Discussion:
Bloccare modem UMTS
(too old to reply)
Alessandro Bulgarelli
2009-02-20 11:35:29 UTC
Permalink
Ciao a tutta la lista.
Vi scrivo per porre alla vostra attenzione una problematica che potrebbe essere di comune interesse per i partecipanti della lista.
Nella azienda dove lavoro, molti dipendenti vengono dotati di telefoni cellulari UMTS (in particolare Nokia E51). Come saprete, questi cellulari possono agevolmente utilizzati come modem; PC Suite, in particolare, presenta proprio una voce che recita "Conetti a Internet" che apre una pratica GUI per la connessione alla Rete.
I problemi di sicurezza sono piuttosto evidenti in quanto se questa connessione viene utilizzata quando il cellulare è collegato ad un pc della rete aziendale, viene a crearsi un bridge tra rete interna e Internet che scavalca di fatto tutte le protezioni al bordo (firewall in primis, ma anche content filtering, proxy...).
Direte voi: "bè, non lasciare che gli utenti colleghino i cellulari alla rete!". Rispondo io dicendo che a parte il fatto che mi risulta piuttosto difficile controllare che TUTTI gli utenti si comportino bene (la mia azienda è distribuita geograficamente), molti di questi dipendenti devono poter collegare il cellulare al pc aziendale per sincronizzare la rubrica e l'agenda del cell con outlook.
Premetto che in azienda non abbiamo sistemi di NAC o di Endpoint protection per evitare ponti tra reti diverse.
Ho cercato in lungo e in largo per determinare se è possibile trafficare un po' con le chiavi di registro di PC Suite per inibire le funzionalità di modem ma consentire le altre, però per ora non ho trovato niente (anzi, la maggior parte dei link che trovo riguardano il FAR funzionare il modem).
Ho provato anche a disinstallare i vari "Pacchetti driver per il modem" che si trovano nel menù Installazione Applicazioni di Winzozz ma sembra non contare assolutamente a nulla.
Vi viene una qualche idea?
Grazie in anticipo a tutti.
Alessandro

"Software is like sex. It's better when it's free." -- Linus Torvalds



Passa a Yahoo! Mail.

La webmail che ti offre GRATIS spazio illimitato,
antispam e messenger integrato.
http://it.mail.yahoo.com/              
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Sythos
2009-02-21 13:18:08 UTC
Permalink
On Fri, 20 Feb 2009 11:35:29 +0000 (GMT)
riguardano il FAR funzionare il modem). Ho provato anche a
disinstallare i vari "Pacchetti driver per il modem" che si trovano
nel menù Installazione Applicazioni di Winzozz ma sembra non contare
assolutamente a nulla. Vi viene una qualche idea? Grazie in anticipo
a tutti. Alessandro
Da admin installa la suite nokia, togli le spunte di condivisione di
internet sua su l'interfaccia usb/bt che eth0, anchye se si connettono
windows non dovrebbe far passare i dati fra le due reti, oppure
malconfigurarlo apposta a telefono connesso (da utente non possono
rimettere a posto i settaggi, che so, dns sbagliati su interfaccia
usb/bt)

Una bella circolare sul corretto uso dei telefoni aziendali potrebbe
fare da flebile deterrente psicologico...
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Federico Lombardo
2009-02-21 21:22:56 UTC
Permalink
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Post by Alessandro Bulgarelli
Vi viene una qualche idea?
Grazie in anticipo a tutti.
Alessandro
Ale,
devi smanettare con le GPO di dominio di Active Directory.
Hai parecchio da "studiare", ma il modo c'è.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFJoHCwhI8ReC4mdhARAhGtAJ4j+PAIE02zwCpeSdDhg7x5x/GoaACgwJlm
G+Ztocpd5Vi6fpDvHJ0MDnY=
=ahG5
-----END PGP SIGNATURE-----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
wipedisk
2009-02-21 17:44:32 UTC
Permalink
On Fri, 20 Feb 2009 11:35:29 +0000 (GMT)
Direte voi: "bÚ, non lasciare che gli utenti colleghino i cellulari
alla rete!". Rispondo io dicendo che a parte il fatto che mi risulta
piuttosto difficile controllare che TUTTI gli utenti si comportino
bene (la mia azienda Ú distribuita geograficamente), molti di questi
dipendenti devono poter collegare il cellulare al pc aziendale per
sincronizzare la rubrica e l'agenda del cell con outlook.
lo so che non e' la soluzione, ma e' un'alternativa, nella mia azienda
sono stati cambiati tutti i telefoni mobili con modelli che servono
SOLO per telefonare, senza fotocamere, modem e altri "fronzoli".
--
wipedisk
marco misitano
2009-02-23 15:41:42 UTC
Permalink
Post by wipedisk
lo so che non e' la soluzione, ma e' un'alternativa, nella mia azienda
sono stati cambiati tutti i telefoni mobili con modelli che servono
SOLO per telefonare, senza fotocamere, modem e altri "fronzoli".
é un approccio miope. la tua azienda si sta giocando un significativo
aumento della produttività individuale legato all'utilizzo di smartphone
di ultima generazione. esempio stupidissimo: alla fine di un meeting io
scatto una foto alla lavagna e me la mando via email risparmiando un
casino di tempo di copiatura. leggo (e rispondo) alle email anche dal
supermercato o imbottigliato in tangenziale (ma anche in svariati altri
posti e situazioni meno menzionabili pubblicamente).

ma, hey ! questa strada potrebbe essere una soluzione su scala ancora
più larga: se non si usano mezzi informatici ogni problema di ICT
security é risolto!

a mio avviso, però, tornare all'età della pietra non é una strada
percorribile. ci sono svariati motivi per cui un telefono UMTS (e
smartphone, e ecc...) migliora alla fin fine la produttività
individuale. di conseguenza la sicurezza di questi apparati va gestita,
non eliminato il problema in modo cavernicolo

(niente di personale, beninteso...)

Ciao
Alessio Orlandi
2009-02-23 17:49:22 UTC
Permalink
é un approccio miope. la tua azienda si sta giocando un significativo
aumento della produttività individuale legato all'utilizzo di smartphone di
ultima generazione.
Posso confermare che non è un caso isolato.
In una multinazionale americana (che non è quella in cui lavoro), ai
diregenti di prima e seconda fascia sono stati tolti i cellulari di
categoria Business che avevano in dotazione, ad esempio 6230, E65,
ecc, e gli sono stati sostituiti con dei Nokia di basso livello, senza
modem umts e soo con la videocamera. Sono i cellulari da 40 € al
supermercato.

Contemporaneamente è stato dato il BlackBerry, configurato con il solo
accesso al sistema di posta e con la possibilità di navigare su
internet attraverso il browser preinstallato.
Non chiedetemi il perchè della doppia dotazione, visto che con il BB
potrebbero anche telefonare, ma il servizio voce è stato disattivato.

Dal punto di vista della sicurezza ci hanno guadagnato, ma come
confort del dirigente... insomma :-)

Ciao
Ale
Marco Ermini
2009-02-25 15:14:29 UTC
Permalink
2009/2/23 Alessio Orlandi:
[...]
Post by Alessio Orlandi
Contemporaneamente è stato dato il BlackBerry, configurato con il solo
accesso al sistema di posta e con la possibilità di navigare su
internet attraverso il browser preinstallato.
Non chiedetemi il perchè della doppia dotazione, visto che con il BB
potrebbero anche telefonare, ma il servizio voce è stato disattivato.
È normale succede anche a noi (abbiamo tutti sia cell che BlackBerry).
Un po' è una questione di "legacy" dai tempi di quando il BlackBerry
non era così ottimale per telefonare. Inoltre sono ancora pochi i BB
UMTS ed è semplicemente troppo comodo poter leggere un documento in
PDF/Word/Excel _mentre_ fai una conference call (con l'altro
telefono).

Alle team assistant viene fornito il solo BB ;-)
Post by Alessio Orlandi
Dal punto di vista della sicurezza ci hanno guadagnato, ma come
confort del dirigente... insomma :-)
Le funzionalità di un BB sono 100 volte superiori a quelle di
qualsiasi fancy smartphone. Darei indietro _al volo_ qualsiasi iPhone,
Nokia N95 e compagnia bella contro il solo BB Bluecurve (che non è
manco UMTS). La capacità di uso di email e attachment è incomparabile
e per un utilizzo "corporate" è la cosa più importante.


Ciao
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Rissone Ruggero
2009-02-23 09:03:23 UTC
Permalink
-----Messaggio originale-----
Inviato: sabato 21 febbraio 2009 18.45
Oggetto: Re: [ml] Bloccare modem UMTS
lo so che non e' la soluzione, ma e' un'alternativa, nella
mia azienda sono stati cambiati tutti i telefoni mobili con
modelli che servono SOLO per telefonare, senza fotocamere,
modem e altri "fronzoli".
Ovviamente hai intimato a tutti gli store di non vendere telefonini ai dipendenti della "tua" azienda, non mi sembra granche' come alternativa ;-)
Siccome il bridging non e' un problema limitato all'utilizzo del telefono aziendale come modem, occorre intervenire a livello di rete per prevenire ponti tra subnet differenti. In particolar modo se la tua rete aziendale deve permettere l'accesso da remoto da parte dei dipendenti occorre tener presenti questi aspetti che, secondo me, non si devono fermare alla semplici restrizioni a livello di Policy ma, come suggerito gia' da altri, soluzioni NAC piu' o meno sofisticate.
Altri esempi classici di bridging : linee ADSL di laboratorio (cosi' riesco a vedere quei siti che mi vengono filtrati dal proxy aziendale), chiavette UMTS, linee modem analogiche (quasi tutti i portatili ad es. hanno un modem integrato V.92), interfacce WLAN.
Implementando una soluzione NAC tieni sotto controllo tutte le possibili fonti di vulnerabilita', a prescindere da cosa utilizza il dipendente "indisciplinato".

Saluti
RR


Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie.

This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks.
Luca Berra
2009-02-24 07:19:02 UTC
Permalink
Post by Rissone Ruggero
Siccome il bridging non e' un problema limitato all'utilizzo del telefono aziendale come modem, occorre intervenire a livello di rete per prevenire ponti tra subnet differenti. In particolar modo se la tua rete aziendale deve permettere l'accesso da remoto da parte dei dipendenti occorre tener presenti questi aspetti che, secondo me, non si devono fermare alla semplici restrizioni a livello di Policy ma, come suggerito gia' da altri, soluzioni NAC piu' o meno sofisticate.
Altri esempi classici di bridging : linee ADSL di laboratorio (cosi' riesco a vedere quei siti che mi vengono filtrati dal proxy aziendale), chiavette UMTS, linee modem analogiche (quasi tutti i portatili ad es. hanno un modem integrato V.92), interfacce WLAN.
Implementando una soluzione NAC tieni sotto controllo tutte le possibili fonti di vulnerabilita', a prescindere da cosa utilizza il dipendente "indisciplinato".
Una possibilita' e' obbligare gli utenti ad utilizzare una vpn senza
possibilita' di split tunnel per collegarsi alla rete aziendale anche in
ufficio, purtroppo se i client sono windows e parte di un dominio AD,
potresti riscontrare qualche piccolo inconveniente, a meno che il DC non
sia visibile anche senza vpn.
ovviamente le stampanti devono essere su una rete raggiungibile da vpn,
non sulla rete client.
Post by Rissone Ruggero
Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie.
Nell'improbabile caso che tu mi mandassi una mail per errore, a chi devo
fatturare il costo della distruzione???
--
Luca Berra -- ***@comedia.it
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco Ermini
2009-02-25 15:52:56 UTC
Permalink
2009/2/23 Rissone Ruggero:
[...]
Post by Rissone Ruggero
Implementando una soluzione NAC tieni sotto controllo tutte le possibili fonti di vulnerabilita', a prescindere da
cosa utilizza il dipendente "indisciplinato".
Non capisco come un NAC possa controllare interfacce di rete sui
client, diverse da quelle con cui il client stesso si collega alla
rete aziendale... forse ho bisogno di essere illuminato? .-)

Secondo me, se qualcuno ha una seconda interfaccia di rete su un PC
(qualsiasi essa sia, Ethernet PcCard, WiFi, Bluetooth, modem, UMTS...)
non hai modo di controllarla da NAC, a meno di non avere il PC
integrato nell'Active Directory e smanettare con le Group Policy, come
già suggerito. Ma non è facile. Oltretutto, questo fa comunque a
cazzotti con la mobilità dell'utente, che magari con lo stesso laptop
deve essere in grado di viaggiare e di usare l'UMTS quando non è in
ufficio.

La soluzione migliore è come a volte accade non tecnica, ovvero
imporre una policy aziendale. Quando vedi attività di malware o di
traffico di rete non consentito provenire da un client, lo "becchi"
specificamente e allora controlli se il tizio ha rispettato la policy
o meno - e un controllo su una singola persona è piuttosto facile da
fare.

Altra possibilità è avere un agreement con una compagnia telefonica
per un APN dedicato alla tua azienda, su cui applichi security policy
e tariffazione dedicati...


Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Rissone Ruggero
2009-03-02 16:19:34 UTC
Permalink
-----Messaggio originale-----
Inviato: mercoledì 25 febbraio 2009 16.53
Oggetto: Re: R: [ml] Bloccare modem UMTS
Ma non è facile. Oltretutto, questo fa comunque a
cazzotti con la mobilità dell'utente, che magari con lo
stesso laptop deve essere in grado di viaggiare e di usare
l'UMTS quando non è in ufficio.
La soluzione migliore è come a volte accade non tecnica,
ovvero imporre una policy aziendale.
Una policy aziendale se non supportata da una soluzione tecnica adeguata che "forza" il dipendente a seguirla lascia il tempo che trova...
Se il portatile del dipendente "mobile" viene "forzato" ad utilizzare sempre la rete aziendale (ad esempio mediante VPN e/o APN dedicati e l'utilizzo di certificati ) puoi mantenere un certo controllo su cosa avviene, idem per il discorso bridging, disabilitato mediante GPO.



Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie.

This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Marco Ermini
2009-03-03 21:35:40 UTC
Permalink
Post by Rissone Ruggero
Post by Marco Ermini
La soluzione migliore è come a volte accade non tecnica,
ovvero imporre una policy aziendale.
Una policy aziendale se non supportata da una soluzione tecnica adeguata che "forza" il dipendente a seguirla
lascia il tempo che trova...
Sono d'accordo solo parzialmente, o meglio: questo è il punto di vista
del tecnologo puro. Come Manager, non sono d'accordo. Tendo a cercare
sempre la soluzione tecnica, ma non evito di scrivere la policy
soltanto perché non c'è al momento una soluzione tecnica adeguata.

La mia esperienza mi suggerisce l'esatto contrario. Metti una
soluzione tecnica, e l'aggireranno. (hai voglia te a mettere le Group
Policy che vuoi, chi segue il blog di Mark Russinovich sa come è
facile aggirarle. Se poi si parla di laptop che il
consulente/dipendente può portarsi a casa, o su cui ha addirittura i
privilegi di Administrator...).

Al contrario, scritta la policy, e dato un bel calcio nel c..o al
primo pirla che diffonde malware perché si collega ai siti porno con
la scheda UMTS... ti assicuro che questo è il deterrente migliore che
c'è - miracolosamente, diventano tutti ubbidienti agnellini :-)

Quello che succede in pratica nella security di una grande azienda, è
che ti capita il classico "incident" e quando vai ad indagare, scopri
cosa è successo - che è in pratica che un dipendente/consulente l'ha
violata. Se hai una policy scritta, approvata, diffusa, ecc., un bel
calcio nel sedere non glielo leva nessuno. Il gossip poi fa il resto:
funziona meglio di qualsiasi Bayern Trojan ;-)
Post by Rissone Ruggero
Se il portatile del dipendente "mobile" viene "forzato" ad utilizzare sempre la rete aziendale (ad esempio
mediante VPN e/o APN dedicati e l'utilizzo di certificati )  puoi mantenere un certo controllo su cosa avviene,
idem per il discorso bridging, disabilitato mediante GPO.
Se il dipendente mobile utilizza SSL, Tor o cose simili, non sai cosa
sta facendo. E ancora, GPO si disabilita lanciando un EXE che si
scarica da Internet... o in molti altri modi


Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Kinkie
2009-03-02 15:25:21 UTC
Permalink
Post by Marco Ermini
[...]
Post by Rissone Ruggero
Implementando una soluzione NAC tieni sotto controllo tutte le possibili fonti di vulnerabilita', a prescindere da
cosa utilizza il dipendente "indisciplinato".
Non capisco come un NAC possa controllare interfacce di rete sui
client, diverse da quelle con cui il client stesso si collega alla
rete aziendale... forse ho bisogno di essere illuminato? .-)
Dipende dalla soluzione di NAC.
Alcune agiscono installando un agente sul sistema (o appoggiandosi a
uno specifico agente preistallato), a quel punto "the sky's the
limit". Non ci sono che io sappia group policy che possono andare
cosi` nel dettaglio (immagino sia possibile disabilitare una classe di
dispositivi tout court, ma anche se e` cosi` e` davvero molto
grossolano)
Post by Marco Ermini
La soluzione migliore Ú come a volte accade non tecnica, ovvero
imporre una policy aziendale. Quando vedi attività di malware o di
traffico di rete non consentito provenire da un client, lo "becchi"
specificamente e allora controlli se il tizio ha rispettato la policy
o meno - e un controllo su una singola persona Ú piuttosto facile da
fare.
Concordo. Purtroppo scala male con il numero di incidenti, ma per
numeri limitati e` piu` efficace di qualsiasi soluzione tecnica.
Post by Marco Ermini
Altra possibilità Ú avere un agreement con una compagnia telefonica
per un APN dedicato alla tua azienda, su cui applichi security policy
e tariffazione dedicati...
Visto dal punto di vista del cliente, e` molto poco appetibile. I
livelli di sicurezza, disponibilita`, affidabilita` e controllo di una
soluzione del genere sono molto inferiori rispetto a una VPN su
Internet, ma in compenso i costi sono maggiori (no, non e` un typo).
--
/kinkie
Domenico Viggiani
2009-03-03 15:36:32 UTC
Permalink
Post by Kinkie
Dipende dalla soluzione di NAC.
Alcune agiscono installando un agente sul sistema (o appoggiandosi a
uno specifico agente preistallato), a quel punto "the sky's the limit".
Non ci sono che io sappia group policy che possono andare cosi` nel
dettaglio (immagino sia possibile disabilitare una classe di
dispositivi tout court, ma anche se e` cosi` e` davvero molto
grossolano)
<commercial>
Esistono soluzioni commerciali che ti consentono di controllare in maniera centralizzata e molto poco eludibile tutti i device esterni. Es. Lumension Device Control™ – (formerly Sanctuary)
</commercial>
Marco Ermini
2009-03-03 21:50:11 UTC
Permalink
2009/3/2 Kinkie:
[...]
Post by Kinkie
Dipende dalla soluzione di NAC.
Alcune agiscono installando un agente sul sistema (o appoggiandosi a
uno specifico agente preistallato), a quel punto "the sky's the
limit". Non ci sono che io sappia group policy che possono andare
cosi` nel dettaglio (immagino sia possibile disabilitare una classe di
dispositivi tout court, ma anche se e` cosi` e` davvero molto
grossolano)
Non conoscerò tutte le soluzioni sul mercato, ma quelle con cui sono
familiare (Cisco ed IBM/ISS) non consentono nulla del genere, almeno
semplicemente (anzi "semplicemente" consentono ben pochino in
realtà...)

Quello che in pratica fai è utilizzare 801.x per autenticare i laptop
alla rete switched, non conosco grandi aziende che fanno deploy di
soluzioni NAC di un certo vendor specifico. O comunque mi pare poco
pratico.


[...]
Post by Kinkie
Post by Marco Ermini
Altra possibilità è avere un agreement con una compagnia telefonica
per un APN dedicato alla tua azienda, su cui applichi security policy
e tariffazione dedicati...
Visto dal punto di vista del cliente, e` molto poco appetibile. I
livelli di sicurezza, disponibilita`, affidabilita` e controllo di una
soluzione del genere sono molto inferiori rispetto a una VPN su
Internet, ma in compenso i costi sono maggiori (no, non e` un typo).
Non sono d'accordo. Dipende da come è configurata la tua VPN. Se lato
client non verifichi tramite certificato l'autenticità del server (e
quasi nessuno lo fa, quasi tutti si connettono ad un certo indirizzo
IP e gli forniscono il token RSA o qualcosa di simile...) è molto
semplice realizzare un "man-in-the-middle" quando sei attaccato ad una
rete WiFi in un aereoporto o in un hotel. Questo per esempio è lo
standard degli hotel in Cina :-) ci sono testimonianze di gente che
_credeva_ di essersi connessa via VPN alla rete aziendale, ha spedito
email, e queste email sono arrivate correttamente al destinatario, con
soltanto qualche header "Received:" in più (geolocato in Cina...).
Insomma, si fanno una bella copia giusto in caso...

Se accedi ad un APN dedicato, questo tipo di attacco è praticamente
impossibile, invece. A meno che il tuo gestore telefonico non sia un
caprone (purtroppo ce ne sono!...), viaggi su una rete packed con un
protocollo non ancora violato da alcuno, finchè non accedi all'unico
IP visibile da cui tutto deve passare - il tuo default gw è il tuo APN
e non vedi nient'altro.

Questo porta altri problemi - per es. molte applicazioni "p2p" o di
videoconferenza, ecc. o la mobilità degli utenti, ecc. - dato che a
volte finisci in un pool di indirizzi privati che devono essere
NATtati; ma a parte i problemi di usabilità, c'è ben poco di più
sicuro che questo tipo di accesso.

Che poi sia più costoso... dipende dallo scenario :-)


Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Kinkie
2009-03-08 08:23:06 UTC
Permalink
[...]
Post by Kinkie
Dipende dalla soluzione di NAC.
Alcune agiscono installando un agente sul sistema (o appoggiandosi a
uno specifico agente preistallato), a quel punto "the sky's the
limit". Non ci sono che io sappia group policy che possono andare
cosi` nel dettaglio (immagino sia possibile disabilitare una classe di
dispositivi tout court, ma anche se e` cosi` e` davvero molto
grossolano)
Non conoscerò tutte le soluzioni sul mercato, ma quelle con cui sono
familiare (Cisco ed IBM/ISS) non consentono nulla del genere, almeno
semplicemente (anzi "semplicemente" consentono ben pochino in
realtà...)
Quello che in pratica fai Ú utilizzare 801.x per autenticare i laptop
alla rete switched, non conosco grandi aziende che fanno deploy di
soluzioni NAC di un certo vendor specifico. O comunque mi pare poco
pratico.
Il client 802.1x di Juniper (Odyssey Access Client) fa queste cose
molto bene da quello che so.
[...]
Post by Kinkie
Post by Marco Ermini
Altra possibilità Ú avere un agreement con una compagnia telefonica
per un APN dedicato alla tua azienda, su cui applichi security policy
e tariffazione dedicati...
Visto dal punto di vista del cliente, e` molto poco appetibile. I
livelli di sicurezza, disponibilita`, affidabilita` e controllo di una
soluzione del genere sono molto inferiori rispetto a una VPN su
Internet, ma in compenso i costi sono maggiori (no, non e` un typo).
Non sono d'accordo. Dipende da come Ú configurata la tua VPN. Se lato
client non verifichi tramite certificato l'autenticità del server (e
quasi nessuno lo fa, quasi tutti si connettono ad un certo indirizzo
IP e gli forniscono il token RSA o qualcosa di simile...) Ú molto
semplice realizzare un "man-in-the-middle" quando sei attaccato ad una
rete WiFi in un aereoporto o in un hotel. Questo per esempio Ú lo
standard degli hotel in Cina :-) ci sono testimonianze di gente che
_credeva_ di essersi connessa via VPN alla rete aziendale, ha spedito
email, e queste email sono arrivate correttamente al destinatario, con
soltanto qualche header "Received:" in più (geolocato in Cina...).
Insomma, si fanno una bella copia giusto in caso...
Ci sono protezioni possibili anche per questo, ma sono d'accordo che
lo scenario e` plausibile.
Se accedi ad un APN dedicato, questo tipo di attacco Ú praticamente
impossibile, invece. A meno che il tuo gestore telefonico non sia un
caprone (purtroppo ce ne sono!...), viaggi su una rete packed con un
protocollo non ancora violato da alcuno, finchÚ non accedi all'unico
IP visibile da cui tutto deve passare - il tuo default gw Ú il tuo APN
e non vedi nient'altro.
Come sempre ci sono molti livelli su cui si puo` intervenire,
l'importante e` non pensare che intervenire su uno solo sia
sufficiente. Potendo fare altrimenti, tendo comunque a non fidarmi del
tutto di una soluzione di comunicazione riservata dove almeno uno dei
livelli di protezione non dipenda da fornitori esterni ma sia
completamente gestito "in-house".
Questo porta altri problemi - per es. molte applicazioni "p2p" o di
videoconferenza, ecc. o la mobilità degli utenti, ecc. - dato che a
volte finisci in un pool di indirizzi privati che devono essere
NATtati; ma a parte i problemi di usabilità, c'Ú ben poco di più
sicuro che questo tipo di accesso.
L'usibilita` e` gestibile, basta tunnelare verso la rete interna aziendale.
Che poi sia più costoso... dipende dallo scenario :-)
Io posso parlare solo della mia esperienza personale e del mix di
soluzioni che io ho visto e usato.
Concordo che in generale "dipende" :)
--
/kinkie
Marco Ermini
2009-03-08 17:52:54 UTC
Permalink
[...]
Post by Kinkie
Il client 802.1x di Juniper (Odyssey Access Client) fa queste cose
molto bene da quello che so.
Interessante, controllerò (anche se non usiamo Juniper per adesso)

[...]
Post by Kinkie
Post by Marco Ermini
Dipende da come è configurata la tua VPN. Se lato
client non verifichi tramite certificato l'autenticità del server (e
quasi nessuno lo fa, quasi tutti si connettono ad un certo indirizzo
IP e gli forniscono il token RSA o qualcosa di simile...) è molto
semplice realizzare un "man-in-the-middle" quando sei attaccato ad una
rete WiFi in un aereoporto o in un hotel. Questo per esempio è lo
standard degli hotel in Cina :-) ci sono testimonianze di gente che
_credeva_ di essersi connessa via VPN alla rete aziendale, ha spedito
email, e queste email sono arrivate correttamente al destinatario, con
soltanto qualche header "Received:" in più (geolocato in Cina...).
Insomma, si fanno una bella copia giusto in caso...
Ci sono protezioni possibili anche per questo, ma sono d'accordo che
lo scenario e` plausibile.
Come suggerivo velatamente, verificare anche lato client l'autenticità
del server, aiuta (molti client VPN, incluso il Cisco, lo consentono)
Post by Kinkie
Post by Marco Ermini
Se accedi ad un APN dedicato, questo tipo di attacco è praticamente
impossibile, invece. A meno che il tuo gestore telefonico non sia un
caprone (purtroppo ce ne sono!...), viaggi su una rete packed con un
protocollo non ancora violato da alcuno, finchè non accedi all'unico
IP visibile da cui tutto deve passare - il tuo default gw è il tuo APN
e non vedi nient'altro.
Come sempre ci sono molti livelli su cui si puo` intervenire,
l'importante e` non pensare che intervenire su uno solo sia
sufficiente.
Non capisco il commento, forse è un po' criptico - potresti essere più
esplicito?
Post by Kinkie
Potendo fare altrimenti, tendo comunque a non fidarmi del
tutto di una soluzione di comunicazione riservata dove almeno uno dei
livelli di protezione non dipenda da fornitori esterni ma sia
completamente gestito "in-house".
[...]

Nessuno impedisce che il traffico ricevuto da un certo APN venga
inoltrato ad un qualsiasi altro sito remoto, dove effettuare altre
misure di autenticazione - come nessuno ti impedisce di bloccare
qualsiasi traffico che non sia quello VPN, per esempio. Un fornitore
di servizio, incluso chi ti fornisce un APN, non fa altro che
implementare quello che gli chiedi e per cui lo paghi :-)

È (anche) per questo che mi piacciono i BlackBerry. Oltre ad essere
pratici ed esenti dai gadgets presenti sui vari iPhone, Nokia e
compagnia bella, tendono ad utilizzare un APN dedicato per l'email.



Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Kinkie
2009-03-09 11:30:39 UTC
Permalink
Post by Kinkie
Come sempre ci sono molti livelli su cui si puo` intervenire,
l'importante e` non pensare che intervenire su uno solo sia
sufficiente.
Non capisco il commento, forse Ú un po' criptico - potresti essere più
esplicito?
E` la milionesima variante di "la sicurezza e` un processo non un
prodotto" e di "il livello di sicurezza di una soluzione e` dato dal
suo anello piu` debole".
Nello specifico, nella mia esperienza il traffico dati da e per l'apn
privato veniva poi consegnato con una biechissima CDN, e cosi` il
numero di entita` non vincolate da rapporti contrattuali diretti che
potevano avere la possibilita` materiale di vedere i dati in chiaro
cresceva e non di poco.
Post by Kinkie
Potendo fare altrimenti, tendo comunque a non fidarmi del
tutto di una soluzione di comunicazione riservata dove almeno uno dei
livelli di protezione non dipenda da fornitori esterni ma sia
completamente gestito "in-house".
[...]
Nessuno impedisce che il traffico ricevuto da un certo APN venga
inoltrato ad un qualsiasi altro sito remoto, dove effettuare altre
misure di autenticazione - come nessuno ti impedisce di bloccare
qualsiasi traffico che non sia quello VPN, per esempio. Un fornitore
di servizio, incluso chi ti fornisce un APN, non fa altro che
implementare quello che gli chiedi e per cui lo paghi :-)
Yup :-)
È (anche) per questo che mi piacciono i BlackBerry. Oltre ad essere
pratici ed esenti dai gadgets presenti sui vari iPhone, Nokia e
compagnia bella, tendono ad utilizzare un APN dedicato per l'email.
Vero; inoltre offrono una soluzione crittografica end-to-end o quasi
(non sono un esperto) su quell'APN.
Non sono del tutto d'accordo sul fatto che siano esenti dai gadgets,
ma sono d'accordo che sono pratici per quello che fanno.
--
/kinkie
Marco Ermini
2009-03-09 16:56:08 UTC
Permalink
2009/3/9 Kinkie:
[...]
Post by Kinkie
Non sono del tutto d'accordo sul fatto che siano esenti dai gadgets,
ma sono d'accordo che sono pratici per quello che fanno.
Hai ragionissima: ne hanno un sacco di gadgets. Ma è mlto semplice
cambiare una policy a livello centralizzato, ed impedire agli utenti
di installarli. Cosa che non si può ancora fare _bene_ in nessun'altra
piattaform - nonostante Microsoft pretenda sia possible con Windows
Mobile, in realtà non funziona ;-)


Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
GattoLino
2009-02-22 10:36:11 UTC
Permalink
Post by Alessandro Bulgarelli
Vi scrivo per porre alla vostra attenzione una problematica che potrebbe
essere di comune interesse per i >partecipanti della lista.
Post by Alessandro Bulgarelli
Nella azienda dove lavoro, molti dipendenti vengono dotati di telefoni
cellulari UMTS (in particolare Nokia >E51). Come saprete, questi cellulari
possono agevolmente utilizzati come modem; PC Suite, in particolare,
Post by Alessandro Bulgarelli
presenta proprio una voce che recita "Conetti a Internet" che apre una
pratica GUI per la connessione alla >Rete.
Post by Alessandro Bulgarelli
I problemi di sicurezza sono piuttosto evidenti in quanto se questa
connessione viene utilizzata quando il >cellulare è collegato ad un pc della
rete aziendale, viene a crearsi un bridge tra rete interna e Internet che
Post by Alessandro Bulgarelli
scavalca di fatto tutte le protezioni al bordo (firewall in primis, ma
anche content filtering, proxy...).
Post by Alessandro Bulgarelli
Direte voi: "bè, non lasciare che gli utenti colleghino i cellulari alla
rete!". Rispondo io dicendo che a >parte il fatto che mi risulta piuttosto
difficile controllare che TUTTI gli utenti si comportino bene (la mia
Post by Alessandro Bulgarelli
azienda è distribuita geograficamente), molti di questi dipendenti devono
poter collegare il cellulare al pc >aziendale per sincronizzare la rubrica e
l'agenda del cell con outlook.
<Premetto che in azienda non abbiamo sistemi di NAC o di Endpoint protection
per evitare ponti tra reti diverse.
Post by Alessandro Bulgarelli
Ho cercato in lungo e in largo per determinare se è possibile trafficare un
po' con le chiavi di registro di >PC Suite per inibire le funzionalità di
modem ma consentire le altre, però per ora non ho trovato niente >(anzi, la
maggior parte dei link che trovo riguardano il FAR funzionare il modem).
Post by Alessandro Bulgarelli
Ho provato anche a disinstallare i vari "Pacchetti driver per il modem" che
si trovano nel menù Installazione >Applicazioni di Winzozz ma sembra non
contare assolutamente a nulla.
Post by Alessandro Bulgarelli
Vi viene una qualche idea?
Prova a controllare sul sito di nokia enterprise perché per la serie E
esiste il pc suite professional (piu datato) ma ti permette di installare
solo delle parti di pc suite e se non ricordo male quindi di evitare il
blocco legato alla connettività!

Andrea

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
marco misitano
2009-02-23 15:43:10 UTC
Permalink
Post by GattoLino
Prova a controllare sul sito di nokia enterprise perché per la serie E
esiste il pc suite professional (piu datato) ma ti permette di installare
solo delle parti di pc suite e se non ricordo male quindi di evitare il
blocco legato alla connettività!
Io ho visto che non c'é bisogno di Nokia PC Suite per usare un telefono
come modem. é sufficiente farlo "vedere" al PC via BT/IR/cavo anche solo
come "modem standard" con i driver del sistema operativo. Meglio usare i
GPO come qualcun altro ha gia suggerito.

ciao

marco

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Dario Lombardo
2009-02-25 08:48:33 UTC
Permalink
Post by marco misitano
Io ho visto che non c'é bisogno di Nokia PC Suite per usare un telefono
come modem. é sufficiente farlo "vedere" al PC via BT/IR/cavo anche solo
come "modem standard" con i driver del sistema operativo. Meglio usare i
GPO come qualcun altro ha gia suggerito.
Attenzione a non dimenticare che non ci sono sistemi tipo NAC. Quindi il
problema della "doppia zampa" c'e' anche se io connetto un pc alla rete
con Linux e via BT/cavo/IR al cellulare. In questo caso le policy win
non sono utili. Naturalmente se i pc sono windows l'uso della policy e' ok.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
giuseppe montanarella
2009-02-23 17:59:08 UTC
Permalink
Ciao a tutti, non so se questo argomento ? gi? stato trattato ma vorrei avere comunque da voi un parere.
La mia azienda mi richiede di effettuare un corso sulla sicurezza ICT ( il vendor di riferimento per noi e Checkpoint ).
Siccome sono completamente a secco di questo argomento pensavo di intrapendere "la carriera" magari partecipando ad un corso che rilascia una certificazione COMPTIA Security +, per poi dedicarmi al vendor in questione.
Secondo voi ? una buona base di aprtenza oppure potete indirizzarmi su altre strade


Grazie e buona serata
Giuseppe
Marco Ermini
2009-02-25 15:57:58 UTC
Permalink
Post by giuseppe montanarella
Ciao a tutti, non so se questo argomento ? gi? stato trattato ma vorrei avere comunque da voi un parere.
La mia azienda mi richiede di effettuare un corso sulla sicurezza ICT ( il vendor di riferimento per noi e Checkpoint ).
Siccome sono completamente a secco di questo argomento pensavo di intrapendere "la carriera" magari
partecipando ad un corso che rilascia una certificazione COMPTIA Security +, per poi dedicarmi al vendor in
questione.
Secondo voi ? una buona base di aprtenza oppure potete indirizzarmi su altre strade
Prima cosa, non fare nessun corso se non te lo paga la tua azienda.
Noi Italiani siamo famosi per essere tanto stupidi da sobbarcarci
privatamente costi aziendali, soprattutto quando si tratta di
certificazioni. Per favore evita di deflazionare ancora di più il già
bassi costi dell'OPEX per i dipendenti in Italia... oppure sarete
prima o poi costretti ad emigrare tutti e comincerete a darmi fastidio
pure quassù ;-)))

Detto questo, ne discuti col tuo capo, e vedrai che il budget per la
formazione è limitato - allora io mi concentrerei sulle certificazioni
che servono a qualcosa - nel tuo caso quella per CheckPoint. Quello
devi usare, quello studia... per il resto della cartaccia hai tempo
;-)


Cordiali saluti
--
Marco Ermini
***@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Federico Lombardo
2009-02-24 22:27:54 UTC
Permalink
Post by giuseppe montanarella
Ciao a tutti, non so se questo argomento ? gi? stato trattato ma vorrei avere comunque da voi un parere.
La mia azienda mi richiede di effettuare un corso sulla sicurezza ICT ( il vendor di riferimento per noi e Checkpoint ).
Siccome sono completamente a secco di questo argomento pensavo di intrapendere "la carriera" magari partecipando ad un corso che rilascia una certificazione COMPTIA Security +, per poi dedicarmi al vendor in questione.
Secondo voi ? una buona base di aprtenza oppure potete indirizzarmi su altre strade
Giuseppe,
decidi innanzitutto su che "lato" della sicurezza vuoi buttarti:

1. operations (tecniche & tecnologie)
2. Governance (processi, gestione e governo della sicurezza delle
informazioni)

So che gli altri ti daranno dei consiglio riguardanti il punto "1",
quindi io ti dico, per contraddittorio il punto "2" :-), quelli che mi
sento di consigliarti sono:

* un corso da auditor per la certificazione ISO 27001:2006
* CISM
* CISA

a presto,

Federico
Continue reading on narkive:
Loading...