollo come un altro.. anzi forse fà meno danni un rsync che navigare sul web ed imbattersi in una pagina malevola. Se sto sedicente admin è tarato che apra sul firewall perimetrale la regola per uno specifico mirror, così da fugar ogni dubbio...
my 0.02€cent
cosa vuol dire è più o meno sicuro?
se si permette l'accesso ai sistemi di posta solo su SSL (POPS, IMAPS etc etc) quel che prendi e/o invii al server non lo legge nessuno, e quindi l'unica "debolezza" sono le credenziali (brute force su user/pwd), problema che attanaglia anche un client web - con l'aggravante forse che in caso di vulnerabilità del suddetto client web potrebbe portare ad spiacevoli conseguenze.
Per il client smb si possono creare share con password... certo, non è il servizio ideale da esporre su internet (meglio SFTP) ma in una intranet...
Per rsync... se tu vai a leggere da fuori, rsync è un protocollo come un altro.. anzi forse fà meno danni un rsync che navigare sul web ed imbattersi in una pagina malevola. Se sto sedicente admin è tarato che apra sul firewall perimetrale la regola per uno specifico mirror, così da fugar ogni dubbio...
my 0.02€cent
- djinnZ
- Advocate
- Posts: 4831
- Joined: Thu Nov 02, 2006 12:47 pm
- Location: somewhere in L.O.S.
- Contact:
dato che so che ci separano un migliaio di chilometri e che non credo ti interessi a quanto accade in terronia sono basito dalla coincidenza.Oggi su un noto quotidiano locale si parla di come siano stati violati gli account email interni di diverse amministrazioni...
Non mi ricordo chi disse che la differenza tra la preveggenza ed il portar sfiga è nella prospettiva...
cerca thorwed su twitter ...
Il problema è che dovrei trovare qualcosa in stile mithbuster . Simili tarati si fanno schermo della laurea in ingegneria o dell'esser "tecnici".
Considera che anche in materia tecnica si ma non del loro ambito (fiscale, contabile, economica, legale etc.) non accettano quello che gli viene detto (da chi invece ha pieno titolo a sindacare i loro miti).
Tanto è solo per la soddisfazione di fargli fare la figura dei cretini.
scusa ma mi viene da ridere solo all'idea di provare a spiegarla una cosa del genere... quando ne abbiamo discusso mi sono reso conto che non sanno neppure qual è la differenza tra porta in entrata e porta in uscita...regola per uno specifico mirror
Grazie lo stesso però.
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist
Detto così il ragionamento iniziale non fa una piega:djinnZ wrote:scusa ma mi viene da ridere solo all'idea di provare a spiegarla una cosa del genere... quando ne abbiamo discusso mi sono reso conto che non sanno neppure qual è la differenza tra porta in entrata e porta in uscita...regola per uno specifico mirror
1) Connettersi a mail server mal configurati è una grave vulerabilità
2) abilitare cose ignote é una grave vulnerabilità (rsync....)
3) sulle le connessioni smb in effetti propenderei per dav o sftp o simili...
Ciao da me!