[Linuxtrent] Re: Idea per nuovo progetto: IP-Multiplexer
- From: Flavio Visentin <visentin@xxxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: 15 Apr 2003 16:57:52 +0200
Mi spiego meglio.
> > Una cosa del genere vorrebbe dire offrire un trampolino di lancio per
> > chiunque voglia compiere azioni illegali senza alcuna possibilità di
> > difendersi.
> Come sei giunto a questa conclusione?
Dalle premesse che hai fatto, hai parlato di fornire connettività
internet a pagamento mediante l'uso del proprio portatile. Se io vengo
nel tuo Internet Point e mi collego con il MIO portatile e lancio un
attacco, TU come fai a dimostrare che l'attacco l'ho lanciato IO e non
TU o qualcun'altro? banalissimamente potrei anche fingermi il mio vicino
di navigazione ed agire come se fossi lui.
Poi cosa fai? Logghi TUTTO il traffico IP che natti? Ti piazzi con un
fucile alle spalle degli utenti per verificare che non facciano cazzate?
Purtroppo se qualcuno compie qualche danno (potrebbe anche essere banale
spamming) chi risulta dai log sei tu, non chi realmente ha compiuto il
fatto.
> > non hai niente per poter dimostrare la tua innocenza.
> Ma perche?????
L'unico modo che hai per tutelarti legalmente è quello di mantenere
traccia di tutto quello che fanno i tuoi utenti in modo da poter
giustificare qualsiasi azione che venga compiuta dalla tua rete.
> Chi ha parlato di mettere sta cosa sul portatile? Sta cosa va' sul server
> linux che fa' anche da transparent firewall.
Devi convenire con me che tracciare le azioni che vengono compiute dal
MIO portatile collegato al TUO server, è IMPOSSIBILE a meno che tu non
esegua un dump a livello 2 di tutto il traffico proveniente dalla mia
macchina (il che presuppone la presenza di uno switch cn una porta in
mirror su cui è collegato un "tcpdump" che logga tutto il traffico).
Data la difficoltà di questa operazione è praticamente impossibile
tutelarsi ed è quindi sconsigliabile adottare questa soluzione.
Gli Internet Point in genere adottano dei client "blindati" oltre al
logging del traffico proprio perché ciò semplifica il lavoro di tracking
delle attività. Se io so che TU dalle 16:32 alle 18:14 eri alla
postazione n°2 che consente SOLO di navigare in Internet e che non ti
offre nient'altro che Mozilla, i miei controlli possono concentrarsi
sulla tua attività web. Unito ad un IDS e ad un firewall, la macchina
client blindata garantisce una certa sicurezza, cosa che non puoi avere
se non hai ANCHE il controllo del client.
> Dove sarebbe il piccolo hacker di cui stai parlando?
Il kit del piccolo hacker è presente ormai sul 90% dei notebook Linux
Inside, quindi è molto più probabile che egli ti sia accanto di quanto
tu non pensi.
Giusto per farti un esempio concreto, a Milano dove ho abitato fino al
mese scorso, ho rilevato, in circa 4 settimane, almeno una decina di
tentativi di accesso alla mia rete casalinga via wireless, che è
connessa direttamente al firewall e protetta da VPN proprio per evitare
questi "collegamenti" abusivi. Se avessi lasciato la porta aperta
chiunque avesse avuto voglia di fare danni avrebbe avuto a disposizione
una linea a 10Mb (Fastweb) gratuita e senza possibilità di essere
sgamato.
La tua soluzione è equivalente a lasciare la presa RJ45 del tuo router
ADSL disponibile fuori dal cancello di casa.
Forse sarò paranoico, ma l'esperienza insegna che è meglio pararsi il
sederino prima di dover ricorrere all'intervento chirurgico per
aggiustarlo e non sapere chi ringraziare ;-)
Flavio
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: